Oracle LiveLabs实验:DB Security - Transparent Sensitive Data Protection (TSDP)

本文主要是介绍Oracle LiveLabs实验:DB Security - Transparent Sensitive Data Protection (TSDP),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

概述

此实验申请地址在这里,时间为15分钟。

本实验是DB Security Basics研讨会的的第8个实验,即Lab 8。

实验帮助在这里。

本实验使用的数据库为19.13。

Introduction

本研讨会介绍 Oracle 透明敏感数据保护 (TSDP) 的功能。 它让用户有机会学习如何配置这些功能,以便通过即时编辑敏感数据来保护对敏感数据的访问。

目标:

  • 为敏感数据创建 TSDP 策略
  • 检查动态敏感数据编辑以防止其暴露在应用程序之外

透明的敏感数据保护是一种查找和分类包含敏感信息的表列的方法。

Task 1: Prepare the TSDP Environment for the Labs

进入实验目录:

sudo su - oracle
cd $DBSEC_LABS/tsdp

创建 TSDP Admin 用户、TSDP 数据所有者并创建 TSDP 实验用表:

./tsdp_prepare_env.sh

实际执行的命令为:

prompt . Create the TSDP Admin user
GRANT CREATE SESSION TO ${DBUSR_TSDPADMIN} IDENTIFIED BY ${DBUSR_PWD};
GRANT CREATE PROCEDURE TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_TSDP_MANAGE TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_TSDP_PROTECT TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_RLS to ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_REDACT to ${DBUSR_TSDPADMIN};prompt
prompt . Create the TSDP data owner
GRANT CREATE SESSION, RESOURCE TO ${DBUSR_TSDP} IDENTIFIED BY ${DBUSR_PWD};
GRANT UNLIMITED TABLESPACE TO ${DBUSR_TSDP};
GRANT SELECT ON employeesearch_prod.demo_hr_employees to ${DBUSR_TSDP};conn ${DBUSR_TSDP}/${DBUSR_PWD}@${PDB_NAME}prompt . Create TSDP labs table
CREATE TABLE tsdp_hr_employees AS SELECT * FROM employeesearch_prod.demo_hr_employees;
COMMIT;

环境变量如下:

$ env|grep TSDP
DBUSR_TSDPADMIN=tsdp_admin
DBUSR_TSDP=tsdp_labs

Task 2: Create a TSDP Policy

创建敏感类型“CREDIT_CARD_TYPE”,敏感类型是您指定为敏感的一类数据:

./tsdp_create_sensitive_type.sh

实际执行的代码和输出为:


==============================================================================Create a TSDP sensitive type for all credit card numbers...
==============================================================================CON_NAME
------------------------------
PDB1
USER is "TSDP_ADMIN"-- . Create the sensitive type "credit_card_type" to classify the types of columns to protect
SQL> 
BEGINDBMS_TSDP_MANAGE.ADD_SENSITIVE_TYPE (sensitive_type  => 'credit_card_type',user_comment    => 'Type for Credit Card columns using a Varchar2 data type');
END;
/PL/SQL procedure successfully completed.

确定要保护的敏感列(这里,我们的规则是列名为“CORPORATE_CARD”):

./tsdp_add_sensitive_col.sh

实际执行的SQL为:

BEGINDBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN(schema_name        => 'tsdp_labs',table_name         => 'TSDP_HR_EMPLOYEES',column_name        => 'CORPORATE_CARD',sensitive_type     => 'credit_card_type',user_comment       => 'Sensitive column addition of credit_card_type');
END;
/

要根据您定义的敏感类型识别要保护的列,您可以使用 OEM Cloud Control 应用程序数据模型 (ADM) 来识别这些列,也可以使用 DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN 过程。前者是批量添加,后者是单列添加。

创建 TSDP 策略“REDACT_PARTIAL_CC”,基于部分编校,将前 8 个字符替换为“*”。

./tsdp_create_policy.sh

实际执行的SQL为:

