概述
此实验申请地址在这里,时间为15分钟。
本实验是DB Security Basics研讨会的的第8个实验,即Lab 8。
实验帮助在这里。
本实验使用的数据库为19.13。
Introduction
本研讨会介绍 Oracle 透明敏感数据保护 (TSDP) 的功能。 它让用户有机会学习如何配置这些功能,以便通过即时编辑敏感数据来保护对敏感数据的访问。
目标:
- 为敏感数据创建 TSDP 策略
- 检查动态敏感数据编辑以防止其暴露在应用程序之外
透明的敏感数据保护是一种查找和分类包含敏感信息的表列的方法。
Task 1: Prepare the TSDP Environment for the Labs
进入实验目录:
sudo su - oracle
cd $DBSEC_LABS/tsdp
创建 TSDP Admin 用户、TSDP 数据所有者并创建 TSDP 实验用表:
./tsdp_prepare_env.sh
实际执行的命令为:
prompt . Create the TSDP Admin user
GRANT CREATE SESSION TO ${DBUSR_TSDPADMIN} IDENTIFIED BY ${DBUSR_PWD};
GRANT CREATE PROCEDURE TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_TSDP_MANAGE TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_TSDP_PROTECT TO ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_RLS to ${DBUSR_TSDPADMIN};
GRANT EXECUTE ON DBMS_REDACT to ${DBUSR_TSDPADMIN};
prompt
prompt . Create the TSDP data owner
GRANT CREATE SESSION, RESOURCE TO ${DBUSR_TSDP} IDENTIFIED BY ${DBUSR_PWD};
GRANT UNLIMITED TABLESPACE TO ${DBUSR_TSDP};
GRANT SELECT ON employeesearch_prod.demo_hr_employees to ${DBUSR_TSDP};
conn ${DBUSR_TSDP}/${DBUSR_PWD}@${PDB_NAME}
prompt . Create TSDP labs table
CREATE TABLE tsdp_hr_employees AS SELECT * FROM employeesearch_prod.demo_hr_employees;
COMMIT;
环境变量如下:
$ env|grep TSDP
DBUSR_TSDPADMIN=tsdp_admin
DBUSR_TSDP=tsdp_labs
Task 2: Create a TSDP Policy
创建敏感类型“CREDIT_CARD_TYPE”,敏感类型是您指定为敏感的一类数据:
./tsdp_create_sensitive_type.sh
实际执行的代码和输出为:
==============================================================================
Create a TSDP sensitive type for all credit card numbers...
==============================================================================
CON_NAME
PDB1
USER is "TSDP_ADMIN"
SQL>
BEGIN
DBMS_TSDP_MANAGE.ADD_SENSITIVE_TYPE (
sensitive_type => 'credit_card_type',
user_comment => 'Type for Credit Card columns using a Varchar2 data type');
END;
/
PL/SQL procedure successfully completed.
确定要保护的敏感列(这里,我们的规则是列名为“CORPORATE_CARD”):
./tsdp_add_sensitive_col.sh
实际执行的SQL为:
BEGIN
DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN(
schema_name => 'tsdp_labs',
table_name => 'TSDP_HR_EMPLOYEES',
column_name => 'CORPORATE_CARD',
sensitive_type => 'credit_card_type',
user_comment => 'Sensitive column addition of credit_card_type');
END;
/
要根据您定义的敏感类型识别要保护的列,您可以使用 OEM Cloud Control 应用程序数据模型 (ADM) 来识别这些列,也可以使用 DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN 过程。前者是批量添加,后者是单列添加。
创建 TSDP 策略“REDACT_PARTIAL_CC”,基于部分编校,将前 8 个字符替换为“*”。
./tsdp_create_policy.sh
实际执行的SQL为:
DECLARE
redact_feature_options DBMS_TSDP_PROTECT.FEATURE_OPTIONS;
policy_conditions DBMS_TSDP_PROTECT.POLICY_CONDITIONS;
BEGIN
redact_feature_options ('expression') := 'SYS_CONTEXT(''USERENV'',''SESSION_USER'') =''TSDP_LABS''';
redact_feature_options ('function_type') := 'DBMS_REDACT.PARTIAL';
redact_feature_options ('function_parameters') := 'VVVVFVVVVFVVVVFVVVV,VVVV-VVVV-VVVV-VVVV,*,1,8';
policy_conditions(DBMS_TSDP_PROTECT.DATATYPE) := 'VARCHAR2';
