Oracle LiveLabs实验:DB Security - Transparent Sensitive Data Protection (TSDP)

本文主要是介绍Oracle LiveLabs实验:DB Security - Transparent Sensitive Data Protection (TSDP),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

概述

此实验申请地址在这里,时间为15分钟。

本实验是DB Security Basics研讨会的的第8个实验,即Lab 8。

实验帮助在这里。

本实验使用的数据库为19.13。

Introduction

本研讨会介绍 Oracle 透明敏感数据保护 (TSDP) 的功能。 它让用户有机会学习如何配置这些功能,以便通过即时编辑敏感数据来保护对敏感数据的访问。

目标:

  • 为敏感数据创建 TSDP 策略
  • 检查动态敏感数据编辑以防止其暴露在应用程序之外

透明的敏感数据保护是一种查找和分类包含敏感信息的表列的方法。

Task 1: Prepare the TSDP Environment for the Labs

进入实验目录:

sudo su - oracle
cd $DBSEC_LABS/tsdp

创建 TSDP Admin 用户、TSDP 数据所有者并创建 TSDP 实验用表:

./tsdp_prepare_env.sh

实际执行的命令为:

prompt . Create the TSDP Admin user
GRANT CREATE SESSION TO ${DBUSR_TSDPADMIN} IDENTIFIED BY ${DBUSR_PWD};
GRANT CREATE PROCEDURE TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_TSDP_MANAGE TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_TSDP_PROTECT TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_RLS to ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_REDACT to ${DBUSR_TSDPADMIN};prompt
prompt . Create the TSDP data owner
GRANT CREATE SESSION, RESOURCE TO ${DBUSR_TSDP} IDENTIFIED BY ${DBUSR_PWD};
GRANT UNLIMITED TABLESPACE TO ${DBUSR_TSDP};
GRANT SELECT ON employeesearch_prod.demo_hr_employees to ${DBUSR_TSDP};conn ${DBUSR_TSDP}/${DBUSR_PWD}@${PDB_NAME}prompt . Create TSDP labs table
CREATE TABLE tsdp_hr_employees AS SELECT * FROM employeesearch_prod.demo_hr_employees;
COMMIT;

环境变量如下:

$ env|grep TSDP
DBUSR_TSDPADMIN=tsdp_admin
DBUSR_TSDP=tsdp_labs

Task 2: Create a TSDP Policy

创建敏感类型“CREDIT_CARD_TYPE”,敏感类型是您指定为敏感的一类数据:

./tsdp_create_sensitive_type.sh

实际执行的代码和输出为:


==============================================================================Create a TSDP sensitive type for all credit card numbers...
==============================================================================CON_NAME
------------------------------
PDB1
USER is "TSDP_ADMIN"-- . Create the sensitive type "credit_card_type" to classify the types of columns to protect
SQL> 
BEGINDBMS_TSDP_MANAGE.ADD_SENSITIVE_TYPE (sensitive_type  => 'credit_card_type',user_comment    => 'Type for Credit Card columns using a Varchar2 data type');
END;
/PL/SQL procedure successfully completed.

确定要保护的敏感列(这里,我们的规则是列名为“CORPORATE_CARD”):

./tsdp_add_sensitive_col.sh

实际执行的SQL为:

BEGINDBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN(schema_name        => 'tsdp_labs',table_name         => 'TSDP_HR_EMPLOYEES',column_name        => 'CORPORATE_CARD',sensitive_type     => 'credit_card_type',user_comment       => 'Sensitive column addition of credit_card_type');
END;
/

要根据您定义的敏感类型识别要保护的列,您可以使用 OEM Cloud Control 应用程序数据模型 (ADM) 来识别这些列,也可以使用 DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN 过程。前者是批量添加,后者是单列添加。

创建 TSDP 策略“REDACT_PARTIAL_CC”,基于部分编校,将前 8 个字符替换为“*”。

./tsdp_create_policy.sh

实际执行的SQL为:

