Caché Security. Jak vypadá zabezpečení dnes Jak bude vypadat a co by Caché měla umět v budoucnu Včera, dnes a zítra.

Slides:



Advertisements
Podobné prezentace
Základy jazyka SQL Jan Tichava
Advertisements

SQL: DDL v ORACLE CREATE TABLE jméno_tabulky (atribut datový_typ [DEFAULT][attribut_constraint] [, atribut datový_typ [DEFAULT] [attribut_constraint]],...
Aplikační a programové vybavení
Jazyk SQL Ing. Zdena DOBEŠOVÁ. SQL Structured Query Language 1974 SEQUEL (Structured English Query Language) neprocedurální relační dotazovací jazyk norma.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-02.
Další dotazy SQL Structured Query Language. Některé SQL příkazy mohou mít v sobě obsaženy další kompletní příkazy SELECT. Využijeme je tam, kde potřebujeme.
Microsoft SQL server Databázový systém. Úvod  aktuální verze na trhu je MS SQL  verze: plná komerční - Enterprise Edition pro vyzkoušení volně.
Informatika pro ekonomy II přednáška 11
PROGRAMOVACÍ JAZYKY (c) Tralvex Yeap. All Rights Reserved.
SQL Lukáš Masopust Historie  Předchůdcem databází byly papírové kartotéky  děrný štítek  1959 konference  1960 – vytvořen jazyk COBOL.
Uživatelé, Role, Schémata
Radek Špinka Přepínače MSSQL výběr.
Softwarové zabezpečení serveru
MySQL - Vytvoření nové tabulky  create table jméno_tabulky (jméno_položky typ_položky,... ) Přehled nejběžnějších datových typů Přehled nejběžnějších.
Fakulta elektrotechniky a informatiky
Databázové systémy II Přednáška č. 2 RNDr. David Žák, Ph.D. Fakulta elektrotechniky a informatiky
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-05.
Databázové systémy II Přednáška č. 8 – Pohledy (Views)
Školení správců II. Petr Pinkas RNDr. Vít Ochozka.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Datové schránky ve velké společnosti SharePoint partenrská konference Microsoft Pavel Salava Mainstream technologies,
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
Databázové systémy teorie a návrh relačních databázových systémů část II.
Vypracoval: Ondřej Dvorský Třída: VIII.A
KIV/ZIS cvičení 6 Tomáš Potužák. Pokračování SQL Klauzule GROUP BY a dotazy nad více tabulkami Stáhnout soubor studenti_dotazy_sql.mdb.
Bezpečnost IS David Krch Solutions Specialist IS Technolog. Fyzická Osobní Organizační Komplexní pohled na bezpečnost Technolog. IS.
Principals, Securables, Schema Vít Ochozka. Entity databáze - zdroje Securables –Entity databáze (zdroje), ke kterým SQL reguluje přístup podle práv –Hierachie.
SQL PVA Jan Hora. SQL „graficky“ Grafický vs. pravý SQL SELECT ORDED BY WHERE.
Administrace Oracle Práva a role, audit Filip Řepka 2010.
1 © 2004, Cisco Systems, Inc. All rights reserved. CCNA 2 v3.1 Module 3 Configuring a Router.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-03.
Databázové systémy II Přednáška č. 9. Transakce je logická jednotka práce sestávající z jednoho nebo více SQL příkazů, které jsou atomické z hlediska.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Using Cache’s Security Features Štefan Havlíček. Proč se starat o zabezpečení aplikací Když to neuděláte: Když to neuděláte: –Vaše rodina bude prodána.
Aplikační role Vít Ochozka. K čemu nám slouží Omezit přístup k databázi AKORD jen prostřednictvím konkrétní aplikace Jiné aplikace – MS excel, MS access,
Copyright (C) 2000 Vema, a. s.1 V3 klient Michal Máčel Provozní integrace G2, HR/Win a internetu.
Autentizace a účty v AD. Autentizace stanice v AD.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Obchodní akademie, Ostrava-Poruba, příspěvková organizace Vzdělávací materiál/DUM VY_32_INOVACE_01B13 Autor Ing. Jiří Kalousek Období vytvoření březen.
Databázové systémy 2 Cvičení č. 5 Fakulta elektrotechniky a informatiky Univerzita Pardubice.
T - SOFT spol. s r.o. Systém integrované bezpečnosti Mgr. Pavel Hejl, CSc 2007.
Selektivní šifrování dat v databázích
Reindexace, Rekompilace
ADO.NET – object Connection Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí.
Systém souborů. Množina souborů různých typů – Data – Spustitelné programy – Konfigurační a pomocné informace – I/O zařízení Způsob organizace množiny.
Miroslav Skokan IT Security Consultant
Delphi a databáze MS SQL Server.
Databázové systémy Zabezpečení DBS. Cíle, které je třeba vzít v úvahu při návrhu databázové aplikace z pohledu bezpečnosti: Důvěrnost - informace by neměly.
Pohled uživatele.
Systém souborů. Množina souborů různých typů – Data – Spustitelné programy – Konfigurační a pomocné informace – I/O zařízení Způsob organizace množiny.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Uživatelé a skupiny Anonym poslal otázku na administrátora: „Nezdá se ti blbý odpovídat na anonymní otázky z internetu?“
Zabezpečení. GPO Security Settings Comp Conf – Win Settings – Security Settings Account Policies – Password Policy – požadavky na hesla uživatelů Doménová.
Databázové systémy I Cvičení č. 5 Fakulta elektrotechniky a informatiky Univerzita Pardubice 2013.
Databázové systémy II Přednáška II Ing. Tomáš Váňa, Ing. Jiří Zechmeister Fakulta elektrotechniky a informatiky
David Gešvindr MCSA: SQL Server | MSP | MCITP | MCPD.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
Audit a řešení problémů v počítačové síti. Rozdělení údržby 1. Vzdálený dohled a monitoring celé sítě 2. Pravidelné prohlídky jedním přiděleným servisním.
FTP-SSL FTP-SSL Martin Dušek Martin Fúsek Josef Vlček.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Paměti PC HDD, CD/DVD, USB Flash RAM a ROM Vnější paměť Disková paměť
Bezpečnostní technologie I
Databázové systémy I Přednáška 11 Databázové systémy 1 – KIT/IDAS1
Identity management v UIS
Databázové systémy a SQL
TELNET, FTP.
Distribuovaný systém souborů
Systém souborů 1.
Transkript prezentace:

