Безопасность в Oracle

Oracle AI Database 26ai (on-premises версия для Linux x86-64) значительно усиливает защиту данных, особенно в условиях активного использования искусственного интеллекта и роста угроз. Ниже представлен подробный обзор ключевых улучшений безопасности, которые появились в этой версии.

Основные нововведения в безопасности

SQL Firewall

Встроенный SQL Firewall теперь полностью интегрирован в ядро базы данных. Он анализирует каждый входящий SQL-запрос в реальном времени и разрешает выполнение только авторизованных запросов. Учитываются контекст сессии: IP-адрес, пользователь ОС, программа, путь подключения.

  • Блокирует SQL-инъекции (включая zero-day), аномальный доступ и кражу учётных данных.  
  • Работает как на уровне root-контейнера, так и в PDB.  
  • Идеален для защиты приложений и ИИ-агентов.

Главное преимущество: защита без промежуточного ПО — её невозможно обойти.

Многофакторная аутентификация (MFA) для локальных пользователей

MFA теперь доступна и для локальных (native) пользователей базы данных. Поддерживаются:

  • Push-уведомления через Oracle Mobile Authenticator (OMA)  
  • Cisco Duo  
  • Сертификатная аутентификация  

Даже если пароль украден, без второго фактора доступ невозможен.  
Доступно начиная с Release Update 23.9 и выше.

Привилегии уровня схемы (Schema Privileges)

Новые привилегии уровня схемы упрощают управление доступом. Теперь можно выдавать права (например, SELECT ANY TABLE) сразу на всю схему, а не на каждый объект по отдельности.

Появились административные привилегии:

  • ADMINISTER ROW LEVEL SECURITY POLICY  
  • ADMINISTER FINE GRAINED AUDIT POLICY  
  • ADMINISTER REDACT POLICY  

Новые представления: DBA_SCHEMA_PRIVS и др.

Преимущество: проще соблюдать принцип наименьших привилегий, меньше ручной работы и рисков эскалации прав.

Увеличение максимальной длины пароля

Максимальная длина пароля увеличена до 1024 байт (ранее — всего 30 байт). Поддерживаются многосимвольные наборы (NLS), длинные пароли из IDCS / IAM.

Это позволяет создавать гораздо более стойкие пароли и унифицирует правила с облачными сервисами Oracle.

Read-Only пользователи и сессии

Новые механизмы позволяют создавать пользователей или переводить сессии в режим только чтение (временно или постоянно), независимо от имеющихся привилегий.

Удобно для тестирования, администрирования и ограничения сегментов приложений без изменения ролей.

Роль DB_DEVELOPER_ROLE

Новая роль DB_DEVELOPER_ROLE специально для разработчиков приложений. Предоставляет только необходимые привилегии по принципу наименьших прав — без передачи широких полномочий.

Снижает риски и упрощает работу разработчиков в безопасной среде.

Улучшения Kerberos, RADIUS и локальных auto-login wallets

  • Обновлённая библиотека Kerberos (MIT Kerberos 1.21.2)  
  • Улучшения в RADIUS (более гибкая и безопасная конфигурация)  
  • Локальные auto-login wallets стали безопаснее и жёстко привязаны к хосту (без необходимости root-доступа)  
  • Улучшена защита TDE keystores

Запрет устаревших шифров

Новый параметр в sqlnet.ora:  
SSL_ENABLE_WEAK_CIPHERS = FALSE  

Полностью запрещает использование устаревших и небезопасных шифров. Упрощает соблюдение стандартов безопасности и прохождение аудитов.

Улучшения DBMS_CRYPTO

Расширение пакета PL/SQL DBMS_CRYPTO: новые алгоритмы, улучшенная производительность и безопасность криптографических операций.

Аудит на уровне столбцов (Column Level Auditing)

Теперь можно отслеживать доступ и изменения конкретных столбцов, а не только таблиц целиком.

Идеально для соответствия требованиям GDPR, PCI DSS и других регуляторов — точечный контроль чувствительных данных.

Итог

Oracle AI Database 26ai предлагает серьёзный скачок в области безопасности баз данных, особенно для сред, где используются ИИ-агенты и большие объёмы данных. Большинство функций уже доступны в последних Release Updates.

Скачайте и протестируйте сами!

Какую функцию безопасности вы бы хотели протестировать в первую очередь? Оставляйте комментарии ниже!

#Oracle26ai #OracleDatabase #DatabaseSecurity #DataPrivacy #TechInnovation