Thursday, November 18, 2021

OAC connection with Oracle DB VM (DBCS) on OCI, the host name and service name

 I created a DB system of Oracle DB on OCI (Oracle Cloud).

I want to create connection from OAC (Oracle Analytics Cloud) to that DB.

What are the host and Service values?


This is my DB:



This is the connection screen in OAC (create / connection / Oracle Datbase):

What should be the Host value?

It is the combination of "Hostname Prefix"."Host Domain name" from the Database screen. 

In my case:




With this information we can get back to OAC and create a connection:

Please note, if your user is local to specific PDB, the Service Name is slightly different:



One more thing.

If you need to connect to a DB that is on Private Subnet, you have to set a NAT gateway or set up the OAC Private Access Channel (event if the OAC and the DB are on the same subnet).

See:

https://www.ateam-oracle.com/post/preparing-network-gateways-for-private-oracle-analytics-cloud-data-sources

https://www.ateam-oracle.com/post/connecting-to-private-data-sources-using-oracle-analytics-cloud-private-access-channel

Or

http://obieeil.blogspot.com/2021/09/connecting-public-oac-to-private-adw.html


And Thank You Liat Sabag!



P.S.

From the experience with RPD development on DBCS it seems that OAC prefers the host name, rather then IP address.

On the other hand some clients need the IP address and not the host name. 

So we can maintain 2 connection in the RPD. One (the FIRST) with the syntax similar to the example above that will provide the actual connection in OAC and the second with IP as host as source for importing metadata while working with Data Model Admin client. 




Tuesday, November 16, 2021

Oracle Machine Learning Workshop for Citizen Data Scientists - 7 Dec.

Register: Oracle Machine Learning Workshop for Citizen Data Scientists
Oracle Machine Learning Workshop for Citizen Data Scientists
Live Virtual Event


Tuesday December 7
09:00 GMT / 10:00  CET
Duration: 120 mins



Using Oracle Analytics Cloud Augmented Analytics and Machine Learning Capabilities to Derive Business Value

Technology is a key enabler of the rise of the citizen data scientists

In this workshop, we will cover the journey of citizen data scientists by focusing on data science lifecycle, basic machine learning modelling techniques and required technologies to present how augmented analytics and machine learning will complement and extend traditional BI approach.

After attending to this workshop power users will know how to combine their business expertise with descriptive, prescriptive and machine learning techniques and cover end to end model development lifecycle without having deep expertise in data science

Duration: 2-hour workshop with a data science modelling scenario and hands on exercises.

AGENDA

  • Introduction to Data Science, Machine Learning and Oracle Analytics Cloud
  • Hands-on workshop
  • Summary and Best Practice
Tuesday December 7
09:00 GMT / 10:00  CET
 Speakers
Ismail Syed

Senior Domain Specialist Cloud Engineer - Analytics

Bob Peulen

Senior Domain Specialist Cloud Engineer – Analytics


Stay Connected
Facebook
Linkedin

Thursday, November 11, 2021

האם אתם רוצים להיות החברה הבאה בכותרות? (פריצה, סייבר, כופר, גניבת מידע) – חלק ב'

Second Guest post by Tali Poliak, about protecting the DB from Ransomware

בשנים האחרונות, אנו עדים, סוף סוף, להחמרה בדרישות אבטחת מידע, למידע שחברות מחזיקות. אפשר להבחין בכך בעליה ברגולציות שחברות נדרשות לעמוד בהן. הרגולציה שעשתה הכי הרבה כותרות בשנים האחרונות היא אחת מרגולציות הגנת הפרטיות - ה GDPR. וכמובן שיש גם את הרגולציות בארץ. בנוסף, אנו נחשפים לתוכנות כופרה שחודרות לארגון, מייצאות מידע רגיש המוחזק בבסיס הנתונים ומאיימות לעשות בו שימוש או לפרסמו. לעתים הן גם מממשות את האיומים.

אנו עדים גם לביקורות אבטחת מידע וקנסות הניתנים לחברות. אלה לאו דוקא ניתנים על פריצה (אין דרך למנוע הרמטית פריצות) אלא על חוסר השקעה בנסיונות מניעה.

 

המאמר הקודם עסק בהתמודדות עם תוכנות כופרה שמבצעות הצפנה שקטה של המידע. זאת ע"י בדיקת הבלוקים לפני שליחתם לגיבוי כמו גם לפני שליחתם לאתר שרידות וע"י בדיקת תקינות הגיבויים ואחזקתם במכונה מאובטחת.(http://obieeil.blogspot.com/2021/10/blog-post.html)

במאמר זה נעסוק בהגנה מפני ארועי סייבר אחרים, בכללם: תוכנות כופרה שגונבות מידע רגיש ומאיימות לפרסמו ברבים.