DBMS_TSDP_PROTECT.ADD_POLICY ('redact_partial_cc', DBMS_TSDP_PROTECT.REDACT,redact_feature_options, policy_conditions);
END;
/
您可以通过定义具有以下组件的匿名块来创建策略:
- 如果您将 Oracle 数据编校用于您的策略,则需要说明您要使用的数据编校类型,例如部分数据编校(DBMS_REDACT.PARTIAL)
- 如果您将 Oracle 虚拟专用数据库用于您的策略,那么您要使用的 VPD 设置规范
- 启用策略时要测试的条件。 例如,启用策略之前应满足的列的数据类型(VARCHAR2)
- 通过使用 DBMS_TSDP_PROTECT.ADD_POLICY 过程,将这些组件联系在一起的命名透明敏感数据保护策略
将 TSDP 策略“REDACT_PARTIAL_CC”与之前创建的敏感类型“CREDIT_CARD_TYPE”相关联:
./tsdp_associate_policy.sh
实际执行的SQL为:
BEGIN
DBMS_TSDP_PROTECT.ASSOCIATE_POLICY(
policy_name => 'redact_partial_cc',
sensitive_type => 'credit_card_type',
associate => true);
END;
/
在启用 TSDP 策略之前查看敏感数据:
./tsdp_select_data.sh
输出如下,CORPORATE_CARD列是启用TSDP策略的列:
==============================================================================
Display the sensitive data from the TSDP table...
==============================================================================
CON_NAME
------------------------------
PDB1
USER is "TSDP_LABS"
SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1
USERID FIRSTNAME LASTNAME CORPORATE_CARD
---------- -------------------- ------------------------------ -------------------------
413 Kathy Allen 6761601157534710000
449 Donna Wright 6761601157534710000
467 Martin Lawrence 4936211210155040000
521 Jonathan Greene 4905720557944970000
524 Teresa Morales 5602226919579740000
567 Patricia Long 4936211210155040000
681 Rebecca Long 5602249443516610000
682 Brian Tucker 6709177789649670000
689 Jennifer Myers 6334124777282700000
797 Timothy Banks 4905720557944970000
800 Karen Thomas 5602226919579740000
827 Heather Campbell 6759878641253360000
988 Phyllis Wright 5602249443516610000
989 David Foster 6709177789649670000
996 Wayne Wood 6334124777282700000
999 Kenneth Marshall 6759878641253360000
16 rows selected.
启用 TSDP 策略“REDACT_PARTIAL_CC”:
./tsdp_enable_policy.sh
实际执行的SQL为:
BEGIN
DBMS_TSDP_PROTECT.ENABLE_PROTECTION_TYPE(
sensitive_type => 'credit_card_type');
END;
/
再次查看数据,数据编辑已经生效:
$ ./tsdp_select_data.sh
==============================================================================
Display the sensitive data from the TSDP table...
==============================================================================
CON_NAME
PDB1
USER is "TSDP_LABS"
SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1
USERID FIRSTNAME LASTNAME CORPORATE_CARD
413 Kathy Allen ****-****-5347-0000
449 Donna Wright ****-****-5347-0000
467 Martin Lawrence ****-****-1550-0000
521 Jonathan Greene ****-****-9449-0000
524 Teresa Morales ****-****-5797-0000
567 Patricia Long ****-****-1550-0000
681 Rebecca Long ****-****-5166-0000
682 Brian Tucker ****-****-6496-0000
689 Jennifer Myers ****-****-2827-0000
797 Timothy Banks ****-****-9449-0000
800 Karen Thomas ****-****-5797-0000
827 Heather Campbell ****-****-2533-0000
988 Phyllis Wright ****-****-5166-0000
989 David Foster ****-****-6496-0000
996 Wayne Wood ****-****-2827-0000
999 Kenneth Marshall ****-****-2533-0000
16 rows selected.
如您所见,TSDP 立即编辑敏感数据,您无需重新启动数据库或重写 SQL 查询!
