row & column level access

Waarom RLS en CLS?

Security- ‘No need to know’- afschermen van gegevens- uitsluiten van gebruikers- privacy wetgeving

Functioneel- ‘Need to know’ - gecontroleerd gebruikerstoelaten- business mogelijk maken- multiclient: alleen toegang tot eigen gegevens

Martiris15-02-2011

Security: een greep uit het nieuws...

bron: security.nl• Supermarkt IT'er steelt voor 100.000 euro aan

bonuspunten• Ziekenhuis ontslaat personeel na grasduinen EPD• Vodafone ontslaat personeel na groot datalek• Agent bekijkt politiedatabase in opdracht van crimineel

Martiris15-02-2011

Functioneel: Outsourcing, SaaS, Cloud

Bijvoorbeeld Electronisch Patienten Dossier: • Centrale opslag van gegevens, gedeelde infra- en

datastruktuur• Verschillende partijen en indelingen:

o gegevens per ziekenhuis / afdeling / artso onderscheid naar rollen: verpleegkundige / arts o taken van elkaar overnemen o verschil in mutatie rechteno de patient inzicht in eigen dossier

Martiris15-02-2011

Impact RLS op applicatie

Filteren records kan onverwachte gevolgen hebben(indien toegepast op reeds bestaande applicaties)

• referentiele integriteit• unique kolommen• batches

Martiris15-02-2011

Traditionele aanpak: views

Voordelen:• biedt zowel RLS en CLS• afschermen door toegang te

beperken tot views, niet op tabellen• Flexibel• Parametriseren dmv Applicatie

Context• Werkt in alle DB versies

Martiris15-02-2011

Nadelen:• Verweven met applicatie• Tabel gegevens blijven beschikbaar

voor privileged users• Verschillende views voor

verschillende DML (valt te ondervangen met IO triggers)

• Programmeren

Oracle Label Security (OLS) (1)

Wat is het?• Ontwikkeld voor defensie en inlichtingendienst.

o Transparant filteren van recordso Labels voor zowel gebruikers als recordso Onderscheid naar DML o Tabel krijgt extra, verborgen kolom (ROWLABEL)o Aparte licentie vereisto Alleen Enterprise Edition

Martiris15-02-2011

Oracle Label Security (OLS) (2)Een label bestaat uit drie verschillende componenten:- Levels zijn hierarchisch:publiek (L1), vertrouwelijk (L2), geheim(L3)- Compartments: Manager (M), Employee (E) - Groups, hierarchisch: Region Noord (RN), Regio Zuid (RZ)Voorbeeld label record: 'L2:M:RN'voorbeeld label employee: 'L2:E:RN'voorbeeld label manager: 'L3:M,E:R20,R40,RN,RZ’

Nb, het is niet verplicht alle componenten te gebruiken.

Martiris15-02-2011


Gebruikers hebben:Minimum/Maximum/default level wat ze in mogen stellen voor nieuwe data.Per compartment en groep DML rechten.

Speciale rollen om data label aan te passen:- writedown/up : aanpassen level- writeaccross : aanpassen compartiments/groups

Martiris15-02-2011


Martiris15-02-2011

Voordelen:• Biedt RLS • Out of the box• Beschermd tegen insider threat• in de database: applicatie

onafhankelijk• policies kunnen in OiD worden

ondergebracht

Nadelen:• Biedt geen CLS • extra kolom• Niet flexibel• Best ingewikkeld• Aparte licentie• Alleen in Enterprise Edition

Database Vault (DBV) (1)

Specifiek bedoeld voor:• Scheiden van taken• Voldoen aan wetgeving (SOX)• Afschermen privileged users, zoals DBA

Biedt uitgebreide interfaces, packages en rapportages.

Martiris15-02-2011

Database Vault (DBV) (2)Hoe werkt het?1. DV-Admin maakt ‘realm’ aan (bv. HR_REALM)2. Voegt dan een object toe (bv. HR.EMPLOYEES)3. DV-Account Manager maakt gebruiker aan en maakt deze ‘participant’ van de ‘realm’.

Martiris15-02-2011

Database Vault (DBV) (3)DBV is met name sterk in reguleren van SQL commando’s : ‘Command rules’ reguleren gebruik DML maar ook DDL, zoals ALTER / DROP statements.

Echter, DBV biedt geen RLS of CLS. Integratie met OLS mogelijk • maar dan weer een apartie licentie.

Martiris15-02-2011

Virtual Private Database (VPD) (1)

Wat is het?• Transparant filteren van records en/of maskeren van

kolommen• Onzichtbare view• Onderscheid naar DML • Implementatie dmv. PL/SQL functies:

o Return = where clause, deze filtert records of maskeert kolomo Toepasbaar op tabellen, views of synoniemeno Activeren met DBMS_RLS package

Martiris15-02-2011


Voordelen• Scheiden applicatie van security• Afschermen privileged users• Flexibel• Gratis• Standaard aanwezig sinds 8.1.5• Security in de database, applicatie onafhankelijk• Kan er niet omheen (in tegenstelling tot views)

o Ad hoc query tools: Toad, SQL*Plus, ...

