Oracle BECOME USER Özelliği ve Güvenlik Riskleri

Oracle BECOME USER Özelliği ve Güvenlik Riskleri

Oracle’da BECOME USER Özelliği ve Güvenlik Riskleri

Oracle veri tabanı sistemleri üzerinde yönetici olarak çalışırken, başka bir kullanıcı gibi oturum açmak gerekebilir. BECOME USER başka kullanıcıların yetkilerini test etmek ve kullanıcının yetki problemlerini anlamak için tasarlanmıştır. Bu işlem için kullanılan “BECOME USER” özelliği, doğru yönetilmez ise ciddi güvenlik risklerine neden olabilir. Aşağıda, bu komutun teknik detaylarını ve güvenlik risklerini azaltmak için gerekenleri ele alacağız.

BECOME USER Nedir?

Oracle’da “BECOME USER” yetkisi, bir DBA’nın (Database Administrator) başka bir kullanıcı adına oturum açmasına izin verir. Bu yetki, özellikle yetki testleri, erişim kontrolleri ve sorun giderme işlemleri için kullanılır.

BECOME USER yetkisinin atanması:

GRANT BECOME USER TO <user_name_or_role_name>

Kullanımı

Bir kullanıcının şemasına geçiş yapmak için:

ALTER SESSION SET CURRENT_SCHEMA = <user_name>;

Örnek kullanım: BECOMCE USER özelliği ile mehmet.duru kullanıcısının yetkilerini test etmek için aşağıdaki komutu çalıştırmak yeterlidir.

ALTER SESSION SET CURRENT_SCHEMA = mehmet.duru;

Bu komut, oturumun mevcut şemasını değiştirir ve belirtilen kullanıcı adına işlemler yapmanıza olanak tanır. Artık çalıştırılacak her sql cümlesi hedef kullanıcının yetkileri ile çalıştırılacaktır.

Yetkilendirme

Bu komut genellikle yüksek yetkilere sahip kullanıcılar (DBA’lar) tarafından kullanılır ve dikkatli bir şekilde yönetilmelidir.

Güvenlik Riskleri
  1. Yetki Suistimali: BECOME USER yetkisi, kötü niyetli veya yetkisiz kişilerin eline geçtiğinde ciddi veri ihlallerine yol açabilir. Kötüye kullanım durumunda veri ihlaline neden olan gerçek kullanıcıyı tespit etmek zor olabilir. Bu tip vakalarda BECOME USER yetkisine sahip tüm kullanıcılar töhmet altında kalabilir.
  2. İzlenebilirlik Eksikliği: Kullanıcı hareketlerinin yeterince izlenmemesi, olası suistimallerin fark edilmesini zorlaştırır. Bu durum denetim ve raporlama süreçlerini de zorlaştırmaktadır.
  3. Yanlış Kullanım: Yanlışlıkla veya bilinçli olarak başka bir kullanıcının yetkileriyle işlem yapmak, veri bütünlüğünü tehlikeye atabilir. Özellikle servis hesaplarının test süreçlerinde yapılan hatalar, istenmeyen servis kesintilerine neden olabilir.
Güvenlik Önerileri
  1. Yetki Yönetimi:
    • BECOME USER yetkisi, sadece güvenilir ve yüksek yetkilere sahip DBA profilindeki kullanıcılara verilmelidir.
    • Yetkiyi mümkün olduğunca sınırlı tutulmalıdır.
  2. İzleme ve Denetleme:
    • Bu komutun kullanımı gerçek zamanlı, sürekli izlenmeli ve denetlenmelidir.
    • Kullanıma ait iz kayıtları düzenli olarak gözden geçirilmeli ve anormal aktiviteler alarmlanıp, raporlanmalıdır.
    • İzleme ve Denetim için gelişmiş Database Activity Monitoring çözümleri doğru şekilde konumlandırılmalıdır. Bu konuda alanında lider IBM Security Guardium çözümü, izleme ve denetim ihtiyaçlarını kolay ve etkili şekilde karşılamaktadır.
  3. Minimum Erişim:
    • “Minimum ayrıcalık/Minimum yetki” prensibi uygulanmalı, yani bu yetki sadece gerektiğinde verilmelidir. Daha etkili kullanım için görevler ayrılığı mimarisi uygulanmalıdır.
  4. Eğitim ve Farkındalık:
    • DBA’lar ve yetkili kullanıcılar, BECOME USER komutunun güvenlik riskleri hakkında bilinçlendirilmelidir. Kötüye kullanımın meydana getireceği riskler gerçek senaryolar üzerinden anlatılmalıdır.
    • Doğru kullanım konusunda düzenli eğitimler verilmelidir.
IBM Guardium ile Güvenlik Yönetimi

