Alles zu Oracle

Es muss nicht immer ein Virenscanner sein

Seit KRITIS-II und NIS-II das Bewusstsein der Entscheider erreicht haben, wird vermehrt auf die Informatiossicherheit, vor allem aber auf die Cybersecurity, geachtet. Die Absicht des Gesetzgebers scheint erreicht. Die strukturkritischen Informationssyteme genießen eine besondere Aufmerksamkeit. In Zeiten der Industrie 4.0 und der fortschreitenden Digitalisierung aller Lebensbereiche ist dieser Schritt unumgänglich.

Die digitale Erpressung mit Hilfe von Ransomware verursacht hohe Schäden sowohl in Privatunternehmen als auch bei staatlichen Einrichtungen. Backups wie z.B. unser Secure online B@ckup sind Vorsorgemaßnahmen mit dem Ziel der Schadensbegrenzung. Doch ein Backup ist nicht das einzige Mittel des Schutzes der IT. Daneben gibt es viele akute und präventive Maßnahmen, die den Verlust oder Leak von Daten begrenzen sollen. Dazu zählt man die Härtung der Systeme (Updates, Firewall, Verzicht auf nicht benötigte Software und Dienste) und die Detektion von Anomalien (Deep Package Inspection in Routern und Firewalls, regelmäßige Netzwerk-Scans und Überwachung auf Virenbefall). Jedes davon begegnet einem bestimmten Risiko, welches in der Schutzziel-Analyse erkannt wurde. Eine solche ist in den meisten Informatonssicherheitsmanagementsystemen (ISMS) enthalten und soll die allgemein gehaltene Anforderung in messbare (vgl. ISO 27001, Punkt 9.1), logisch zusammenhängende Einheiten herunter brechen. (Eine nützliche Liste für eine Analyse und den Umgang mit Risiken bietet BSI-Standard 2003.) Die Maßnahmen müssen dem Risiko angemessen sein. Jedoch welche es sein sollen, muss genau abgewogen werden.

(mehr …)

Oracle RMAN Backup mit S3 in die eXirius Cloud sichern

Hintergrund und Motivation

Seit einigen Wochen bietet eXirius für seine Kunden den Secure online B@ckup-Dienst an. Dazu betreibt sie einen S3 Speicher in der Cloud, erreichbar über s3.exirius.de. Der hochverfügbare B@ckup-Server steht in einem deutschen Rechenzentrum, ISO 27001 zertifiziert. Wer die Sicherheit weiter erhöhen möchte, kann optional die Daten georedundant in einem anderen deutschen Rechenzentrum spiegeln lassen. In diesem Artikel zeige ich die einzelnen Schritte, die man für ein Oracle Backup in unsere Cloud mit Hilfe von RMAN machen muss. Der Test wurde in einer Dockerumgebung mit der Oracle 23c FREE durchgeführt. Das Image kann hier runtergeladen werden.

(mehr …)

Enovos Deutschland überführt seine Energiemarkt-Plattform erfolgreich in die eXirius Cloud

Die Enovos und ihre verwandten Gesellschaften sind aus dem deutschen Energie-Sektor nicht wegzudenken. Sie sind Teil einer mittelständischen, aus Deutschland stammenden und international agierenden Firmengruppe mit Sitz in Luxemburg. Als Partner von Industrie, Filialisten und Stadtwerken entwickeln sie bundesweit maßgeschneiderte Angebote und bringen hierbei detaillierte Marktkenntnisse sowie ein hohes Maß an Flexibilität mit ein.

Die Energiemarkt-Plattform von Enovos Deutschland bewegt hohe Datenmengen, muss ständig verfügbar und dynamisch skalierbar sein. Aus diesen Gründen wechselt sie in die Cloud des führenden Datenbankspezialisten eXirius IT Dienstleistungen im Rechenzentrum SAAR1.

(mehr …)

Präsentation zu Oracle-Datenbanken auf Fujitsu-Hardware

  • Beitrags-Kategorie:Oracle

Der Vortrag von Claus Cullmann auf der Fujitsu Storage Days-Konferenz in Heilbronn stieß auf großes Interesse. Offenbar hinterließ die Mischung aus Lizenzinformationen, einer Skizze des technischen Aufbaus von hoch verfügbaren Oracle-Datenbanken, einer Liste von Vorteilen der ETERNUS gegenüber Konkurrenzprodukten und Hinweisen zu typischen Fallen einen bleibenden Eindruck, so dass sich die Anwender dieser Datenbank nach der Präsentation zu einem kurzen Erfahrungsaustausch trafen. Wir haben uns dazu entschieden, diese Folien zu Oracle-Datenbanken und Eternus im Web verfügbar zu machen und laden die Leser zum Kommentieren und Nachfragen auf unserer Seite zu Hardware für Datenbanken. (Wortmeldungen werden nur nach Absprache unter diesem Beitrag veröffentlicht.)

Vortrag zum Betrieb von Oracle-DBs auf Fujitsu-Hardware

Im Rahmend der diesjährigen Fujitsu DATA & Storage Days 2022 in Heilbronn informiert Claus Cullmann als langjähriger Fujitsu-Kunde über Best Practices im Bezug auf die verschiedenen Betriebsarten der Oracle-Datenbanken auf Hardware von Fujitsu. Es wird eine sehr spannende Übersicht über Techniken und Technologien, die auf der Hardware von Fujitsu die beste Performance versprechen. Zur Sprache kommen z.B. Lösungen wie Stretched-Cluster, RAC, SE-HA oder Wide Stripe Volumes mit ALUA. Nach dem Vortrag bietet sich die Möglichkeit, in Kontakt zu treten und sich über Erfahrungen auszutauschen. Die Anmeldung für den 20. Juli 2022 ist eröffnet.