Martiris15-02-2011


Nadelen• Alleen beschibaar in Enterprise Edition• Zelf logica (PL/SQL) programmeren• Kan complex worden• Lastig debuggen• Niet waterdicht

Martiris15-02-2011

Eenvoudig voorbeeld: beperk DEPT tot waarde 20

Eerst de functie die de beperking op zal leveren:

create or replace function restrict_dept (p_schema in varchar2 ,p_object in varchar2)

return varchar2 is begin

return 'deptno = 20'; end;

/

Martiris15-02-2011

Eenvoudig voorbeeld: beperk DEPT tot waarde 20

Dan toepassen op het object (vet = verplicht)

begindbms_rls.add_policy (object_schema => 'scott' ,object_name => 'demo_dept'

,policy_name => 'restrict_dept' ,function_schema => 'sec_mgr' ,policy_function => 'restrict_dept' ,statement_types => 'select, update' ,update_check => true);

end;/

Martiris15-02-2011

Application Context• Namespace met attribute / value pairs• Default application context: USERENV

• Syntax:sys_context(‘namespace’,’attribute’)• Global vs. Local vs. External• Voordelen: performance en flexibiliteit• Zelf definieren, aanwijzen ‘trusted program’• Zelf waardes toekennen• After logon trigger: kan maar hoeft niet

Martiris15-02-2011

Best practice• Apart schema met daarin

o functies voor VPD o application context packageo rechten op DBMS_RLSo view/functie voor uitlezen context waarden

• Eventueel ten behoeve van eindgebruikerso wrapper package voor manipuleren Appl. Context.

• NB, voor policy functies zijn geen execute rechten nodig

Martiris15-02-2011

Eenvoudig CLS: functie

Functie:create or replace function mask_loc (p_schema in varchar2 ,p_object in varchar2)return varchar2 isbeginreturn q'# deptno = 20 and sys_context('userenv','session_user')='SCOTT'#';end;

Martiris15-02-2011

Eenvoudig CLS: scott ziet location van 20

Dan toepassen op het objectbegin dbms_rls.add_policy (object_schema => 'scott' ,object_name => 'demo_dept' ,policy_name => 'mask_loc' ,function_schema => 'sec_mgr' ,policy_function => 'mask_loc' ,statement_types => 'select' ,sec_relevant_cols => 'LOC' ,sec_relevant_cols_opt => dbms_rls.all_rows);

end;

Martiris15-02-2011

Minimale ingredienten voor VPD

• Objecten• Onderscheid records / kolommen in objecten• Gebruikers (of rollen)

En deze vervolgens aan elkaar knopen…

Dat kan nu gemakkelijker: Secure Private Data

Martiris15-02-2011

Secure Private Data (SPD) (1)

Secure Private Data is:• schil om VPD• declaratief• applicatie transparant• out of the box• web interface (apex)• PL/SQL code 100%

gegenereerd

Martiris15-02-2011

Gebruikers

Profielen

Data Segmenten

Applicatie Data

Figuur 1. Concept data model SPD

ORGANISATIES

Applicatie Rollen


Wat biedt SPD?• rechten toekennen aan gebruikers of rollen • rechtenbeheer door FB • cascade rechten naar detail gegevens• afschermen subset• multiclient• delen van gegevens• IP restricties• three-tier / Ldap• Column Level Security

Martiris15-02-2011


• XE of Standard Edition? Dan implementatie via views (ook gegenereerd)

• access logica in packages, Instead Of triggers• verder dezelfde functionaliteit

maar:• scheiding applicatie en security minder strikt• geen bescherming insider threats

Martiris15-02-2011


Demo!

Martiris15-02-2011

Secure Private Data Screenshot

Demo!

Martiris15-02-2011

Productvergelijking

Martiris15-02-2011

Opties Label Security

Database Vault

VPD SPD

Column level security Nee Nee Ja Ja

Row level security Ja Nee Ja Ja

Out of the box Nee

Standard Edition/XE Nee Nee Nee Ja

Extra Oracle Licenties vereist

Nee Nee

Maatwerk mogelijk Nee Nee Ja Ja

Beheer door FB Nee Nee Nee

Afschermen privileged users

Ja Ja Ja Ja*

* Geldt niet voor de View Option

Samenvatting

Vragen, discussie.

Martiris15-02-2011

row & column level access

Documents

data label

rnvoorbeeld label manager

rnvoorbeeld label employee

rls en cls

security no need to

impact rls

rls out

applicatietabel gegevens