DECLAREredact_feature_options DBMS_TSDP_PROTECT.FEATURE_OPTIONS;policy_conditions DBMS_TSDP_PROTECT.POLICY_CONDITIONS;
BEGINredact_feature_options ('expression') := 'SYS_CONTEXT(''USERENV'',''SESSION_USER'') =''TSDP_LABS''';redact_feature_options ('function_type') := 'DBMS_REDACT.PARTIAL';redact_feature_options ('function_parameters') := 'VVVVFVVVVFVVVVFVVVV,VVVV-VVVV-VVVV-VVVV,*,1,8';policy_conditions(DBMS_TSDP_PROTECT.DATATYPE) := 'VARCHAR2';DBMS_TSDP_PROTECT.ADD_POLICY ('redact_partial_cc', DBMS_TSDP_PROTECT.REDACT,redact_feature_options, policy_conditions);
END;
/

您可以通过定义具有以下组件的匿名块来创建策略:

  • 如果您将 Oracle 数据编校用于您的策略,则需要说明您要使用的数据编校类型,例如部分数据编校(DBMS_REDACT.PARTIAL)
  • 如果您将 Oracle 虚拟专用数据库用于您的策略,那么您要使用的 VPD 设置规范
  • 启用策略时要测试的条件。 例如,启用策略之前应满足的列的数据类型(VARCHAR2)
  • 通过使用 DBMS_TSDP_PROTECT.ADD_POLICY 过程,将这些组件联系在一起的命名透明敏感数据保护策略

将 TSDP 策略“REDACT_PARTIAL_CC”与之前创建的敏感类型“CREDIT_CARD_TYPE”相关联:

./tsdp_associate_policy.sh

实际执行的SQL为:

BEGINDBMS_TSDP_PROTECT.ASSOCIATE_POLICY(policy_name        => 'redact_partial_cc',sensitive_type     => 'credit_card_type',associate          => true);END;
/

在启用 TSDP 策略之前查看敏感数据:

./tsdp_select_data.sh

输出如下,CORPORATE_CARD列是启用TSDP策略的列:

==============================================================================Display the sensitive data from the TSDP table...
==============================================================================CON_NAME
------------------------------
PDB1
USER is "TSDP_LABS"SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1USERID FIRSTNAME            LASTNAME                       CORPORATE_CARD
---------- -------------------- ------------------------------ -------------------------413 Kathy                Allen                          6761601157534710000449 Donna                Wright                         6761601157534710000467 Martin               Lawrence                       4936211210155040000521 Jonathan             Greene                         4905720557944970000524 Teresa               Morales                        5602226919579740000567 Patricia             Long                           4936211210155040000681 Rebecca              Long                           5602249443516610000682 Brian                Tucker                         6709177789649670000689 Jennifer             Myers                          6334124777282700000797 Timothy              Banks                          4905720557944970000800 Karen                Thomas                         5602226919579740000827 Heather              Campbell                       6759878641253360000988 Phyllis              Wright                         5602249443516610000989 David                Foster                         6709177789649670000996 Wayne                Wood                           6334124777282700000999 Kenneth              Marshall                       675987864125336000016 rows selected.

启用 TSDP 策略“REDACT_PARTIAL_CC”:

./tsdp_enable_policy.sh

实际执行的SQL为:

BEGINDBMS_TSDP_PROTECT.ENABLE_PROTECTION_TYPE(sensitive_type           => 'credit_card_type');
END;
/

再次查看数据,数据编辑已经生效:

$ ./tsdp_select_data.sh==============================================================================Display the sensitive data from the TSDP table...
==============================================================================CON_NAME
------------------------------
PDB1
USER is "TSDP_LABS"SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1USERID FIRSTNAME            LASTNAME                       CORPORATE_CARD
---------- -------------------- ------------------------------ -------------------------413 Kathy                Allen                          ****-****-5347-0000449 Donna                Wright                         ****-****-5347-0000467 Martin               Lawrence                       ****-****-1550-0000521 Jonathan             Greene                         ****-****-9449-0000524 Teresa               Morales                        ****-****-5797-0000567 Patricia             Long                           ****-****-1550-0000681 Rebecca              Long                           ****-****-5166-0000682 Brian                Tucker                         ****-****-6496-0000689 Jennifer             Myers                          ****-****-2827-0000797 Timothy              Banks                          ****-****-9449-0000800 Karen                Thomas                         ****-****-5797-0000827 Heather              Campbell                       ****-****-2533-0000988 Phyllis              Wright                         ****-****-5166-0000989 David                Foster                         ****-****-6496-0000996 Wayne                Wood                           ****-****-2827-0000999 Kenneth              Marshall                       ****-****-2533-000016 rows selected.

