Oracle LiveLabs实验:Transparent Sensitive Data Protection (TSDP)

Posted dingdingfish

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Oracle LiveLabs实验:Transparent Sensitive Data Protection (TSDP)相关的知识,希望对你有一定的参考价值。

概述

此实验申请地址在这里,时间为15分钟。

本实验是DB Security Basics研讨会的的第8个实验,即Lab 8。

实验帮助在这里

本实验使用的数据库为19.13。

Introduction

本研讨会介绍 Oracle 透明敏感数据保护 (TSDP) 的功能。 它让用户有机会学习如何配置这些功能,以便通过即时编辑敏感数据来保护对敏感数据的访问。

目标:

  • 为敏感数据创建 TSDP 策略
  • 检查动态敏感数据编辑以防止其暴露在应用程序之外

透明的敏感数据保护是一种查找和分类包含敏感信息的表列的方法。

Task 1: Prepare the TSDP Environment for the Labs

进入实验目录:

sudo su - oracle
cd $DBSEC_LABS/tsdp

创建 TSDP Admin 用户、TSDP 数据所有者并创建 TSDP 实验用表:

./tsdp_prepare_env.sh

实际执行的命令为:

prompt . Create the TSDP Admin user
GRANT CREATE SESSION TO $DBUSR_TSDPADMIN IDENTIFIED BY $DBUSR_PWD;
GRANT CREATE PROCEDURE TO $DBUSR_TSDPADMIN;
GRANT EXECUTE ON DBMS_TSDP_MANAGE TO $DBUSR_TSDPADMIN;
GRANT EXECUTE ON DBMS_TSDP_PROTECT TO $DBUSR_TSDPADMIN;
GRANT EXECUTE ON DBMS_RLS to $DBUSR_TSDPADMIN;
GRANT EXECUTE ON DBMS_REDACT to $DBUSR_TSDPADMIN;

prompt
prompt . Create the TSDP data owner
GRANT CREATE SESSION, RESOURCE TO $DBUSR_TSDP IDENTIFIED BY $DBUSR_PWD;
GRANT UNLIMITED TABLESPACE TO $DBUSR_TSDP;
GRANT SELECT ON employeesearch_prod.demo_hr_employees to $DBUSR_TSDP;

conn $DBUSR_TSDP/$DBUSR_PWD@$PDB_NAME

prompt . Create TSDP labs table
CREATE TABLE tsdp_hr_employees AS SELECT * FROM employeesearch_prod.demo_hr_employees;
COMMIT;

环境变量如下:

$ env|grep TSDP
DBUSR_TSDPADMIN=tsdp_admin
DBUSR_TSDP=tsdp_labs

Task 2: Create a TSDP Policy

创建敏感类型“CREDIT_CARD_TYPE”,敏感类型是您指定为敏感的一类数据:

./tsdp_create_sensitive_type.sh

实际执行的代码和输出为:


==============================================================================
 Create a TSDP sensitive type for all credit card numbers...
==============================================================================

CON_NAME
------------------------------
PDB1
USER is "TSDP_ADMIN"

-- . Create the sensitive type "credit_card_type" to classify the types of columns to protect
SQL> 
BEGIN
 DBMS_TSDP_MANAGE.ADD_SENSITIVE_TYPE (
  sensitive_type  => 'credit_card_type',
  user_comment    => 'Type for Credit Card columns using a Varchar2 data type');
END;
/

PL/SQL procedure successfully completed.

确定要保护的敏感列(这里,我们的规则是列名为“CORPORATE_CARD”):

./tsdp_add_sensitive_col.sh

实际执行的SQL为:

BEGIN
 DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN(
 schema_name        => 'tsdp_labs',
 table_name         => 'TSDP_HR_EMPLOYEES',
 column_name        => 'CORPORATE_CARD',
 sensitive_type     => 'credit_card_type',
 user_comment       => 'Sensitive column addition of credit_card_type');
END;
/

要根据您定义的敏感类型识别要保护的列,您可以使用 OEM Cloud Control 应用程序数据模型 (ADM) 来识别这些列,也可以使用 DBMS_TSDP_MANAGE.ADD_SENSITIVE_COLUMN 过程。前者是批量添加,后者是单列添加。

创建 TSDP 策略“REDACT_PARTIAL_CC”,基于部分编校,将前 8 个字符替换为“*”。

./tsdp_create_policy.sh

实际执行的SQL为:

DECLARE
  redact_feature_options DBMS_TSDP_PROTECT.FEATURE_OPTIONS;
  policy_conditions DBMS_TSDP_PROTECT.POLICY_CONDITIONS;
BEGIN
  redact_feature_options ('expression') := 'SYS_CONTEXT(''USERENV'',''SESSION_USER'') =''TSDP_LABS''';
  redact_feature_options ('function_type') := 'DBMS_REDACT.PARTIAL';
  redact_feature_options ('function_parameters') := 'VVVVFVVVVFVVVVFVVVV,VVVV-VVVV-VVVV-VVVV,*,1,8';
  policy_conditions(DBMS_TSDP_PROTECT.DATATYPE) := 'VARCHAR2';
  DBMS_TSDP_PROTECT.ADD_POLICY ('redact_partial_cc', DBMS_TSDP_PROTECT.REDACT,redact_feature_options, policy_conditions);
END;
/

