Pré-requis

Avoir suivi le cours Oracle Administration ou avoir un niveau de connaissance équivalent.

Participants

Administrateurs Oracle.

Objectifs

Savoir sécuriser une base de données Oracle sous ses différents aspects et niveaux.

Contenu

INTRODUCTION

• Evolution des architectures
• Les grands mythes de la sécurité
• Les principales menaces
• L’architecture standard aujourd’hui

LES PRINCIPALES ZONES A SECURISER

• Zone 1 : Inter-Application Server
• Zone 2 : Application Server to Storage
• Zone 3 : Stockage des données
• Les attaques malveillantes classiques
• Les principales failles de sécurité et les moyens de les éviter
• Les piliers de la sécurité des systèmes en général et des SGBDs en particulier
• Les mécanismes mis en oeuvre pour la sécurité
• Sécurité dans la base de données Oracle
• Installation: les comptes par défaut
• Les privilèges par défaut des comptes par défaut
• Définir une politique de gestion des mots de passe
• Protéger le dictionnaire de données
• Conseils et pratiques recommandées

LES UTILISATEURS ORACLE

• Les comptes ORACLE, par défaut, verrouillage, création
• Liste de contrôle pour la création d’utilisateurs
• Modifier un compte ORACLE
• Quotas sur tablespaces: information, modification
• Interrompre des sessions (identification,kill session)
• Authentification d’un utilisateur par le système d’exploitation
• Récupération des informations sur les utilisateurs
• Limitations de ressources avec les profils, gestion des profils
• Gestion du contrôle des mots de passe sur les comptes
• Création du profil
• Fonction de vérification du mot de passe

LA SECURITE DE LA BASE DE DONNEES

• Niveaux de sécurité
• Audit de dysfonctionnement
• Audit standard Oracle, activation de l’audit
• Comprendre l’identification de l’audit session
• Audit par trigger
• Audit détaillé (Fine Grained Audit ), implémentation
• Gestionnaire d’événements d’audit détaillé

LES TRIGGERS

• Activation / Désactivation, Suppression
• Trigger INSTEAD OF

LE CHIFFREMENT DANS ORACLE

• Row Level Security (RLS)
• La problématique, la mise en place de vues
• Mise en oeuvre de Row Level Security
• Virtual Private Database – Roles
• La base de données privée virtuelle Exemple
• Virtual Private Database – Label security

LA SECURITE AU NIVEAU DU LISTENER

• Rappel du rôle du listener Oracle
• Autres erreurs intéressantes du Listener
• Contrôle des machines autorisées / non autorisées
• Quels sont les risques dans la transmission?
• Transfert sécurisé – Que nous propose Oracle ?
• Intégrité simple

MECANISME D’INTEGRITE D’ORACLE

• Quelles exigences fondamentales puis-je satisfaire ?
• Configuration
• Configuration du crypto_checksum_*
• Chiffrement (cryptage) simple

SSL SOUS ORACLE

• Quelles exigences fondamentales puis-je satisfaire ?
• Configuration