ISO 27001, Notfallmanagement, KRITIS, Cyberwar – IT-Resilienz und Datenbanken

Nicht erst mit der Richtlinie 2016/1148 des EU-Parlaments und des EU-Rates (sog. „NIS-Richtlinie“) wurde professionelles Notfallmanagement in Organisationen und Unternehmen mit Versorgungsauftrag etabliert. Sowohl das altbekannte ITIL als auch BSI-Standard 100-4 von 2008 haben konkrete Wege und mögliche Vorgehensweisen im Umgang mit kritischen Störfällen im IT-Betrieb aufgezeigt. Doch erst mit dem Inkrafttreten der ersten KRITIS-Verordnung am 3. Mai 2016 (BSI-KritisV) wurden Notfallvorsorge, Planung von Notfallmaßnahmen und Meldung solcher Vorfälle an BSI oder die Bundesnetzagentur Pflicht. Seit der Aktualisierung der BSI-KritisV (in Kraft seit 1.1.2022) – die fortwährend evaluiert und erneuert werden soll – kamen weitere umfangreiche Pflichten auf die Kritischen Infrastrukturen (kurz „KRITIS“ genannt) zu, darunter die Angriffserkennung. In eben dieser Verordnung wird auch eindeutig festgeschrieben, wer unter Kritische Infrastrukturen fällt und welche Teile des Betriebes und ab welchem Schwellenwert welcher Aufsichtsbehörde zu berichten verpflichtet sind.

(mehr …)

Wer die Wahl hat, hat die Qual

Im Laufe der letzten Jahre hat Oracle eine beträchtliche Anzahl an Techniken und Technologien rund um die Datenbanken zur Verfügung gestellt. Jede hat gewisse Vor- und Nachteile. Um das Optimum zu erreichen, kommt es auf die Passgenauigkeit der Lösung an. Mit einem kurzen Video möchten wir den Entscheidern und vor allem den Einsteigern im Bereich Oracle Datenbanken eine Hilfestellung auf dem Weg zur performanten Lösung bieten. In 2 Minuten erfährt der Zuschauer die Unterschiede zwischen Standalone-, eXirius Standby-, SE-HA- und RAC-Setup mit ihren Stärken und Schwächen. https://youtu.be/K4hbkPucGVQ

Read more about the article log4j / CVE-2021-44228
Foto: Fernschreiber der Swissair (Public Domain)

log4j / CVE-2021-44228

Oracle hat am Wochenende seinen Kunden eine E-Mail mit dem Hinweis auf die Schwachstelle in log4j verschickt: Oracle Security Alert for CVE-2021-44228 . Bisher ist jedoch kein Sicherheitspatch veröffentlicht und es mangelt an detaillierten Informationen zu dem Fehler in der Funktionsbibliothek bzw. im Überfluss an Informationen fehlt es an den relevanten Punkten. Aus diesem Anlass stellen wir eine vorläufige Zusammenfassung der Erkenntnisse im Bezug auf die von uns unterstützten Produkte bereit. Wir können jedoch keine Garantie für die Aussagen übernehmen, da die Grundlagen unserer Recherche ebenfalls einem Wandel unterliegen.

(mehr …)

DOAG-Regionaltreffen bei eXirius in Eppelborn – PostgreSQL

Am 28. November referiert Datenbank-Spezialist Frank Gard (eXirius GmbH) im Rahmen des DOAG-Regionaltreffens über das lizenzkostenfreie Datenbank-Management-System PostgreSQL. Regionaltreffen Trier/Saar/Luxemburg in Eppelborn Alle Interessierten sind herzlich eingeladen - die Teilnahme ist kostenfrei. Jenseits des Tellerrandes - PostgreSQL | Frank Gard28. November 2019 | ab 17:45 UhreXirius GmbH | Eppelborn zum Event

Spectre und Meltdown

Die beiden Hardware-Angriffsmöglichkeiten Spectre mit CVE-2017-5715 (branch target injection) und Meltdown mit CVE-2017-5753 (bounds check bypass) und CVE-2017-5754 (rogue data cache load) sind aktuell in aller Munde. Was ist hier aber wichtig für Sie als Oracle Datebankbetreiber? Sämtliche Informationen spiegeln den Stand zum 19. Januar 2018 wider und können ggf. nicht mehr aktuell sein. Prinzipiell gilt hier natürlich für Oracle-Kunden erstmal die MOS Note 2347948.1, welche genauere Informationen zum Thema liefert und in der man noch Nichts genaueres weiß über die Oracle Datenbank selbst, nur dass diese aktuell untersucht wird. Für eine PostgreSQL-Datenbank ist kein Datenbankpatch erforderlich. Betriebssystemupdates Generell gilt hier, dass es noch keine allgemeine Lösung der Hardwareprobleme in Software existiert, die alle möglichen Angriffsszenarien abdecken und somit müssen weitere Nachrichten zu diesem Thema abgewarten werden. Viele Betriebssysteme haben schon eine recht hohe Abdeckung was das Schließen der Lücken durch Patches betrifft, was aber nicht von Anfang an reibungslos funktioniert hat, wie…