如您所见,TSDP 立即编辑敏感数据,您无需重新启动数据库或重写 SQL 查询!

Task 3: (Optional) Reset the TSDP Labs Environment

运行以下命令以重置环境:

./tsdp_reset_env.sh

实际执行的SQL为:

prompt . Disable the TSDP policy
BEGINDBMS_TSDP_PROTECT.DISABLE_PROTECTION_COLUMN(schema_name          => 'tsdp_labs',table_name           => 'TSDP_HR_EMPLOYEES',column_name          => '%');
END;
/prompt . Drop the sensitive column
BEGINDBMS_TSDP_MANAGE.DROP_SENSITIVE_COLUMN (schema_name        => 'tsdp_labs',table_name         => 'TSDP_HR_EMPLOYEES',column_name        => 'CORPORATE_CARD');
END;
/prompt . Drop the sensitive type
BEGINDBMS_TSDP_MANAGE.DROP_SENSITIVE_TYPE (sensitive_type     => 'credit_card_type');
END;
/prompt . Drop the TSDP policy
BEGINDBMS_TSDP_PROTECT.DROP_POLICY(policy_name     => 'redact_partial_cc');
END;
/

Appendix: About the Product

透明敏感数据保护 (TSPD) 是一种查找和分类包含敏感信息的表列的方法。

此功能使您能够快速找到数据库中包含敏感数据的表列,对该数据进行分类,然后为给定类创建一个整体保护该数据的策略。 此类敏感数据的示例是信用卡号或社会保险号。

然后,TSDP 策略通过使用 Oracle 数据编辑或 Oracle 虚拟专用数据库设置来保护这些表列中的敏感数据。 TSDP 策略适用于您要保护的表的列级别,针对特定的列数据类型,例如包含信用卡信息的列的所有 NUMBER 数据类型。 您可以为您分类的所有数据创建统一的 TSDP 策略,然后在合规性法规发生变化时根据需要修改此策略。 或者,您可以导出 TSDP 策略以在其他数据库中使用。

TSDP 策略的好处是巨大的:您可以轻松地在拥有大量数据库的大型组织中创建和应用 TSDP 策略。 这使审计人员能够估计 TSDP 策略所针对的数据的保护程度,从而极大地帮助审计人员。 TSDP 对于政府环境特别有用,在这种环境中,您可能拥有大量具有类似安全限制的数据,并且您必须一致地对所有这些数据应用策略。 策略可以是编辑、加密、控制对它的访问、审计对它的访问,并在审计跟踪中屏蔽它。 如果没有 TSDP,您将不得不逐列配置每个编校策略、列级加密配置和虚拟专用数据库策略。

使用透明敏感数据保护 (TSDP) 的好处:

  • **您只需配置一次敏感数据保护,然后根据需要部署此保护。**您可以配置透明的敏感数据保护策略来指定必须如何保护一类数据(例如,信用卡列),而无需实际指定目标数据。换句话说,当您创建透明敏感数据保护策略时,您不需要包含对您要保护的实际目标列的引用。透明敏感数据保护策略根据数据库中的敏感列列表以及策略与指定敏感类型的关联来查找这些目标列。当您在创建透明的敏感数据保护策略后向数据库添加更多敏感数据时,这会很有用。创建策略后,您可以在一个步骤中启用对敏感数据的保护(例如,基于整个源数据库启用保护)。新数据的敏感类型以及敏感类型和策略关联决定了如何保护敏感数据。这样,随着新的敏感数据的增加,您无需配置其保护,只要满足当前透明敏感数据保护策略的要求即可。

  • **您可以管理多个敏感列的保护。**您可以根据合适的属性(例如标识的源数据库、敏感类型本身或特定架构、表或列)启用或禁用对多个敏感列的保护。这种粒度提供了对数据安全性的高级控制。此功能的设计使您能够根据属于这些合规性法规范围的大型数据集的特定合规性需求来管理数据安全性。您可以根据特定类别而不是为每个单独的列配置数据安全性。例如,您可以为信用卡号或社会保险号配置保护,但您不需要为数据库中包含此数据的每一列配置保护。

  • **您可以保护使用 Oracle Enterprise Manager Cloud Control 应用程序数据建模 (ADM) 功能识别的敏感列。**您可以使用 Cloud Control AD​​M 功能创建敏感类型并发现敏感列的列表。然后,您可以将此敏感列列表及其相应的敏感类型导入您的数据库。从那里,您可以使用此信息创建和管理透明的敏感数据保护策略。

Want to Learn More?

