Oracle Security: Von Was hättet ihr denn gerne? zu Was braucht ihr wirklich?

Welcher DBA kennt das nicht: einer der ersten SQL-Befehle bei der Installation der Software eines Drittherstellers lautet "GRANT DBA TO .."? Auch die Entwickler aus der eigenen Entwicklungsabteilung wissen nicht, welche Rechte sie in der Datenbank brauchen – und verlangen erst einmal pauschal DBA-Rechte in der Entwicklungsumgebung. Und dann kommt der Sicherheitsbeauftragte an und sagt "jeder darf nur die Rechte bekommen, die er wirklich braucht" – das Least-Privilege-Prinzip ist gefordert.

Aber wie kann man das herausfinden? Seit der Datenbank-Version 12c bietet Oracle dafür das Feature "Privilege Analysis" an. Leider war die Nutzung dieser Funktion ursprünglich an die Database-Vault-Lizenz gekoppelt – und somit für die meisten DBAs nicht (legal) einsetzbar. Diese Einschränkung ist seit November 2018 weggefallen: alle Kunden mit Enterprise-Edition dürfen das Feature nutzen. Grund genug, sich in dem Vortrag diese Funktionalität genauer anzuschauen: Wie kann der DBA feststellen, welche Rechte die Applikationen und Benutzer wirklich brauchen und darauf ein passendes Rechtekonzept aufsetzen?