IBM Guardium, veri tabanı aktivitelerini izleme, anormallikleri tespit etme ve veri güvenliğini sağlama konusunda güçlü bir çözümdür. BECOME USER özelliğinin güvenliğini sağlamak için Guardium’u nasıl konumlandırabileceğinizi inceleyelim.

1. Gerçek Zamanlı İzleme

Guardium, veritabanı aktivitelerini gerçek zamanlı olarak izler ve kaydeder. BECOME USER yetkisi verildiğinde ve kullanıldığında, bu aktivite ait iz kaydı gerçek zamanlı olarak kaydedilir ve denetim altına alınır. Guardium, bu işlemler için ayrıca anlık alarmlar da üretebilmektedir.

2. Anomali Tespiti

Guardium, normal kullanıcı davranışlarını öğrenir ve anomalileri tespit eder. Örneğin, bir DBA’nın beklenmedik bir şekilde BECOME USER komutunu sıkça kullanması durumunda, sistem herhangi bir kural tanımı yapmadan uyarı verir.

3. Raporlama ve Denetim

Guardium, detaylı raporlar ve otomatik denetim çıktılarını sunar. BECOME USER komutunun ne zaman ve kim tarafından kullanıldığı, hangi işlemlerin gerçekleştirildiği gibi bilgiler detaylı şekilde raporlanabilir. Bu hem güvenlik hem de denetim süreçlerini kolaylaştırmaktadır.

4. Politika Yönetimi

Guardium, belirli komutların kullanımını sınırlandıran veya tamamen engelleyen güvenlik politikaları tanımlanmasına olanak tanır. BECOME USER komutunun sadece belirli kullanıcılar tarafından belirli şartlar altında kullanılmasını sağlayabilir. Guardium BECOME USER ve buna benzer kritik işlemleri belirlenen politikalar çerçevesinde sınırlandırabilmektedir.


Sonuç olarak BECOME USER özelliği, DBA’lar için güçlü bir araçtır ancak yanlış kullanıldığında ciddi güvenlik risklerine neden olabilir. Bu nedenle, yukarıda belirtilen güvenlik önlemlerinin ve önerilerinin dikkatle uygulanması, veri tabanı güvenliğinin sağlanması için kritik öneme sahiptir.

Veri tabanı yönetiminde güvenliği en üst düzeyde tutmak için sürekli olarak bilinen en iyi pratikleri takip etmeyi ve gerektiğinde politikaları güncellemeyi unutmamak gerekir.

Konu Başlıkları
Hizmetlerimiz
Blog

Size Nasıl Yardımcı Olabiliriz?

Sizi Arayalım

Siber Güvenlik alanında 20 yılı aşkın süredir danışmanlık hizmetleri veren Mernus Bilişim Teknolojileri müşterilerine bilgi birikimlerini aktarmak ve onları siber tehditlere karşı korumak için yola çıktı.

Bülten
Bağlantılar
Adres

Ata 2 Sitesi, Çengelköy, İstanbul

E-MAIL
Copyright 2023 – Mernus | Software & Design – Powered by Much Better.