Oracle Advanced Security Option (ASO) - опция СУБД Oracle, предоставляющая возможности шифрования данных и строгой аутентификации для защиты от угроз на уровне сети и операционной системы.
Обеспечение конфиденциальности информации, передаваемой от СУБД к клиенту через сеть, позволяет исключить разнообразные виды атак, таких как "прослушивание". Шифрование трафика и гарантия обеспечения целостности данных особенно актуальны в случае, когда клиент или сервер приложений располагаются вне безопасной зоны сети, отделенной межсетевым экраном.
Промышленные стандарты шифрования. Опция ASO позволяет защищать все входящие и исходящие соединения СУБД Oracle. Для каждой сессии создается секретный ключ, обеспечивающий безопасность всего сетевого трафика. Таким образом, ASO делает невозможными скрытую модификацию, добавление или удаление части передаваемых данных.
Простая конфигурация - нет необходимости изменять приложение. Включение шифрования и обеспечения целостности данных производится путем настройки сетевых конфигураций на стороне сервера и клиента и не требует никаких изменений на уровне приложения. Благодаря этому реализация шифрования с помощью Advanced Security Option является простой и доступной. Конфигурация и поддержка не требуют существенных усилий со стороны администраторов СУБД.
Строгая аутентификация для Oracle Database 12с. ASO позволяет использовать существующую инфраструктуру безопасности организации, например Kerberos, PKI, RADIUS, для реализации строгой аутентификации в СУБД Oracle.
Новыми особенностями являются:
• Возможность проверки отмены сертификатов X509v3 за счет использования списков Certificate Revocation Lists, хранимых в файловой системе Oracle Internet Directory за счет использования CRL Distribution Points.
• Возможность использовать идентификаторы PKI, хранимые в смарт-картах или других типах аппаратных модулей хранения на основе стандарта PKCS 11 для СУБД Oracle или клиентов базы данных.
Поддержка промышленных стандартов. Клиент SSL-опции ASO может быть использован в любой соответствующейпромышленным стандартам инфраструктуре PKI. Например, для аутентификации в СУБД Oracle 12с применимы сертификаты X509v3, выписанные Verisign, Thawte, RSA Keon и Oracle Certificate Authority, принимающие запросы сертификатовстандарта PKCS7. ASO также предоставляет адаптер Entrust, позволяющий приложениям использовать Entrust PKI совместно с СУБД Oracle 12с. Входящий в состав ASO клиент Kerberos дает возможность пользователям СУБД Oracle 12спроизводить аутентификацию, используя билеты Kerberos v5, выпущенные любым сервером, поддерживающим Kerberos и Microsoft KDS.
ASO также содержит клиента RADIUS, позволяющего СУБД Oracle использовать аутентификацию и авторизацию сервера RADIUS. Эта возможность может быть полезна организациям, заинтересованным в двухфакторной аутентификации,устанавливающей подлинность личности и основанной на определении индивидуальных биометрических параметров (отпечаток пальца), знании (пароль или PIN-код) и владении (токенкарта или смарткарта).
Единый вход в систему. ASO сводит к минимуму стоимость сопровождения идентификационной информации пользователей для множества систем, предоставляя поддержку единого входа в распределенную систему. Пользователю достаточно зарегистрироваться в системе один раз, и он может автоматически соединяться с любым сервисом, поддерживающим протоколы Kerberos или SESAME, без необходимости вводить имя и пароль вновь.
Прозрачное шифрование данных. Функциональная возможность СУБД Oracle Database 12с (TDE, Transparent Data Encryption) позволяет выборочно объявлять столбцы таблиц шифруемыми. Когда пользователи вводят данные, сервер базы данных шифрует их и сохраняет в столбце. Точно так же, когда пользователи выбирают этот столбец, данные автоматически расшифровываются. Шифрование производится без какого-либо изменения кода приложения. Алгоритмы шифрования 3DES и AES. Длина ключа - до 256 бит.