Chiffrer une bdd Oracle

Message par **dricfr** » jeu. 21 mars 2013 14:32

Salut,

je voulais savoir s'il existait déjà un mécanisme de chiffrement dans Oracle server ( standard edition).
l'objectif étant de crypter tout ou partie des tables, sans mettre en vrac toute l'infrastructure.

Voilà, si vous aviez des pistes...

Merci

Message par **Zedoune** » ven. 22 mars 2013 11:16

Salut

C'est quoi l'objectif au final ?

Message par **TheMartel** » ven. 22 mars 2013 11:23

pouvoir niquer toute sa bdd en perdant son mdp

Message par **steff00** » ven. 22 mars 2013 14:02

Message par **gizmo78** » ven. 22 mars 2013 14:41

plutôt chiffrer le fs?

mais bon vla les perfs ^^ et comme le dit Z tu perds le certificat ou le mdp et tu l'as dans le cu* ^^

Message par **TheMartel** » ven. 22 mars 2013 14:54

plutôt chiffrer le fs?

mais bon vla les perfs ^^ et comme le dit Z tu perds le certificat ou le mdp et tu l'as dans le cu* ^^

c'est moi qui ai dit ça

rendez a [:androids974:5] ce qui est a [:androids974:5]

Message par **gizmo78** » ven. 22 mars 2013 14:55

ha ouais possible

Message par **Zedoune** » ven. 22 mars 2013 14:57

Parfaitement, j'ai jamais dit ça moi

Je lui demande plutôt pourquoi il veut faire ça, parce que c'est peut être le problème qui n'est pas forcément bien posé.

Comment chiffrer la base ? Ok, mais pourquoi la chiffrer ? Il faut réduire l'accès à certaines tables à certains utilisateurs ? Il faut la chiffrer sur le disque ? C'est pour éviter qu'un admin puisse les lire ou autre chose ?

Message par **dricfr** » ven. 22 mars 2013 19:47

Alors, n'étant un spécialiste de la bdd, j'avais proposé de chiffrer le FS, mais à priori c'est pas possible.
Le client à une GED, des données sont sauvées en BDD. Il faut éviter que ses données puissent être consultées en dehors de l'accès défini par le dit client.
Si j'ai bien compris, il faudrait "crypter" les données qui sont stockées. Enfin, je ne vois que ça à faire. Je crois qu'Oracle fourni un soft spécifique d'ailleurs (avec Licence supplémentaire).

Le problème c'est que le gars qui a vendu ça à écrit "chiffrement des données", super, mais moi je ne sais pas comment faire... Comme ce sont des doc de santé, seuls les personnes autorisées doivent pouvoir les consulter ( médecin...).

J'ai envie de leur dire que pour traquer les user il faut faire de l'audit, et le format de stockage en bdd empêche déjà l'accès aux données via le FS ? Non ?

Message par **Zedoune** » ven. 22 mars 2013 19:52

ce qu'il faut c'est que la GED chiffre le stockage en base et que l'utilisateur soit le seul à pouvoir déchiffrer à l'aide d'une clé ou d'un mdp.

Chiffrer le FS ne sert à rien si tu te connectes à la bdd tu as accès aux données.

Chiffrer un FS ça sert à éviter la récupération des données ou à empêcher le vol et reboot du matériel sans le mot de passe.

Message par **dricfr** » ven. 22 mars 2013 20:13

C'est le deuxième cas le besoin.

Merci !!!

Sauf que chiffrer le FS... bon enfin, ça me conforte dans cette idée.

Hélas, la GED ne chiffre pas les données et n'offre pas cette possibilité.

Message par **Zedoune** » ven. 22 mars 2013 21:03

C'est le deuxième cas le besoin.

Merci !!!

Sauf que chiffrer le FS... bon enfin, ça me conforte dans cette idée.

