본문 바로가기

security

오라클 엑사데이터 - 시스템 보안

안녕하세요. 테크넷 마스터 김재벌입니다.

 

제 업무 영역이 주로 보안과 시스템(클라우드) 영역인데 , 엑사데이터는 관심 가져본적이 없네요.

아무래도 데이터베이스 엔지니어나 DBA 역할을 하지 않다 보니, 이 영역에 대해서는 아는게 별로 없네요.

오라클 엑사데이터에 대해서 제가 아는 지식은 x86 기반이고 , 오라클 리눅스에 오라클 데이터베이스를 얹어 사용하는 어플라이언스 정도 인데 , 오라클 엑사데이터를 기반으로 하는 보안 관련 주제가 포스팅되어 해당 내용을 나름대로 이해하여 번역하고 요약하여 포스팅 합니다.

이 내용은 오라클의 엑사데이터 팀에서 포스팅한 글이며, 이글의 일부 내용은 당연히 오라클의 자랑(?)으로 시작하여 끝합니다만, 오라클 엑사데이터를 운영하거나 지원하는 엔지니어나 관리자는 그럼에도 불구하고 기술적인 부분에 대해서 인지할 필요가 있는 내용이 제법 많습니다.

참고해 보시면 좋을 것 같습니다.

 

 

귀사의 중요한 데이터의 보안을 믿을 수 있습니까?  -> 누구도 자신 할 수 없지만 누구도 자사의 보안이 보안이 취약하다고 인정하지 않습니다. (대부분의 경우 ^^)

 

격언에서 "당신이 자신을 신뢰할 수 없다면, 당신은 누구를 신뢰할 수 있습니까?"라고 말하지만, 당신이 당신의 데이터를 훔칠 것을 두려워하여 당신 자신의 성실성을 신뢰하는 것에 대해 말하는 것이 아닙니다.

 

당신이 당신의 시스템의 보안에 그들을 신뢰하는 당신의 능력에 대해 충분한 자신감을 가지고 있는지를 묻고 있습니다.

어떤 것은 전문가에게 맡기는 것이 가장 좋으며, 데이터베이스 서버를 보호하는 것은 분명히 그 진영에 있습니다.

 

몇 주마다 새로운 데이터 유출 사건이 발생하는 것 같습니다. 크레딧 뷰로, 호텔 체인, 소셜 미디어 사이트가 될 수 있습니다. 아무도 면역이되지 않는 것 같습니다. 그러나 모든 희생자에게 영향을주는 단 하나의 취약점은 없습니다. 따라서 다음 위반을 피하기가 특히 어려워집니다. 안전하다는 것을 보장 할 수있는 체크리스트는 없습니다. 오히려 시스템을 안전하게 유지하기 위해 많은 노력과 노력이 필요합니다.

 

Exadata는 데이터에 대한 무단 액세스로부터 어떻게 보호합니까? 이 서비스는 보안에 대한 심층 방어 접근법을 사용하며, 서비스와 사용자에게 시스템을 운영하는 데 필요한 최소한의 권한 만 제공합니다. Exadata의 기본 설정을 따르는 고객은 다음 기술을 사용하여 보호됩니다.

 

최소한의 소프트웨어 설치

Exadata는 불필요한 패키지를 설치하지 않으므로 이러한 패키지와 관련된 잠재적 인 취약점을 제거합니다.

Oracle Database 보안 설정 구현

Oracle 개발로 수년간의 테스트를 거쳐 개발 된 설정을 통해 Oracle 데이터베이스를 잠급니다.

최소한의 암호 복잡성 구현

시스템의 사용자가 쉽게 암호를 해독하거나 추측 할 수있는 위험을 크게 줄입니다.

너무 많은 로그인 시도 실패 후 계정을 잠급니다.

누군가가 프로그래밍 방식으로 암호를 시도하여 시스템에 침입하지 못하도록합니다.

기본 OS 계정 잠김

로그인을 지원할 필요가없는 계정에서 로그인을 방지하여 암호 또는 키 관리 부담을 줄입니다.

su 명령을 사용할 수있는 제한된 기능

사용자가 시스템에 대한 권한을 높이거나 신원을 변경하는 것을 방지합니다.

암호로 보호되는 보안 부팅

부트 로더의 무단 변경 또는 허가되지 않은 소프트웨어 이미지로 시스템을 부팅하는 것을 방지합니다.

