Sicher

Sicherheit auf Zeilenebene

Man kann sich Sicherheit als in Stufen aufgeteilt vorstellen, und wir empfehlen eine Strategie, bei der eine Aufgabe bzw. Rolle nur so viel Zugriff erhält wie notwendig, sodass jedweder unnötige Zugriff frühestmöglich unterbunden wird.

  • Der erste und vielleicht wichtigste Schritt ist die Sicherung des physischen Zugangs zum Host.
  • Im nächsten Schritt gilt es, den Zugriff auf Ihr Unternehmensnetzwerk im Allgemeinen einzuschränken.
  • Dann muss der Zugriff zum Datenbank-Host eingeschränkt werden.
  • Danach folgt die Einschränkung des Zugriffs auf die Datenbankanwendung.
  • Und dann muss der Zugriff auf die darin enthaltenen Daten eingeschränkt werden.

EDBs Support-Abonnements bieten rechtzeitige Benachrichtigungen für Sicherheits-Updates und entsprechende Patches für Postgres.

Ressourcen

 

 

Ressourcen

  • Demnächst

 

 

Auditing

EDB Postgres Advanced Server bietet DBAs leistungsstarke Kontrollfunktionen, um Sicherheitsrichtlinien bis auf Zeilenebene umzusetzen. Mithilfe von Sicherheit auf Zeilenebene können DBAs anhand beliebig vieler Parameter wie Benutzername, Freigabelevel oder Unternehmenszugehörigkeit einschränken, welche Informationen gesehen oder aktualisiert werden können. Darüber hinaus haben DBAs die Möglichkeit, Benutzeraktivitäten ebenso detailgenau nachzuverfolgen. Dieses Feature ist auf Syntaxebene mit der Implementierung von Oracle kompatibel und schließt die Durchsetzung von Richtlinien auf Spaltenebene bei eingeschränkter Sichtbarkeit von sensiblen Werten und Spalten ein. Zudem gewährt es eine restriktivere Anwendung von Richtlinien unter Verwendung von UND statt ODER bei der Anwendung mehrerer Richtlinien.

 

 

 

 


Integration in LDAP, Active Directory und Kerberos

Das LDAP-Authentifizierungsverfahren ist dann nützlich, wenn von einem zentralen Standort aus eine große Anzahl an Benutzern und Passwörtern verwaltet werden muss. In diesem Szenario beschränkt die Sicherheitskonfigurationsdatei pg_hba.conf („Postgres-Host-basierter-Zugriff“) den Zugriff anhand von Benutzername, Datenbank und Quell-IP, sofern der Benutzer über TCP/IP verbunden ist. Dies hat den Vorteil, dass die pg_hba.conf-Datei klein(er) und handhabbarer bleibt. Außerdem benötigen Benutzer nur noch ein Passwort für die gesamte Infrastruktur. RADIUS ist bei größeren Benutzerzahlen eine weitere Option, die der EDB Postgres Advanced Server unterstützt.

Die GSSAPI (Generic Security Services API) ist ein auf Industriestandards beruhendes Protokoll für sichere Authentifizierungs- und Berechtigungsmodelle wie Kerberos (und LDAP) für Unternehmen. EDB Postgres Advanced Server unterstützt Kerberos, ein sicheres Authentifizierungssystem, welches sich für verteiltes Computing über ein öffentliches Netzwerk eignet. Kerberos setzt Verschlüsselungen mit geheimen Schlüsseln für eine sichere Authentifizierung ein.

Ressourcen

  • Demnächst.