DECLAREredact_feature_options DBMS_TSDP_PROTECT.FEATURE_OPTIONS;policy_conditions DBMS_TSDP_PROTECT.POLICY_CONDITIONS;
BEGINredact_feature_options ('expression') := 'SYS_CONTEXT(''USERENV'',''SESSION_USER'') =''TSDP_LABS''';redact_feature_options ('function_type') := 'DBMS_REDACT.PARTIAL';redact_feature_options ('function_parameters') := 'VVVVFVVVVFVVVVFVVVV,VVVV-VVVV-VVVV-VVVV,*,1,8';policy_conditions(DBMS_TSDP_PROTECT.DATATYPE) := 'VARCHAR2';DBMS_TSDP_PROTECT.ADD_POLICY ('redact_partial_cc', DBMS_TSDP_PROTECT.REDACT,redact_feature_options, policy_conditions);
END;
/

您可以通过定义具有以下组件的匿名块来创建策略:

  • 如果您将 Oracle 数据编校用于您的策略,则需要说明您要使用的数据编校类型,例如部分数据编校(DBMS_REDACT.PARTIAL)
  • 如果您将 Oracle 虚拟专用数据库用于您的策略,那么您要使用的 VPD 设置规范
  • 启用策略时要测试的条件。 例如,启用策略之前应满足的列的数据类型(VARCHAR2)
  • 通过使用 DBMS_TSDP_PROTECT.ADD_POLICY 过程,将这些组件联系在一起的命名透明敏感数据保护策略

将 TSDP 策略“REDACT_PARTIAL_CC”与之前创建的敏感类型“CREDIT_CARD_TYPE”相关联:

./tsdp_associate_policy.sh

实际执行的SQL为:

BEGINDBMS_TSDP_PROTECT.ASSOCIATE_POLICY(policy_name        => 'redact_partial_cc',sensitive_type     => 'credit_card_type',associate          => true);END;
/

在启用 TSDP 策略之前查看敏感数据:

./tsdp_select_data.sh

输出如下,CORPORATE_CARD列是启用TSDP策略的列:

==============================================================================Display the sensitive data from the TSDP table...
==============================================================================CON_NAME
------------------------------
PDB1
USER is "TSDP_LABS"SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1USERID FIRSTNAME            LASTNAME                       CORPORATE_CARD
---------- -------------------- ------------------------------ -------------------------413 Kathy                Allen                          6761601157534710000449 Donna                Wright                         6761601157534710000467 Martin               Lawrence                       4936211210155040000521 Jonathan             Greene                         4905720557944970000524 Teresa               Morales                        5602226919579740000567 Patricia             Long                           4936211210155040000681 Rebecca              Long                           5602249443516610000682 Brian                Tucker                         6709177789649670000689 Jennifer             Myers                          6334124777282700000797 Timothy              Banks                          4905720557944970000800 Karen                Thomas                         5602226919579740000827 Heather              Campbell                       6759878641253360000988 Phyllis              Wright                         5602249443516610000989 David                Foster                         6709177789649670000996 Wayne                Wood                           6334124777282700000999 Kenneth              Marshall                       675987864125336000016 rows selected.

启用 TSDP 策略“REDACT_PARTIAL_CC”:

./tsdp_enable_policy.sh

实际执行的SQL为:

BEGINDBMS_TSDP_PROTECT.ENABLE_PROTECTION_TYPE(sensitive_type           => 'credit_card_type');
END;
/

再次查看数据,数据编辑已经生效:

$ ./tsdp_select_data.sh==============================================================================Display the sensitive data from the TSDP table...
==============================================================================CON_NAME
------------------------------
PDB1
USER is "TSDP_LABS"SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1USERID FIRSTNAME            LASTNAME                       CORPORATE_CARD
---------- -------------------- ------------------------------ -------------------------413 Kathy                Allen                          ****-****-5347-0000449 Donna                Wright                         ****-****-5347-0000467 Martin               Lawrence                       ****-****-1550-0000521 Jonathan             Greene                         ****-****-9449-0000524 Teresa               Morales                        ****-****-5797-0000567 Patricia             Long                           ****-****-1550-0000681 Rebecca              Long                           ****-****-5166-0000682 Brian                Tucker                         ****-****-6496-0000689 Jennifer             Myers                          ****-****-2827-0000797 Timothy              Banks                          ****-****-9449-0000800 Karen                Thomas                         ****-****-5797-0000827 Heather              Campbell                       ****-****-2533-0000988 Phyllis              Wright                         ****-****-5166-0000989 David                Foster                         ****-****-6496-0000996 Wayne                Wood                           ****-****-2827-0000999 Kenneth              Marshall                       ****-****-2533-000016 rows selected.