불필요한 프로토콜, 서비스 및 커널 모듈 비활성화 됨

시스템 운영에 필요하지 않은 서비스의 취약점으로 인한 위협을 제거합니다.

저장 장치 셀에 구성된 소프트웨어 방화벽

누구도 스토리지 셀에 액세스하기 위해 추가 포트를 열지 않아도되므로 필요하지 않은 서비스를 제공하고 취약성을 나타낼 수 있습니다.

주요 보안 관련 파일에 대한 제한적인 파일 사용 권한

보안을 손상시킬 수있는 보안 파일의 실수 또는 고의 변경을 방지합니다.

관리 / 사설망에서만 수신하는 SSH

공용 네트워크의 사용자가 데이터베이스 서버에 로그인하는 것을 방지합니다.

SSH V2 프로토콜 만 지원하며 안전하지 않은 SSH 인증 메커니즘이 비활성화됩니다.

중간자 (man-in-the-middle) 공격 및 기타 안전하지 않은 메커니즘에 취약한 세션을 만드는 근본적인 약점을 포함하는 버전 1의 SSH 프로토콜 사용을 방지합니다.

최적의 보안을 위해 적절하게 구성된 암호화 암호

부적절하게 구성된 암호가 보안을 손상시키는 것을 방지하고 하드웨어 암호화 엔진을 사용하여 성능 향상

세분화 된 감사 및 회계

모든 사용자 활동이 모니터링되고 시스템에 기록됩니다.

 

이제는 모든 데이터베이스 및 시스템 구성 설정을 생각할 수도 있습니다. 직접 수행 할 수 있습니다. 그건 사실이고 당신이 보안 전문가라면 가능할 것입니다. 하지만, 많은 경우 데이터베이스 전문가와 보안 전문가는 서로의 시야와 업무영역에 따라 시스템을 효과적으로 활용하면서 보안을 강화하는 방법에 대해서 많은 의견 충돌이 있습니다.

 

오라클 엑사데이터의 많은 기능이 추가로 향상되어 보안 기능이 향상 되었으며 이는 엑사데이터를 위하여 설계되었으며 자체 구축 플랫폼(오라클을 서버에 직접 설치하는 패키징 형태) 에서는 사용할 수 없습니다. 

 --> 결론적으로 엑사데이터에만 적용되는 기술들이 있다는 이야기 입니다.

 

기본적으로 통합 환경에서 실행되는 모든 클러스터는 모든 ASM 디스크에 액세스 할 수 있습니다. 

 

엑사데이터는 기본 디스크 파티션 (그리드 디스크)에 대한 액세스를 인증 된 클러스터로만 제한하는 ASM 범위의 보안으로 보안을 강화합니다. 

단일 클러스터는 여러 데이터베이스를 호스팅 할 수 있기 때문에 DB 범위의 보안은 세분화 된 제어를 제공하여 특정 그리드 디스크에 대한 액세스를 인증 된 데이터베이스로만 제한합니다.

 

또한 Exadata는 특정 디렉토리의 파일에 대한 변경 사항을 시스템에서 검색하여 무단 액세스를 검사합니다. 변경 사항이 감지되면 Exadata는 침입 가능성을 관리자에게 알리는 소프트웨어 경고를 발생시킵니다. 관리 작업과 공용 데이터 액세스는 서로 다른 네트워크로 분리되어 있으므로 관리 효율성을 떨어 뜨리지 않으면 서 공용 네트워크 인터페이스의 보안을 강화할 수 있습니다. 

 

VLAN 지원은 네트워크 트래픽을 격리하여 네트워크 데이터에 대한 무단 액세스를 방지합니다. 

마찬가지로 컴퓨팅 서버의 스토리지 셀에 대한 액세스는 하나의 클러스터에서 네트워크 트래픽을 다른 곳에서 액세스 할 수 없도록 파티션 된 InfiniBand 인 격리 된 네트워크에서도 수행되므로 공격자가 컴퓨팅 및 네트워크 간을 이동할 때 데이터를 도용 할 가능성을 제거 할 수 있습니다. 