Caché Security

Jak vypadá zabezpečení dnes Jak bude vypadat a co by Caché měla umět v budoucnu Včera, dnes a zítra

Caché dnes standardní nastavení Caché po instalaci základní názor = zabezpečit systém jako celek tři základní skupiny zabezpečení serveru Caché direct usernames Caché direct usernames Users and Terminal Access (jen Windows) Users and Terminal Access (jen Windows) SQL usernames SQL usernames

Caché direct usernames uživatelé, kteří mohou používat grafické utility, připojení z VB a Javy (objektový přístup) Caché Control Panel seznam uživatelů seznam uživatelů jméno + heslo case sensitive jméno + heslo case sensitive aktivace kontrolování!!! right-click = Security Checking Enabled right-click = Security Checking Enabled zkontrolovat + otestovat hesla zkontrolovat + otestovat hesla „an undocumented command can disable security“ „an undocumented command can disable security“

Users and Terminal Access na Unixu a OpenVMS login přímo do systému na Windows speciální účty Caché Control Panel Caché Control Panel vytvoření účtů složka User Accounts login TRM: lokální připojení lokální připojení obvykle bez hesla obvykle bez hesla login: „SYS“, heslo: „XXX“ přístup na terminál přístup na terminál k omezení práv slouží routiny a namespace k omezení práv slouží routiny a namespace

SQL přístup přes ODBC zapnutí kontrol Security při přístupu přes SQL zapnutí kontrol Security při přístupu přes SQL restart Caché (při NO?) restart Caché (při NO?) změna práv na SQL pomocí SQL pomocí SQL GRANT ACCESS k NAMESPACE GRANT ACCESS k NAMESPACE SQL usernames and roles SQL usernames and roles pomocí Caché SQL Manager pomocí Caché SQL Manager

SQL - Commands CREATE USER user_name IDENTIFY BY password ALTER USER user_name IDENTIFY BY password DROP USER user_name CREATE ROLE role_name DROP ROLE role_name GRANT system_level_privilege [, system_level_privilege ] TO [ user_name |PUBLIC] [WITH ADMIN OPTION] system_level_privilege: %CREATE_USER, %ALTER_USER, %DROP_USER, %CREATE_ROLE, %GRANT_ANY_ROLE, %DROP_ANY_ROLE, %GRANT_ANY_PRIVILEGE REVOKE system_level_privilege [, system_level_privilege ] FROM [ user_name |PUBLIC] GRANT object_level_privilege [, object_level_privilege ] ON [*| table_name ] TO user_name [WITH GRANT OPTION] object_level_privilege: %ALTER, DELETE, INSERT, REFERENCES, SELECT, UPDATE REVOKE object_level_privilege [, object_level_privilege ] ON [*| object_name ] FROM user_name CASCADE where object_level_privilege: %ALTER, DELETE, INSERT, REFERENCES, SELECT, UPDATE