如您所见,TSDP 立即编辑敏感数据,您无需重新启动数据库或重写 SQL 查询!

Task 3: (Optional) Reset the TSDP Labs Environment

运行以下命令以重置环境:

./tsdp_reset_env.sh

实际执行的SQL为:

prompt . Disable the TSDP policy
BEGINDBMS_TSDP_PROTECT.DISABLE_PROTECTION_COLUMN(schema_name          => 'tsdp_labs',table_name           => 'TSDP_HR_EMPLOYEES',column_name          => '%');
END;
/prompt . Drop the sensitive column
BEGINDBMS_TSDP_MANAGE.DROP_SENSITIVE_COLUMN (schema_name        => 'tsdp_labs',table_name         => 'TSDP_HR_EMPLOYEES',column_name        => 'CORPORATE_CARD');
END;
/prompt . Drop the sensitive type
BEGINDBMS_TSDP_MANAGE.DROP_SENSITIVE_TYPE (sensitive_type     => 'credit_card_type');
END;
/prompt . Drop the TSDP policy
BEGINDBMS_TSDP_PROTECT.DROP_POLICY(policy_name     => 'redact_partial_cc');
END;
/

Appendix: About the Product

透明敏感数据保护 (TSPD) 是一种查找和分类包含敏感信息的表列的方法。

此功能使您能够快速找到数据库中包含敏感数据的表列,对该数据进行分类,然后为给定类创建一个整体保护该数据的策略。 此类敏感数据的示例是信用卡号或社会保险号。

然后,TSDP 策略通过使用 Oracle 数据编辑或 Oracle 虚拟专用数据库设置来保护这些表列中的敏感数据。 TSDP 策略适用于您要保护的表的列级别,针对特定的列数据类型,例如包含信用卡信息的列的所有 NUMBER 数据类型。 您可以为您分类的所有数据创建统一的 TSDP 策略,然后在合规性法规发生变化时根据需要修改此策略。 或者,您可以导出 TSDP 策略以在其他数据库中使用。

TSDP 策略的好处是巨大的:您可以轻松地在拥有大量数据库的大型组织中创建和应用 TSDP 策略。 这使审计人员能够估计 TSDP 策略所针对的数据的保护程度,从而极大地帮助审计人员。 TSDP 对于政府环境特别有用,在这种环境中,您可能拥有大量具有类似安全限制的数据,并且您必须一致地对所有这些数据应用策略。 策略可以是编辑、加密、控制对它的访问、审计对它的访问,并在审计跟踪中屏蔽它。 如果没有 TSDP,您将不得不逐列配置每个编校策略、列级加密配置和虚拟专用数据库策略。

使用透明敏感数据保护 (TSDP) 的好处:

  • **您只需配置一次敏感数据保护,然后根据需要部署此保护。**您可以配置透明的敏感数据保护策略来指定必须如何保护一类数据(例如,信用卡列),而无需实际指定目标数据。换句话说,当您创建透明敏感数据保护策略时,您不需要包含对您要保护的实际目标列的引用。透明敏感数据保护策略根据数据库中的敏感列列表以及策略与指定敏感类型的关联来查找这些目标列。当您在创建透明的敏感数据保护策略后向数据库添加更多敏感数据时,这会很有用。创建策略后,您可以在一个步骤中启用对敏感数据的保护(例如,基于整个源数据库启用保护)。新数据的敏感类型以及敏感类型和策略关联决定了如何保护敏感数据。这样,随着新的敏感数据的增加,您无需配置其保护,只要满足当前透明敏感数据保护策略的要求即可。