 

개발 프로세스 중에는 보안 기능이 내장되어 있습니다. 엑사데이터 개발 팀은 시스템에 배포 된 소프트웨어에 알려진 취약점이 없음을 보장하기 위해 다양한 업계 표준 보안 스캐너를 정기적으로 실행합니다. 취약점이 발견되면 매월 소프트웨어 업데이트가 신속하게 시스템을 보호하도록 수정 프로그램을 제공합니다.

 

이러한 모든 기능은 보안에 중요하지만 연구 결과에 따르면 보안 취약점에 가장 큰 영향을 주는 요소는 소프트웨어 업데이트를 따라 잡지 못하는 것으로 나타났습니다. 오늘날의 중요한 데이터베이스 시스템을 패치하는 복잡성과 위험성을 감안할 때 놀라운 것은 아닙니다.  많은 사람들은 깨지지 않은 것을 만지지 않기로 마음 먹지만 깨진 것은 항상 눈에 띄는 것은 아닙니다.

 

Exadata는 소프트웨어 업데이트의 위험과 고통을 감수합니다. 출하 전에 모든 데이터베이스 및 Exadata 소프트웨어 업데이트가 Exadata 환경에서 광범위하게 테스트되므로 위험이 줄어 듭니다. Exadata 고객은 커뮤니티 효과를 누릴 수도 있습니다. Exadata를 실행하는 고객 커뮤니티가 있으며 문제는 신속하게 발견되어 해결됩니다. 자체 데이터베이스 환경을 구축하면 문제가 발생할 수 있으며 관련 중단이 발생할 수 있습니다. Exadata Platinum 지원을 통해 소프트웨어 업데이트의 어려움을 줄일 수 있습니다. Exadata가 독점적으로 지원하는이 수준의 지원은 사용자를 대신하여 시스템을 정기적으로 패치하므로 모두 함께 패치하지 않아도됩니다. 소프트웨어 업데이트의 위험과 고통이 줄어들어 Exadata 시스템이 더 자주 패치되고 최신 보안 픽스가 유지되며 마지막으로 모든 데이터베이스 보안 기능을 잊지 마십시오.  Oracle Database 는 데이터를 보호 할 수있는 다양한 기능을 갖추고 있으며 모두 Exadata와 호환됩니다. Oracle Database는 데이터를 암호화하고 네트워크를 통해 전송되는 데이터를 보호합니다. 데이터베이스 사용자 또는 데이터 제한 레이블을 기반으로 결과를 필터링하여 임시 데이터 쿼리에 대한 액세스 제한을 시행 할 수 있습니다. 데이터베이스 자체는 가상 시스템 클러스터를 사용하여 랙 내에서, OS 사용자 수준 분리를 사용하는 단일 VM 내에서 또는 다중 점유 데이터베이스 옵션을 사용하여 컨테이너 데이터베이스 내에서 격리 될 수 있습니다. DBA가 관리하는 시스템의 임의의 데이터에 액세스하지 못하게하는 보안 기능인 Oracle Database Vault를 사용하여 관리자로부터 중요한 데이터를 보호 할 수도 있습니다.  

 

마지막으로, Oracle Audit Vault 및 데이터베이스 방화벽은 Oracle 및 Oracle 이외의 데이터베이스 트래픽을 모니터링하여 위협을 탐지 및 차단하고 데이터베이스, 운영 체제, 디렉토리 및 기타 소스의 감사 데이터를 통합합니다.

 

Oracle Exadata는 보안 및 옵션으로 제공되는 다양한 보안 기능에 중점을두고 개발된 안전한 데이터베이스 시스템입니다. 

 

PCI DDS 컴플라이언스를 충족하고, FIPS 준수 및 많은 구축으로 입증 된 전세계의 수많은 은행, 통신 및 정부 기관이 Exadata를 평가하여 필요한 높은 수준의 보안을 제공한다는 것은 놀라운 일이 아닙니다.

 

 

결론은 오라클 엑사데이터에는 많은 보안기능이 있고 이를 통해 다계층 보안을 실현 할 수 있으며,  검증된 기술이라는 내용입니다.

 

만약 오라클 엑사데이터 도입을 고려하시는 분들은 이미 이러한 점에 대해서 알고 계실 듯 합니다.

보안분야에 근무하시는 분들이라면 데이터베이스 보안을 위해서 이런 기능을 활용, 적용할 수 있다 정도로 이해하시면 될 듯합니다..