Chad Hughes, Principal Program Manager in Oracles Global Product Security Group, erklärt Oracle’s Approach to Configuration Hardening, und geht auch darauf ein, weshalb Oracles Empfehlungen und Default Einstellungen zum Teil deutlich von denen des Center for Internet Security, dem sogenannten Oracle Database Security Benchmark, abweichen.

In summary, Oracle’s security recommendations are different than the core CIS recommendations because Oracle tries to strike the most effective balance between the application of an “ideal” security theory (which may be prohibitively expensive) and real customer cost/benefit requirements and practices. Our customers expect that our default configuration is tested, supported, and will not break various typical deployments of Oracle and third party applications.

Ich erwarte von Herstellern, dass sie ein Secure-by-Default Modell fahren, und alle Parameter bewusst auf unsicherere Werte gestellt werden müssen, resp. Optionen bewusst installiert werden müssen. Im Idealfall gibt mir der Hersteller schon bei der Installation und auch später die Möglichkeit, auf Knopfdruck zwischen einzelnen Security-Konfigurationen hin- und herwechseln zu können. Mal sehen, was Oracle für die Datenbank 11g auf Lager hat.

One Response to “Oracle’s Approach to Configuration Hardening”

  1. Flupp Says:

    Oracle Installationen sind typischerweise in kommerziellen Umfeldern eingesetzt, wo Stabilität mehr bedeutet als Security. Niemand ist vor Ort, der fähig wäre, Patches einzuspielen oder Securitykonzepte zu verstehen. Das Changemanagement ist derart komplex und langwierig, dass man lieber auf “never touch a running system” setzt.

    Nun gibt es andere Umfelder und die hätten andere Bedürfnisse. Die Frage wird sein, ob Orcale irgendwann doch noch schafft, auch diese Kundschaft zu betreuen. Einerseits stehen die extremen Sicherheitsprobleme im Wege, andererseits aber auch die Komplexität, die Oracle eigen ist. Eine Datenbank, die einen geschulten DBA braucht, lohnt sich eigentlich erst dann, wenn wirklich viele Daten gespeichert werden müssen. Für die paar tausend Rows, die normalerweise in den Datenbanken liegen, lohnt sich Oracle eigentlich nicht…