  • **您可以管理多个敏感列的保护。**您可以根据合适的属性(例如标识的源数据库、敏感类型本身或特定架构、表或列)启用或禁用对多个敏感列的保护。这种粒度提供了对数据安全性的高级控制。此功能的设计使您能够根据属于这些合规性法规范围的大型数据集的特定合规性需求来管理数据安全性。您可以根据特定类别而不是为每个单独的列配置数据安全性。例如,您可以为信用卡号或社会保险号配置保护,但您不需要为数据库中包含此数据的每一列配置保护。

  • **您可以保护使用 Oracle Enterprise Manager Cloud Control 应用程序数据建模 (ADM) 功能识别的敏感列。**您可以使用 Cloud Control AD​​M 功能创建敏感类型并发现敏感列的列表。然后,您可以将此敏感列列表及其相应的敏感类型导入您的数据库。从那里,您可以使用此信息创建和管理透明的敏感数据保护策略。

Want to Learn More?

参考文档:Oracle Transparent Sensitive Data Protection 19c

这个文档挺好,把启用TSDP的步骤和用例讲的很清楚。

Acknowledgements

本实验的作者为Hakim Loumi,数据库安全的PM。贡献者为Rene Fontcha。

这篇关于Oracle LiveLabs实验:DB Security - Transparent Sensitive Data Protection (TSDP)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/677469

相关文章

MySQL双主搭建+keepalived高可用的实现

《MySQL双主搭建+keepalived高可用的实现》本文主要介绍了MySQL双主搭建+keepalived高可用的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,... 目录一、测试环境准备二、主从搭建1.创建复制用户2.创建复制关系3.开启复制,确认复制是否成功4.同

MyBatis 动态 SQL 优化之标签的实战与技巧(常见用法)

《MyBatis动态SQL优化之标签的实战与技巧(常见用法)》本文通过详细的示例和实际应用场景,介绍了如何有效利用这些标签来优化MyBatis配置,提升开发效率,确保SQL的高效执行和安全性,感... 目录动态SQL详解一、动态SQL的核心概念1.1 什么是动态SQL?1.2 动态SQL的优点1.3 动态S

Mysql表的简单操作(基本技能)

《Mysql表的简单操作(基本技能)》在数据库中,表的操作主要包括表的创建、查看、修改、删除等,了解如何操作这些表是数据库管理和开发的基本技能,本文给大家介绍Mysql表的简单操作,感兴趣的朋友一起看... 目录3.1 创建表 3.2 查看表结构3.3 修改表3.4 实践案例:修改表在数据库中,表的操作主要

springboot security使用jwt认证方式

《springbootsecurity使用jwt认证方式》:本文主要介绍springbootsecurity使用jwt认证方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录前言代码示例依赖定义mapper定义用户信息的实体beansecurity相关的类提供登录接口测试提供一

springboot security验证码的登录实例

《springbootsecurity验证码的登录实例》:本文主要介绍springbootsecurity验证码的登录实例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录前言代码示例引入依赖定义验证码生成器定义获取验证码及认证接口测试获取验证码登录总结前言在spring

springboot security快速使用示例详解

《springbootsecurity快速使用示例详解》:本文主要介绍springbootsecurity快速使用示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝... 目录创www.chinasem.cn建spring boot项目生成脚手架配置依赖接口示例代码项目结构启用s

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

mysql出现ERROR 2003 (HY000): Can‘t connect to MySQL server on ‘localhost‘ (10061)的解决方法

《mysql出现ERROR2003(HY000):Can‘tconnecttoMySQLserveron‘localhost‘(10061)的解决方法》本文主要介绍了mysql出现... 目录前言:第一步:第二步:第三步:总结:前言:当你想通过命令窗口想打开mysql时候发现提http://www.cpp

MySQL大表数据的分区与分库分表的实现

《MySQL大表数据的分区与分库分表的实现》数据库的分区和分库分表是两种常用的技术方案,本文主要介绍了MySQL大表数据的分区与分库分表的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有... 目录1. mysql大表数据的分区1.1 什么是分区?1.2 分区的类型1.3 分区的优点1.4 分