כמובן שפתרון כולל של אבטחת מידע דורש מהארגון שימוש בסט של יכולות בשכבות ובתשתיות השונות. במאמר זה אתרכז בסקירת יכולות הגנת המידע של אורקל.

 

הצפנה (Transparent Data Encryption)

אחד הכלים הבסיסיים והראשונים שניישם הוא הצפנה.

כמה יתרונות להצפנה של אורקל:

ההצפנה של המידע היא מרמת התקשורת, עבור דרך בסיס הנתונים אל הדיסקים.

ההצפנה איננה דורשת שינוי קוד ושקופה לאפליקציות

היא מתבצעת בשכבה של בסיס הנתונים, כך שפחות רגישה לסיכונים. בנוסף, יישום בצורה זו, מבטיח יישום אחיד, במקום אחד, עבור כל הגישות לבסיס הנתונים. גישות מאפליקציות שונות וגישות ישירות.

ההצפנה בנויה משתי רמות של מפתחות, כשרמה אחת שמורה בבסיס הנתונים והשניה מחוצה לו. ההרשאות למפתח הינן נפרדות מאלה של מנהל בסיס הנתונים.

היתרונות מבחינת אבטחת מידע ברורים: ישנה הפרדה בין המפתחות וישנה הפרדה בין המורשים לנהל את בסיס הנתונים למי שמורשה לנהל את אבטחת המידע, כך שגם למנהל בסיס הנתונים אין גישה למידע הרגיש. מעבר לכך, השימוש בשתי רמות של מפתחות מאפשר לעמוד ברגולציות ולשנות את המפתחות אחת לתקופה מבלי להשפיע על פעילות בסיס הנתונים.

את המפתח החיצוני ניתן לשמור בקבצי Wallet ו\או במוצר נוסף של אורקל Oracle Key Vault שזה מוצר תכנה לניהול מפתחות וסיסמאות בארגון ו\או במוצר חומרה HSM שקיים בארגון. ניתן גם לשלב ביניהם.

ישנה אינטגרציה של יכולת ההצפנה עם המוצרים הנוספים של אורקל כמו מוצר הגיבוי (Recovery Manager), המוצר שמאפשר אתר שרידות (Active Data Guard), מוצר הרפליקציה של נתונים מבסיס הנתונים (GoldenGate).

 

עוד יכולת לצד ההצפנה היא היכולת להשחיר חלק מהמידע (Data Reduction). חישבו לדוגמא על מרכז שירות שצריך לזהות אותנו לפי 4 הספרות האחרונות של כרטיס האשראי. אין לו גישה למספר המלא של הכרטיס.

מיסוך (Data Masking and Subsetting)

בדרך כלל, בארגון, במקביל לסביבה התפעולית, קיימים שכפולים של בסיס הנתונים לסביבות פיתוח, סביבות טסט ועוד. שכפולים אלה נמצאים לרוב בסביבות פחות מאובטחות. האתגר הוא לאפשר לבצע בדיקות תכנה יעילות, בהן נשמרים הקשרים בין הנתונים, נשמר אותו ייצוג ברמת הזיהוי של נתון בכל המערכות ויחד עם זאת, הבודקים אינם יכולים לראות את הנתונים האמיתיים.

לאורקל יכולת מיסוך שכוללת שמירה על אינטגריטי של הנתונים, שמירה על התבניות של הנתונים ועוד.

Auditing (Database Auditing and Audit Vault)

זהו אחד התחומים הכי מאתגרים. שני האתגרים העיקריים: האחד - אנו רוצים לקבל לוגים "רזים" עם מידע רלוונטי, כזה שנוכל אכן להוציא ממנו תובנות וכמה שיותר מהר. השני - אנו גם רוצים אפשרות לבצע בחינה של תהליך נסיונות הגישה למידע, דרך כל השכבות בארגון.

הפתרון לקבלת Auditing יעיל וחכם:

בתוך בסיס הנתונים ישנה יכולת לבצע Auditing גמיש וחכם. לדוגמא: פקידי בנק מורשים לגשת למידע הרגיש במהלך יום העבודה. רק אם ניגשו למידע בשעת לילה מאוחרת אני רוצה התרעה מיידית. דוגמא נוספת: עדכון של שדה משכורות בחברה הוא תקין. רק אם הערך עודכן באחוזים ניכרים אני רוצה התראה על כך. עוד דוגמא: במקרה של עדכון של מידע רגיש ארצה שהלוג יכיל את הערך המקורי והחדש ובמקרים אחרים ארצה רק אינדיקציה שעדכנו ערכים בטבלה.

חשוב לציין שהמידע שנאסף בבסיס הנתונים לגבי המשתמש, הוא של משתמש הקצה גם אם התחבר לאפליקציה והיא בתורה התחברה לבסיס הנתונים עם המשתמש האפליקטיבי (האפליקציה מעבירה את פרטי משתמש הקצה ולאורקל יכולת לשמור אותו ולהפעיל הרשאות גם עליו, למרות שאיננו קיים בבסיס הנתונים)

 

הפתרון לקבלת Auditing לכל הסביבה הוא בשימוש במוצר ה Audit Vault.