SQL - Commands … stejné příkazy pro Role = použije se jméno role místo jména uživatele GRANT role_name [, role_name ] TO user_name REVOKE role_name [, role_name ] FROM user_name Změna hesla u _SYSTEM ALTER USER “_SYSTEM” IDENTIFY BY password ALTER USER “_SYSTEM” IDENTIFY BY password aby mohl být tento příkaz vykonán, musí být zapnuta podpora identifikátorů s oddělovačem („_“) např. pomocí Caché Configuration Manager nebo pomocí příkazu: D SetDelimitedIdentifiers^%apiSQL(1) aby mohl být tento příkaz vykonán, musí být zapnuta podpora identifikátorů s oddělovačem („_“) např. pomocí Caché Configuration Manager nebo pomocí příkazu: D SetDelimitedIdentifiers^%apiSQL(1)

Co tedy dělat? 1.Zakázat neautorizovaný přístup z GUI 1. Zapnout kontroly 2. Nadefinovat uživatele 2.Pozor na terminál 1. Změna hesla pro login SYS 2. Nebo zakázat přístup na Telnet úplně 3.ODBC 1. Změna hesla pro login _SYSTEM 4.Nejlépe zavřít porty 24, 1972, 4001 pro přístup zvenčí 5.Firewall

Co tedy přijde? Co si v InterSystems představují? Co bude nového a co s tím?

Kdy a co? Všechno bude implementováno v Caché 5.1 centrální správa přístupových práv Caché Advanced Security Caché Advanced Securityresourcesprivileges

Resource+Privilege něco co má být chráněno a jak má být chráněno privilege read read write write use use develop develop

Database Privileges zabezpečení přístupu do celé databáze Povolení %DB/ DevelopModifikování spustitelného kódu ReadPřístup k datům UseSpouštění kódu WriteZměna dat (nikoli spustitelného kódu)

Dále… Namespaces například při změně aktivního namespace například při změně aktivního namespace Percent Routines and Globals zabezpečení rutin „s procentem“ a zabezpečení globálů zabezpečení rutin „s procentem“ a zabezpečení globálů Default Database Privileges Service Privilege zabezpečení různých druhů připojení do Caché zabezpečení různých druhů připojení do Caché

Dále… Administrative Privileges administrátorská práva, přidělování rolí, ukončení procesů, atd. administrátorská práva, přidělování rolí, ukončení procesů, atd. Development Privilege přístup k ladícím a vývojovým prostředkům v Caché přístup k ladícím a vývojovým prostředkům v Caché debugging, spouštění Caché Studia, atd.

Jak zjistit svoje práva? $SYSTEM.Security.Check(“%DB/Samples”, “WRITE”) vrací True nebo False podle toho, jestli proces vlastní nebo nevlastní Write právo do databáze Samples vrací True nebo False podle toho, jestli proces vlastní nebo nevlastní Write právo do databáze Samples$SYSTEM.Security.Check(“%DB/Samples”) vrací seznam přidělených práv oddělený čárkami vrací seznam přidělených práv oddělený čárkami

Role skupina práv každý uživatel má přidělenou určitou roli v Caché Adv.Security mohou být privilege přidělovány pouze rolím, nikoli přímo uživatelům předdefinované role %Public, %Developer, %Manager, %Operator %Public, %Developer, %Manager, %Operator Manager může téměř vše Manager může téměř vše

%All existuje vždy zahrnuje všechna práva ke všem prostředkům v Caché nelze ji měnit ani smazat v systému musí existovat alespoň jeden uživatel s touto rolí administrátor administrátor

Uživatelské účty jméno a plné jméno povoleno? datum vypršení povolení seznam rolí datum a čas posledního přístupu předdefinované Admin = %Manager Admin = %Manager SuperUser = %All SuperUser = %All

Co když … ? jedinou možností, jak vymazat nastavení zabezpečení, je celkové přeinstalování systému

Autentifikace uživatelů heslo standardní, minimální délka, atd. standardní, minimální délka, atd. vlastní databáze, uloženo v hashované podobě vlastní databáze, uloženo v hashované podobě operační systém Kerberos jen kde je nutné velké zabezpečení dat jen kde je nutné velké zabezpečení dat identifikace v propojení client/server identifikace v propojení client/server

Logování při jakémkoli přístupu do Caché se musí uživatel identifikovat i přes CSP, atd. i přes CSP, atd. informace o zalogovaném uživateli %USERNAME %USERNAME %ROLES %ROLES

Práva uživatelů/aplikace každá aplikace může obsahovat svoje přístupová práva do systému například u CSP, nebo při přístupu přes SQL například u CSP, nebo při přístupu přes SQL

Závěrem pokud zabezpečení není nutné, vypněte všechny tyto prostředky!!! pokud zabezpečení není nutné, vypněte všechny tyto prostředky!!!