您可以通过定义具有以下组件的匿名块来创建策略:

  • 如果您将 Oracle 数据编校用于您的策略,则需要说明您要使用的数据编校类型,例如部分数据编校(DBMS_REDACT.PARTIAL)
  • 如果您将 Oracle 虚拟专用数据库用于您的策略,那么您要使用的 VPD 设置规范
  • 启用策略时要测试的条件。 例如,启用策略之前应满足的列的数据类型(VARCHAR2)
  • 通过使用 DBMS_TSDP_PROTECT.ADD_POLICY 过程,将这些组件联系在一起的命名透明敏感数据保护策略

将 TSDP 策略“REDACT_PARTIAL_CC”与之前创建的敏感类型“CREDIT_CARD_TYPE”相关联:

./tsdp_associate_policy.sh

实际执行的SQL为:

BEGIN
   DBMS_TSDP_PROTECT.ASSOCIATE_POLICY(
   policy_name        => 'redact_partial_cc',
   sensitive_type     => 'credit_card_type',
   associate          => true);
  END;
/

在启用 TSDP 策略之前查看敏感数据:

./tsdp_select_data.sh

输出如下,CORPORATE_CARD列是启用TSDP策略的列:

==============================================================================
 Display the sensitive data from the TSDP table...
==============================================================================

CON_NAME
------------------------------
PDB1
USER is "TSDP_LABS"

SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1

    USERID FIRSTNAME            LASTNAME                       CORPORATE_CARD
---------- -------------------- ------------------------------ -------------------------
       413 Kathy                Allen                          6761601157534710000
       449 Donna                Wright                         6761601157534710000
       467 Martin               Lawrence                       4936211210155040000
       521 Jonathan             Greene                         4905720557944970000
       524 Teresa               Morales                        5602226919579740000
       567 Patricia             Long                           4936211210155040000
       681 Rebecca              Long                           5602249443516610000
       682 Brian                Tucker                         6709177789649670000
       689 Jennifer             Myers                          6334124777282700000
       797 Timothy              Banks                          4905720557944970000
       800 Karen                Thomas                         5602226919579740000
       827 Heather              Campbell                       6759878641253360000
       988 Phyllis              Wright                         5602249443516610000
       989 David                Foster                         6709177789649670000
       996 Wayne                Wood                           6334124777282700000
       999 Kenneth              Marshall                       6759878641253360000

16 rows selected.

启用 TSDP 策略“REDACT_PARTIAL_CC”:

./tsdp_enable_policy.sh

实际执行的SQL为:

BEGIN
 DBMS_TSDP_PROTECT.ENABLE_PROTECTION_TYPE(
  sensitive_type           => 'credit_card_type');
END;
/

再次查看数据,数据编辑已经生效:

$ ./tsdp_select_data.sh

==============================================================================
 Display the sensitive data from the TSDP table...
==============================================================================

CON_NAME
------------------------------
PDB1
USER is "TSDP_LABS"

SQL> SELECT userid, firstname, lastname, corporate_card FROM tsdp_hr_employees WHERE length(corporate_card)=19 order by 1

    USERID FIRSTNAME            LASTNAME                       CORPORATE_CARD
---------- -------------------- ------------------------------ -------------------------
       413 Kathy                Allen                          ****-****-5347-0000
       449 Donna                Wright                         ****-****-5347-0000
       467 Martin               Lawrence                       ****-****-1550-0000
       521 Jonathan             Greene                         ****-****-9449-0000
       524 Teresa               Morales                        ****-****-5797-0000
       567 Patricia             Long                           ****-****-1550-0000
       681 Rebecca              Long                           ****-****-5166-0000
       682 Brian                Tucker                         ****-****-6496-0000
       689 Jennifer             Myers                          ****-****-2827-0000
       797 Timothy              Banks                          ****-****-9449-0000
       800 Karen                Thomas                         ****-****-5797-0000
       827 Heather              Campbell                       ****-****-2533-0000
       988 Phyllis              Wright                         ****-****-5166-0000
       989 David                Foster                         ****-****-6496-0000
       996 Wayne                Wood                           ****-****-2827-0000
       999 Kenneth              Marshall                       ****-****-2533-0000

16 rows selected.

如您所见,TSDP 立即编辑敏感数据,您无需重新启动数据库或重写 SQL 查询!

