BİLDİRİ DETAY

Ahmet YORULMAZ, Nejat YUMUŞAK
VERİ TABANI YÖNETİM YAZILIMINDA OBJELERE ERİŞİM VE YETKİLENDİRME GÜVENLİĞİ: ORACLE VERİ TABANI ÖZELİNDE İNCELENMESİ
 
Giriş: Endüstri 4.0 ile verinin toplanması ve analiz edilmesi çok daha önem kazanmıştır. Ticari veya kamu kuruluşlar artık birbiri ile dijital ortamlarda sürekli konuşur hale gelmiştir. Kurumsal firmaların dijital ortamdaki konuşmalarında adeta veri; harfleri, bilgi seslendirebilecekleri kelimeleri, temsil etmektedir. Bilgi alışverişinin sonuçları ise firmaların karar destek sistemlerine direk etki etmektedir. Bu tarz haberleşmek için iki tarafında alt yapı sistemi performanslı, erişilebilir ve güvenli olmak zorundadır. Sistemsel alt yapıların omurgasında hangi teknolojik yenilik olursa olsun veri tabanları durmaya devam edecektir. Bu da veri tabanı yönetim yazılımların, sistemlerin alt yapısı için en temel sistem kompenentlerden biri olduğunu göstermektedir. Verinin sağlıklı yönetilmesi için temel gereklilikler, veriye erişimin güvenli olması, doğru yetkilendirilmesi, bilinçli yedeklenmesi ve yüksek performanslı olmasıdır. Performans alınmayan veri tabanın, verilerini stoklamasının, yedeklenmesinin ve güvenliğinin üst seviyede tutulmasının bile hedeflenen verimi veremeyeceği bellidir. Güven vermeyen, tutarlılığı olmayan verilerin performanslı olmasının da depolanmasının da bir manasının olmayacağı aşikârdır. Sürekli SQL saldırıların sebep olduğu (SQL Injuction) kesintilerin olduğu veri hizmetlerin, müşteri memnuniyeti sağlamayacağı gibi verimliliği de azaltacağı kurumlar tarafından belirtilmektedir. Veri tabanı güvenliği bilgisayar biliminin güncel ilgilendiği kavramdır. Gartner Pazar araştırmacılarından Kish ve Lowans veri tabanların bulut teknolojilerine kaydığını ve artık veri tabanların logların izlenmesi verilerin redüksiyon yapılması bilim dünyasında popüler olduğunu belirtmiştir. Hassas verilerin korumunu için literatürde geçen üçayak üstünde duran veri tabanı güvenliği için olmazsa olmazı gizlilik (confidentiality),bütünlük (integrity), erişilebilirlik (availability).(Deepika,2015:621-625) Raydel Montesino artık insan elinin daha az dokunduğu daha çok kontrollü sistemlerin otomatik hale getirdiği yapılarda güvenlik çok daha kritik hale geldiğini belirtmiştir.(Montesino ve Fenz,2011:280-285) Bu bağlamda veri tabanı yapılarını yöneten otomatik yapılardaki güvenlik açıkların ya da yazılımsal hataların (bug) proaktif çözümlerle giderilmesi elzemdir. Veri tabanı endüstri dünyasının marka kurumlarından Oracle firmasının veri tabanı yönetim yazılımın özellikle veri tabanı güvenliğine nasıl bir baktığı ve güvenliği nasıl sağladığı incelemenin faydalı olacağı düşünülmektedir. Amaç: Araştırmada, veri tabanı yönetimini yapan yazılımların oturumlarda erişim güvenliğini ve oturum güvenliğine sahip (authentication) erişimlerin objelere yetkilendirilmesi (authorization) Oracle Veri Tabanı Yönetim yazılımı özelinde incelenmesi sağlanacaktır. Kapsam: Veri tabanı sistemlerinde bilinirliği yüksek olan Oracle Veri tabanlarında güvenlik için geliştirilen yazılımların, teknolojilerin incelenmesi yapılacaktır. Sınırlıklar: Çalışmamız veri tabanı teknolojilerinde standart hale gelen güvenlik çözümleri ile sınırlandırılacaktır. Yöntem: Oracle veri tabanımızdaki Sunucu-İstemci (Client-Server) mimarisi ile istemcinin Oracle Client-driver aracılığı ile talep ettiği oturum isteğinin(tnsname.ora) sunucu tarafında hizmet veren veri tabanı servisleri (listener.ora,sqlne.ora) ile karşılık vermektedir. Bu mimarideki ilk karşılaşma sırasında veri tabanındaki veri tabanı kullanıcıları veya çeşitli objelere sahip şemaların ilk talep edeceği tabi ki şifre kontrol mekanizmasıdır. Ancak bu basit güvenlik mekanizması elbette ki günümüz veri tabanı güvenliği için yeterli olmamaktadır. Bu bağlamda ilave güvenlik parametreleri ile güvenliğin sağlanması gerektiği anlaşılmıştır. Bu bakımından erişim talebinde bulunan istemcinin erişirken kullandığı IP, makine adı, LDAP kullanıcı adı, erişirken kullandığı uygulama gibi parameterlerin bağlanmadan önce veri tabanı güvenlik sisteminde kayıtlı olursa bu kayıt ile o an erişen kayıt bilgisinin karşılaştırılması sağlanacak ve bu da erişim güvenliğini bir üst mekanizmaya taşıyacağı bariz şekilde ortadadır. Bulgular: Erişim güvenliği veri tabanı sunucuları için kritik olduğu ayrıca erişen her istemcininde belirli kısıtlamalara zorlanması gerektiği görülmüştür. Ayrıca erişimi bu parametrelerle onaylanan istemci veri tabanında neler yapabileceğini uygulamalardan bağımsız direk kısıtlanma imkânı da verilebilir. Örneğin erişmek isteyen istemci kesinlikle hiçbir objeyi drop edemez. Sonuç: Veri tabanına erişim ve yetkilendirme yöntemleri sürekli kavram olarak gelişmektedir. Veriye erişirken daha güvenli yapı için sadece şifre güvenliğinin yeterli olmadığı erişenin önceden kimliğinin tam ve inkâr edilemez şekilde tanımlanmış olması ve aynı şekilde yetki tanımlanmasında da tam ve yetkilerin ayrıştırılmasının sağlanması gerektiğini sonuç olarak belirtebiliriz.

Anahtar Kelimeler: Veri tabanı güvenliği, Veri tabanı erişim güvenliği, Veri tabanı objelerin yetkilendirilmesi



 


Keywords: