OBIEE安全性:IT安全性和审计应问的问题

到目前为止,本系列博客已经回顾了OBIEE安全性的基础知识,在有关OBIEE实现的安全性的任何讨论中都应包含以下问题。

如何迁移安全配置?

非生产实例的创建对于企业软件来说是经常发生的。为了在非生产实例之间以及从非生产实例到生产实例之间迁移安全配置,OBIEE要求针对身份,策略和凭据存储以及存储库迁移采取特定步骤。有些迁移步骤是通过WebLogic完成的,而其他迁移步骤则是由WLST完成的。应该标记并调查通过在不同服务器和/或环境之间复制目录来执行迁移。

要求权限报告

在11g之前,OBIEE无法选择报告RPD中定义的安全权限和规则。使用11g,可以为表示层对象生成权限报告。这些报告可以导出为CSV文件,对于了解OBIEE应用程序中的安全性具有重要价值。

是否正在使用WiteBack?

OBIEE具有一项高级功能,该功能允许将数据写(创建或更新)回数据库。此功能称为“回写”。 连接池需要配置为允许回写,并且物理层需要标记每个要更新的表为“不可缓存”。然后,向表示层内的用户授予写回特权。

WriteBack的一个示例可以是变量以帮助“假设分析”建模。如果未正确设置,则安全风险包括数据完整性(例如,用户要更新自己的工资)。

是否使用时间限制?

OBIEE除了能够为要返回的行数设置查询限制外,还可以为特定用户或角色何时可以使用OBIEE设置限制。 例如,可以定义一个规则,以仅允许特定用户或应用程序角色在第一班和/或仅星期一至星期五期间使用RPD。这样的规则可以帮助构建更安全的实现。

导航:=>RPD中的开放身份管理器=>选择角色或用户=>点击权限=>点击查询限制=> Click on restrict

 

是否允许直接SQL访问?

OBIEE允许直接SQL访问存储库数据库(数据源)。尽管这对于测试而言是无价的,但也可能带来很大的安全风险,尤其是在允许使用完整的数据处理语言(DML)的情况下。直接SQL访问可以全局启用或禁用,也可以在角色或个人级别上进行设置。

OBIEE的任何安全评估都需要检查Direct SQL Access的用法。允许使用Direct SQL的风险包括:

  • 保密 - 绕过存储库(RPD)中定义的数据(对象)级安全性
  • 完整性–修改或删除数据
  • 可用性–带有过多请求的数据库过载

限制对直接SQL的访问:

  • 全球:=> Settings => Administration => Manage Privilege
  • 角色或用户:   =>RPD中的开放身份管理器=>选择角色或用户=>点击权限=>点击查询限制=>选择“允许”,“禁止”或“忽略”以执行直接数据库请求

直接SQL的示例

是否允许和保护Go URL SQL访问?

Oracle BI Presentation Services Go URL可用于将特定的Oracle Business Intelligence结果合并到外部门户或应用程序中。它具有许多可选的参数和参数。它还可以设置会话变量。更重要的是,它还可以发出SQL并返回表格结果。仅出于这两个原因,在安全评估期间应牢记Go URL的使用方式。

例如:

http:// testobiee:9704 / analytics / saw.dll?&SQL =选择+区域,美元+来回... 其中FROM子句是要查询的主题区域的名称

或者,可以使用命令IssueRawSQL绕过Web处理并直接针对BI Server发出SQL。

谁可以扮演,谁可以假扮?

OBIEE允许用户使用两个选项来假定另一个用户的身份。存在此功能的原因有很多,包括测试,最终用户支持和系统集成。 OBIEE的任何安全评估都需要确定能够充当或冒充另一个用户的所有用户和系统。

  • 假冒 -存在更多用于集成的功能,比“行为作为”的安全性差,并且从安全角度来看是“后门”风险。默认的OBIEE用户BISystem开箱即用,启用了模拟功能。如果启用,则应咨询IT安全性。
  • 充当 –是使用支持的更好选择。它更安全,并作为标准功能完全集成到用户界面中。

要检查“代理”和“模拟”设置,请查看系统会话变量PROXY和PROXYLEVEL。

 

充当

模仿

访问级别

单个用户的完全或只读访问权限

完全访问

代理用户可以假定其身份的用户

定义的用户列表

任何时间的所有用户

访问方式

UI的标准功能

手动构造URL

如何知道是否被使用

代理和目标均显示在用户界面中

没有指示

安全风险

几乎没有

提交URL时以纯文本形式显示的凭据

 

以下是用于模拟的网址示例。还请注意,URL已被使用,因为随后将捕获用户名密码并将其存储在Apache日志文件中,因此可能增加安全风险。

http://server_name_or_ip_address/analytics/saw.dll?转到&NQuser=xxx&NQPassword=xxx

是否正在使用虚拟专用数据库(VPD)?

如果将虚拟专用数据库(VPD)与OBIEE连接一起使用,则必须完成两件事。首先,对于数据库连接,将虚拟专用数据库的标志设置为“是”。其次,所有支持安全规则的变量都必须设置为“安全敏感”。无法使用OBIEE正确设置VPD可能会导致VPD策略被绕过,因为OBIEE缓存错误地共享了内存中已有的结果集。

 VPD Checkbox

什么用于源代码控制?

OBIEE 11g的新增功能是使用XML文件格式而不是单个RPD文件存储存储库的功能。这样可以更好地支持源代码控制。 RPD文件的每个组件都有自己的XML文件,因此可以使用诸如Subversion之类的源代码控制工具来签入或签出每个组件。开发和安全性的最佳实践是尽可能使用源代码控制。

 

如有疑问,请通过以下方式与我们联系 [email protected]

 -Michael Miller,CISSP-ISSMP

参考文献

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。