参考文档:Oracle Transparent Sensitive Data Protection 19c

这个文档挺好,把启用TSDP的步骤和用例讲的很清楚。

Acknowledgements

本实验的作者为Hakim Loumi,数据库安全的PM。贡献者为Rene Fontcha。

这篇关于Oracle LiveLabs实验:DB Security - Transparent Sensitive Data Protection (TSDP)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/677469

相关文章

MySQL 中的 JSON 查询案例详解

《MySQL中的JSON查询案例详解》:本文主要介绍MySQL的JSON查询的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录mysql 的 jsON 路径格式基本结构路径组件详解特殊语法元素实际示例简单路径复杂路径简写操作符注意MySQL 的 J

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

MySQL重复数据处理的七种高效方法

《MySQL重复数据处理的七种高效方法》你是不是也曾遇到过这样的烦恼:明明系统测试时一切正常,上线后却频频出现重复数据,大批量导数据时,总有那么几条不听话的记录导致整个事务莫名回滚,今天,我就跟大家分... 目录1. 重复数据插入问题分析1.1 问题本质1.2 常见场景图2. 基础解决方案:使用异常捕获3.

SQL中redo log 刷⼊磁盘的常见方法

《SQL中redolog刷⼊磁盘的常见方法》本文主要介绍了SQL中redolog刷⼊磁盘的常见方法,将redolog刷入磁盘的方法确保了数据的持久性和一致性,下面就来具体介绍一下,感兴趣的可以了解... 目录Redo Log 刷入磁盘的方法Redo Log 刷入磁盘的过程代码示例(伪代码)在数据库系统中,r

mysql中的group by高级用法

《mysql中的groupby高级用法》MySQL中的GROUPBY是数据聚合分析的核心功能,主要用于将结果集按指定列分组,并结合聚合函数进行统计计算,下面给大家介绍mysql中的groupby用法... 目录一、基本语法与核心功能二、基础用法示例1. 单列分组统计2. 多列组合分组3. 与WHERE结合使

Mysql用户授权(GRANT)语法及示例解读

《Mysql用户授权(GRANT)语法及示例解读》:本文主要介绍Mysql用户授权(GRANT)语法及示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql用户授权(GRANT)语法授予用户权限语法GRANT语句中的<权限类型>的使用WITH GRANT

Mysql如何解决死锁问题

《Mysql如何解决死锁问题》:本文主要介绍Mysql如何解决死锁问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录【一】mysql中锁分类和加锁情况【1】按锁的粒度分类全局锁表级锁行级锁【2】按锁的模式分类【二】加锁方式的影响因素【三】Mysql的死锁情况【1

Spring Security+JWT如何实现前后端分离权限控制

《SpringSecurity+JWT如何实现前后端分离权限控制》本篇将手把手教你用SpringSecurity+JWT搭建一套完整的登录认证与权限控制体系,具有很好的参考价值,希望对大家... 目录Spring Security+JWT实现前后端分离权限控制实战一、为什么要用 JWT?二、JWT 基本结构

SQL BETWEEN 的常见用法小结

《SQLBETWEEN的常见用法小结》BETWEEN操作符是SQL中非常有用的工具,它允许你快速选取某个范围内的值,本文给大家介绍SQLBETWEEN的常见用法,感兴趣的朋友一起看看吧... 在SQL中,BETWEEN是一个操作符,用于选取介于两个值之间的数据。它包含这两个边界值。BETWEEN操作符常用

MySQL索引的优化之LIKE模糊查询功能实现

《MySQL索引的优化之LIKE模糊查询功能实现》:本文主要介绍MySQL索引的优化之LIKE模糊查询功能实现,本文通过示例代码给大家介绍的非常详细,感兴趣的朋友一起看看吧... 目录一、前缀匹配优化二、后缀匹配优化三、中间匹配优化四、覆盖索引优化五、减少查询范围六、避免通配符开头七、使用外部搜索引擎八、分