Hélas, la GED ne chiffre pas les données et n'offre pas cette possibilité.

c'est pas très difficile de chiffrer un FS Unix

Message par **dricfr** » sam. 23 mars 2013 15:29

Les serveurs de bdd sont sous windows server. (:

Message par **micha30000** » lun. 25 mars 2013 11:12

Un bon p'tit lvm chiffré / LUKS. Mais bon c'est pas le soucis, dans ton cas ça devrait être l'application qui chiffre ce dont elle a besoin. Et encore ça serait un chiffrement symétrique donc presque inutile si ton soft est fait maison / pas mis à jour / troué de partout

Message par **Zedoune** » lun. 25 mars 2013 11:23

Un bon p'tit lvm chiffré / LUKS. Mais bon c'est pas le soucis, dans ton cas ça devrait être l'application qui chiffre ce dont elle a besoin. Et encore ça serait un chiffrement symétrique donc presque inutile si ton soft est fait maison / pas mis à jour / troué de partout

Il est sous Windows, donc pas de LUKS, mais je suppose que Windows propose une solution pour le chiffrage des partitions.

Message par **dsebire** » lun. 25 mars 2013 11:24

pas de partition mais de dossier/fichier oui

Message par **micha30000** » lun. 25 mars 2013 11:47

J'avais pas vu désolé, dans ma tête, serveur web = linux

Tu peux chiffrer le volume complet avec Bitlocker, à partir de Windows 2008. Sur 2003 c'est que les dossiers/fichiers à base d'EFS.

Mais dans le cas de dric c'est qu'une petite partie du problème (ça sert même quasiment à rien)

Message par **dricfr** » mar. 26 mars 2013 14:04

Ouaip, j'ai fini pas trouver un spécialiste de la bdd dans la boîte.
Il m'a posé tout un tas de questions que je sais pas ce qu'il veut

micha30000, ce n'est pas du dev perso, mais c'est de l'intégration de progiciel propriétaire (Documentum pour pas le citer), donc niveau sécurité...
Très sincèrement, je ne vois pas l'intérêt de chiffrer les méta données qui sont stockées, je vais faire un inventaire et demander si elles sont critiques.
Mais voilà,n en SSII, il faut vendre de la prestation, alors ...

L'idée est donc d'empêcher une personne d'attaquer la bdd via le FS.

Documentum, à ma connaissance, ne gère pas le chiffrement à la volé des données en BDD, donc c'est mort côté applicatif. Dans le manuel ils disent clairement qu'il faut activer le chiffrement sur Oracle, et ils ont l'air de dire "qu'il suffit de l'activer", bref, trop facile

En tout cas merci pour vos retours, et surtout des noms de softs précis. Si jamais la solution parviens jusqu'à mes oreilles je tâcherais de vous la communiquer. Ca peut toujours servir.
Je pense qu'on s'oriente vers l'achat d'une licence supplémentaire d'un outil Oracle. Le client est "anti open source", donc bon.
Le "transparent Data Encryption" :
http://www.guiregcapitaine.com/2011/05/ ... ncryption/
http://wiki.linuxwall.info/lib/exe/fetc ... curity.pdf

Message par **jsonline** » jeu. 4 avr. 2013 16:08

Je ne connais pas la réponse mais ce sujet m’intéresse.

Message par **dricfr** » lun. 8 avr. 2013 16:40

Bon, pas de miracle, l'expert en bdd a clairement dit qu'il faut une édition entreprise d'Oracle ( et pas standard) avec le TDE d'activer et identifier précisément les données à chiffrer pour ne pas trop impacter les performances.
Sinon, il y a toujours moyen de mettre en bdd des données déjà cryptées, mais ce n'est pas envisageable dans mon cas.

Bon, ben, j'espère que le commercial est bon dans c'te boîte, va falloir faire acheter des licences en plus....

Message par **micha30000** » lun. 8 avr. 2013 17:28

Des licences à 30k€ bon courage

Message par **dricfr** » mar. 9 avr. 2013 08:07

La commerciale vient de poser sa dém.

Message par **lls** » mar. 9 avr. 2013 10:26

T'as trouvé le bizutage pour le prochain ou la prochaine MDR

Message par **dricfr** » mer. 10 avr. 2013 18:24

Bon, j'ai pas encore de tarifs, mais c'est mort.
En fait l'option de chiffrement (TDE) fait parti du bundle Advanced security qui n'est disqponible que pour la version Entreprise de Oracle.
Donc pour le client :
Achat licences Enterprise

Achat licences Advanced security

Installation/migration/configuration des serveurs, màj des sauvegardes

Padabam

Message par **micha30000** » mer. 10 avr. 2013 18:26

Pour ça qu'en général on chiffre le contenu directement