SMPFR

Salut,

je voulais savoir s'il existait déjà un mécanisme de chiffrement dans Oracle server ( standard edition).
l'objectif étant de crypter tout ou partie des tables, sans mettre en vrac toute l'infrastructure.

Voilà, si vous aviez des pistes...

Merci

Salut

C'est quoi l'objectif au final ?

pouvoir niquer toute sa bdd en perdant son mdp

LOL

plutôt chiffrer le fs?

mais bon vla les perfs ^^ et comme le dit Z tu perds le certificat ou le mdp et tu l'as dans le cu* ^^

plutôt chiffrer le fs?

mais bon vla les perfs ^^ et comme le dit Z tu perds le certificat ou le mdp et tu l'as dans le cu* ^^

c'est moi qui ai dit ça
rendez a [:androids974:5] ce qui est a [:androids974:5]

ha ouais possible

Parfaitement, j'ai jamais dit ça moi

Je lui demande plutôt pourquoi il veut faire ça, parce que c'est peut être le problème qui n'est pas forcément bien posé.

Comment chiffrer la base ? Ok, mais pourquoi la chiffrer ? Il faut réduire l'accès à certaines tables à certains utilisateurs ? Il faut la chiffrer sur le disque ? C'est pour éviter qu'un admin puisse les lire ou autre chose ?

Alors, n'étant un spécialiste de la bdd, j'avais proposé de chiffrer le FS, mais à priori c'est pas possible.
Le client à une GED, des données sont sauvées en BDD. Il faut éviter que ses données puissent être consultées en dehors de l'accès défini par le dit client.
Si j'ai bien compris, il faudrait "crypter" les données qui sont stockées. Enfin, je ne vois que ça à faire. Je crois qu'Oracle fourni un soft spécifique d'ailleurs (avec Licence supplémentaire).

Le problème c'est que le gars qui a vendu ça à écrit "chiffrement des données", super, mais moi je ne sais pas comment faire... Comme ce sont des doc de santé, seuls les personnes autorisées doivent pouvoir les consulter ( médecin...).

J'ai envie de leur dire que pour traquer les user il faut faire de l'audit, et le format de stockage en bdd empêche déjà l'accès aux données via le FS ? Non ?

ce qu'il faut c'est que la GED chiffre le stockage en base et que l'utilisateur soit le seul à pouvoir déchiffrer à l'aide d'une clé ou d'un mdp.

Chiffrer le FS ne sert à rien si tu te connectes à la bdd tu as accès aux données.

Chiffrer un FS ça sert à éviter la récupération des données ou à empêcher le vol et reboot du matériel sans le mot de passe.

C'est le deuxième cas le besoin.

Merci !!!

Sauf que chiffrer le FS... bon enfin, ça me conforte dans cette idée.

Hélas, la GED ne chiffre pas les données et n'offre pas cette possibilité.

C'est le deuxième cas le besoin.

Merci !!!

Sauf que chiffrer le FS... bon enfin, ça me conforte dans cette idée.

Hélas, la GED ne chiffre pas les données et n'offre pas cette possibilité.

c'est pas très difficile de chiffrer un FS Unix

Les serveurs de bdd sont sous windows server. (:

Un bon p'tit lvm chiffré / LUKS. Mais bon c'est pas le soucis, dans ton cas ça devrait être l'application qui chiffre ce dont elle a besoin. Et encore ça serait un chiffrement symétrique donc presque inutile si ton soft est fait maison / pas mis à jour / troué de partout

Un bon p'tit lvm chiffré / LUKS. Mais bon c'est pas le soucis, dans ton cas ça devrait être l'application qui chiffre ce dont elle a besoin. Et encore ça serait un chiffrement symétrique donc presque inutile si ton soft est fait maison / pas mis à jour / troué de partout

Il est sous Windows, donc pas de LUKS, mais je suppose que Windows propose une solution pour le chiffrage des partitions.

pas de partition mais de dossier/fichier oui

J'avais pas vu désolé, dans ma tête, serveur web = linux Tu peux chiffrer le volume complet avec Bitlocker, à partir de Windows 2008. Sur 2003 c'est que les dossiers/fichiers à base d'EFS.

Mais dans le cas de dric c'est qu'une petite partie du problème (ça sert même quasiment à rien)

Ouaip, j'ai fini pas trouver un spécialiste de la bdd dans la boîte.
Il m'a posé tout un tas de questions que je sais pas ce qu'il veut

micha30000, ce n'est pas du dev perso, mais c'est de l'intégration de progiciel propriétaire (Documentum pour pas le citer), donc niveau sécurité...
Très sincèrement, je ne vois pas l'intérêt de chiffrer les méta données qui sont stockées, je vais faire un inventaire et demander si elles sont critiques.
Mais voilà,n en SSII, il faut vendre de la prestation, alors ...

L'idée est donc d'empêcher une personne d'attaquer la bdd via le FS.

Documentum, à ma connaissance, ne gère pas le chiffrement à la volé des données en BDD, donc c'est mort côté applicatif. Dans le manuel ils disent clairement qu'il faut activer le chiffrement sur Oracle, et ils ont l'air de dire "qu'il suffit de l'activer", bref, trop facile

En tout cas merci pour vos retours, et surtout des noms de softs précis. Si jamais la solution parviens jusqu'à mes oreilles je tâcherais de vous la communiquer. Ca peut toujours servir.
Je pense qu'on s'oriente vers l'achat d'une licence supplémentaire d'un outil Oracle. Le client est "anti open source", donc bon.
Le "transparent Data Encryption" :
http://www.guiregcapitaine.com/2011/05/ ... ncryption/
http://wiki.linuxwall.info/lib/exe/fetc ... curity.pdf

Je ne connais pas la réponse mais ce sujet m’intéresse.

Bon, pas de miracle, l'expert en bdd a clairement dit qu'il faut une édition entreprise d'Oracle ( et pas standard) avec le TDE d'activer et identifier précisément les données à chiffrer pour ne pas trop impacter les performances.
Sinon, il y a toujours moyen de mettre en bdd des données déjà cryptées, mais ce n'est pas envisageable dans mon cas.

Bon, ben, j'espère que le commercial est bon dans c'te boîte, va falloir faire acheter des licences en plus....

Des licences à 30k€ bon courage

La commerciale vient de poser sa dém.

T'as trouvé le bizutage pour le prochain ou la prochaine MDR

Bon, j'ai pas encore de tarifs, mais c'est mort.
En fait l'option de chiffrement (TDE) fait parti du bundle Advanced security qui n'est disqponible que pour la version Entreprise de Oracle.
Donc pour le client :
Achat licences Enterprise
Achat licences Advanced security
Installation/migration/configuration des serveurs, màj des sauvegardes

Padabam

Pour ça qu'en général on chiffre le contenu directement