Task 3: (Optional) Reset the TSDP Labs Environment
运行以下命令以重置环境:
./tsdp_reset_env.sh
实际执行的SQL为:
prompt . Disable the TSDP policy
BEGIN
DBMS_TSDP_PROTECT.DISABLE_PROTECTION_COLUMN(
schema_name => 'tsdp_labs',
table_name => 'TSDP_HR_EMPLOYEES',
column_name => '%');
END;
/
prompt . Drop the sensitive column
BEGIN
DBMS_TSDP_MANAGE.DROP_SENSITIVE_COLUMN (
schema_name => 'tsdp_labs',
table_name => 'TSDP_HR_EMPLOYEES',
column_name => 'CORPORATE_CARD');
END;
/
prompt . Drop the sensitive type
BEGIN
DBMS_TSDP_MANAGE.DROP_SENSITIVE_TYPE (
sensitive_type => 'credit_card_type');
END;
/
prompt . Drop the TSDP policy
BEGIN
DBMS_TSDP_PROTECT.DROP_POLICY(
policy_name => 'redact_partial_cc');
END;
/
Appendix: About the Product
透明敏感数据保护 (TSPD) 是一种查找和分类包含敏感信息的表列的方法。
此功能使您能够快速找到数据库中包含敏感数据的表列,对该数据进行分类,然后为给定类创建一个整体保护该数据的策略。 此类敏感数据的示例是信用卡号或社会保险号。
然后,TSDP 策略通过使用 Oracle 数据编辑或 Oracle 虚拟专用数据库设置来保护这些表列中的敏感数据。 TSDP 策略适用于您要保护的表的列级别,针对特定的列数据类型,例如包含信用卡信息的列的所有 NUMBER 数据类型。 您可以为您分类的所有数据创建统一的 TSDP 策略,然后在合规性法规发生变化时根据需要修改此策略。 或者,您可以导出 TSDP 策略以在其他数据库中使用。
TSDP 策略的好处是巨大的:您可以轻松地在拥有大量数据库的大型组织中创建和应用 TSDP 策略。 这使审计人员能够估计 TSDP 策略所针对的数据的保护程度,从而极大地帮助审计人员。 TSDP 对于政府环境特别有用,在这种环境中,您可能拥有大量具有类似安全限制的数据,并且您必须一致地对所有这些数据应用策略。 策略可以是编辑、加密、控制对它的访问、审计对它的访问,并在审计跟踪中屏蔽它。 如果没有 TSDP,您将不得不逐列配置每个编校策略、列级加密配置和虚拟专用数据库策略。
使用透明敏感数据保护 (TSDP) 的好处:
-
**您只需配置一次敏感数据保护,然后根据需要部署此保护。**您可以配置透明的敏感数据保护策略来指定必须如何保护一类数据(例如,信用卡列),而无需实际指定目标数据。换句话说,当您创建透明敏感数据保护策略时,您不需要包含对您要保护的实际目标列的引用。透明敏感数据保护策略根据数据库中的敏感列列表以及策略与指定敏感类型的关联来查找这些目标列。当您在创建透明的敏感数据保护策略后向数据库添加更多敏感数据时,这会很有用。创建策略后,您可以在一个步骤中启用对敏感数据的保护(例如,基于整个源数据库启用保护)。新数据的敏感类型以及敏感类型和策略关联决定了如何保护敏感数据。这样,随着新的敏感数据的增加,您无需配置其保护,只要满足当前透明敏感数据保护策略的要求即可。 -
**您可以管理多个敏感列的保护。**您可以根据合适的属性(例如标识的源数据库、敏感类型本身或特定架构、表或列)启用或禁用对多个敏感列的保护。这种粒度提供了对数据安全性的高级控制。此功能的设计使您能够根据属于这些合规性法规范围的大型数据集的特定合规性需求来管理数据安全性。您可以根据特定类别而不是为每个单独的列配置数据安全性。例如,您可以为信用卡号或社会保险号配置保护,但您不需要为数据库中包含此数据的每一列配置保护。 -
**您可以保护使用 Oracle Enterprise Manager Cloud Control 应用程序数据建模 (ADM) 功能识别的敏感列。**您可以使用 Cloud Control AD??M 功能创建敏感类型并发现敏感列的列表。然后,您可以将此敏感列列表及其相应的敏感类型导入您的数据库。从那里,您可以使用此信息创建和管理透明的敏感数据保护策略。
Want to Learn More?
参考文档:Oracle Transparent Sensitive Data Protection 19c
这个文档挺好,把启用TSDP的步骤和用例讲的很清楚。
Acknowledgements
本实验的作者为Hakim Loumi,数据库安全的PM。贡献者为Rene Fontcha。
|