ה Audit Vault הוא Software Appliance שמתקינים על שרת. הוא מכיל בתוכו מערכת הפעלה, בסיס נתונים בו נשמר מנוהל ומתוחקר המידע שנאסף עבור Auditing חכם , דוחות מובנים ברמות שונות, APIs למערכות אחרות כולל Rest API.

המוצר הוא לכלל סביבת העבודה, בארגון ובעננים, ולסט רחב של מוצרים. הוא מקבל לוגים של בסיסי נתונים, של חומות אבטחה, של מערכות הפעלה ועוד ומנתח אותם בצורה חכמה, כך שיכול למצוא את ההקשרים ולזהות התקפה.

 

חומת הגנה (Database Firewall)

זהו המוצר המשלים ל Audit Vault. גם הוא Software Appliance וגם הוא מגן על בסיסי נתונים רבים. לא רק של אורקל. בעוד שה Audit Vault מטפל בשכבת בסיס הנתונים, ה Database Firewall מטפל בשכבת התקשורת. המוצר מספק הגנה לכל מה שעובר ברשת אל בסיס הנתונים. בכלל זה, הגנה מפני SQL Injection- מצב בו ישנה חדירה לרשת ושינוי משפטי הגישה לבסיס הנתונים כך שישלפו יותר מידע או יחבלו בנתונים. כמו כן, הוא מכיל את כל האפשרויות הבסיסיות כמו הגדרת Policies, הגדרת White and Black lists – מי מורשה לגשת, מאיזה IP ועוד.

המוצר מספק גם הגנה דרך הפעלת מודלים של מכונה לומדת. אורקל, על בסיס מה שרץ באופן שוטף, ובעזרת המודלים, מזהה אנומליות ומאפשרת להחליט אם לחסום את הגישה מיידית ולהוציא גם התרעה או רק להוציא התרעה מיידית ולאפשר לחברה לבדוק ולנהל את הארוע. כך ישנה אפשרות לעצור בזמן אמת חלק מהמתקפות.

 

ביזור גישה למידע (Oracle Label Security, Virtual Private Database, Database Vault, Real Application Security)

כשאנו מצפינים את המידע, המידע יהיה מוצפן בדיסקים ובלי המפתח לא ניתן יהיה  לראות את הנתונים.

מרגע שהמידע נפתח בזכרון, אנו זקוקים להגנה נוספת כך שהגישה לנתונים תהיה רק למי שמורשה מבין מי שהתחבר לבסיס הנתונים. לצורך כך, לאורקל סט של פתרונות ששייכים לאותה משפחה. ההבדל ביניהם הוא בגמישות ובהטמעה. כולם שומרים על סגרגציה של המידע. לדוגמא, שניים יכולים לגשת לאותה טבלה, להריץ את אותה השאילתא וכל אחד יקבל רק את הרשומות שהוא מורשה לראות מבלי לדעת שהטבלה מכילה רשומות נוספות. זו רמה יותר גמישה ונוספת על רמת ההרשאות הרגילות שקיימת בבסיס הנתונים.

 

Database Assessment

לסיום, אתיחס לצעד הראשון והבסיסי ביותר. הרצה של בדיקת בסיס הנתונים אחת לתקופה.

לאורקל מוצר רזה וחינמי שבו אורקל משקיעה פיתוח רב. מריצים אותו על בסיס הנתונים והוא מייצר דו"ח שבודק את כל רמות אבטחת המידע. החל מבדיקת עדכוני פאטצים וכלה בהמלצות על נתונים רגישים שלא הוצפנו. את הנתונים הרגישים התכנה מזהה גם לפי תבניות הנתונים ובעוד אמצעים.

הדו"ח מציג, לכל תחום בדיקה, את רמת אבטחת המידע שנמצאה, לאיזה סעיפים באיזה רגולציות הממצא מתייחס (PCI, STIG, GDPR – ועוד. כל הרגולציות המוכרות). הוא גם מציג המלצות.

 

 

בסיס הנתונים והמוצרים הנלווים זמינים גם בסביבות ענן וגם בארגון (On Premise). הפתרונות תקפים לכל הסביבות.

 מידע נוסף ניתן למצוא באתר אורקל או עדיף, נשמח למפגש. ניתן ליצור עימי קשר בערוצים השונים.

 

טלי פוליאק tali.poliak@oracle.com, יועצת טכנולוגית בכירה בתחום ניהול וארכיטקטורת מידע ובתחום אבטחת מידע. שייכת גם לקבוצת ה Security Tiger, קבוצת אבטחת המידע הגלובלית של אורקל.