Task 3: (Optional) Reset the TSDP Labs Environment

运行以下命令以重置环境:

./tsdp_reset_env.sh

实际执行的SQL为:

prompt . Disable the TSDP policy
BEGIN
 DBMS_TSDP_PROTECT.DISABLE_PROTECTION_COLUMN(
  schema_name          => 'tsdp_labs',
  table_name           => 'TSDP_HR_EMPLOYEES',
  column_name          => '%');
END;
/

prompt . Drop the sensitive column
BEGIN
 DBMS_TSDP_MANAGE.DROP_SENSITIVE_COLUMN (
   schema_name        => 'tsdp_labs',
   table_name         => 'TSDP_HR_EMPLOYEES',
   column_name        => 'CORPORATE_CARD');
END;
/

prompt . Drop the sensitive type
BEGIN
 DBMS_TSDP_MANAGE.DROP_SENSITIVE_TYPE (
 sensitive_type     => 'credit_card_type');
END;
/

prompt . Drop the TSDP policy
BEGIN
 DBMS_TSDP_PROTECT.DROP_POLICY(
   policy_name     => 'redact_partial_cc');
END;
/

Appendix: About the Product

透明敏感数据保护 (TSPD) 是一种查找和分类包含敏感信息的表列的方法。

此功能使您能够快速找到数据库中包含敏感数据的表列,对该数据进行分类,然后为给定类创建一个整体保护该数据的策略。 此类敏感数据的示例是信用卡号或社会保险号。

然后,TSDP 策略通过使用 Oracle 数据编辑或 Oracle 虚拟专用数据库设置来保护这些表列中的敏感数据。 TSDP 策略适用于您要保护的表的列级别,针对特定的列数据类型,例如包含信用卡信息的列的所有 NUMBER 数据类型。 您可以为您分类的所有数据创建统一的 TSDP 策略,然后在合规性法规发生变化时根据需要修改此策略。 或者,您可以导出 TSDP 策略以在其他数据库中使用。

TSDP 策略的好处是巨大的:您可以轻松地在拥有大量数据库的大型组织中创建和应用 TSDP 策略。 这使审计人员能够估计 TSDP 策略所针对的数据的保护程度,从而极大地帮助审计人员。 TSDP 对于政府环境特别有用,在这种环境中,您可能拥有大量具有类似安全限制的数据,并且您必须一致地对所有这些数据应用策略。 策略可以是编辑、加密、控制对它的访问、审计对它的访问,并在审计跟踪中屏蔽它。 如果没有 TSDP,您将不得不逐列配置每个编校策略、列级加密配置和虚拟专用数据库策略。

使用透明敏感数据保护 (TSDP) 的好处:

  • **您只需配置一次敏感数据保护,然后根据需要部署此保护。**您可以配置透明的敏感数据保护策略来指定必须如何保护一类数据(例如,信用卡列),而无需实际指定目标数据。换句话说,当您创建透明敏感数据保护策略时,您不需要包含对您要保护的实际目标列的引用。透明敏感数据保护策略根据数据库中的敏感列列表以及策略与指定敏感类型的关联来查找这些目标列。当您在创建透明的敏感数据保护策略后向数据库添加更多敏感数据时,这会很有用。创建策略后,您可以在一个步骤中启用对敏感数据的保护(例如,基于整个源数据库启用保护)。新数据的敏感类型以及敏感类型和策略关联决定了如何保护敏感数据。这样,随着新的敏感数据的增加,您无需配置其保护,只要满足当前透明敏感数据保护策略的要求即可。

  • **您可以管理多个敏感列的保护。**您可以根据合适的属性(例如标识的源数据库、敏感类型本身或特定架构、表或列)启用或禁用对多个敏感列的保护。这种粒度提供了对数据安全性的高级控制。此功能的设计使您能够根据属于这些合规性法规范围的大型数据集的特定合规性需求来管理数据安全性。您可以根据特定类别而不是为每个单独的列配置数据安全性。例如,您可以为信用卡号或社会保险号配置保护,但您不需要为数据库中包含此数据的每一列配置保护。

  • **您可以保护使用 Oracle Enterprise Manager Cloud Control 应用程序数据建模 (ADM) 功能识别的敏感列。**您可以使用 Cloud Control AD​​M 功能创建敏感类型并发现敏感列的列表。然后,您可以将此敏感列列表及其相应的敏感类型导入您的数据库。从那里,您可以使用此信息创建和管理透明的敏感数据保护策略。

Want to Learn More?

参考文档:Oracle Transparent Sensitive Data Protection 19c

这个文档挺好,把启用TSDP的步骤和用例讲的很清楚。

Acknowledgements

本实验的作者为Hakim Loumi,数据库安全的PM。贡献者为Rene Fontcha。

以上是关于Oracle LiveLabs实验:Transparent Sensitive Data Protection (TSDP)的主要内容,如果未能解决你的问题,请参考以下文章

Oracle LiveLabs实验:Oracle RAC Fundamentals

Oracle LiveLabs实验:Install Oracle Database 21c

Oracle LiveLabs实验:DB Security - Oracle Label Security (OLS)

Oracle LiveLabs实验:Oracle Label Security (OLS)

Oracle LiveLabs实验:Introduction to Oracle Spatial

Oracle LiveLabs实验:Introduction to Oracle Spatial