12 septiembre 2012

Oracle GoldenGate 11g R2 + Oracle Advanced Security Options



Dentro de los múltiples escenarios que podemos tener con Oracle Golden Gate tenemos la posibilidad de aunar la replicación con la seguridad de los datos en reposo. Esto es usar OGG con una de las  opciones de la edición Enterprise de Oracle 11g R2, la opción de seguridad avanzada (ASO), mas concretamente uno de sus pilares los tablespaces cifrados (Transparent Data Encryption; TDE)

Versiones mas antiguas.
Si bien es verdad que las bases de datos Oracle desde su versión 10g (10.2.0.5) hasta la versión 11g (11.2.0.2/3) tienen soporte integrado, simplemente para activarlo hay que ejecutar el siguiente scrip alojado en:

@$ORACLE_HOME/rdbms/admin/prvtclkm.plb
 


Recordar, eso si, que si tenemos una versión de Oracle Database Enterprise Edition  11.1.0.7 deberemos de ejecutar este script tras instalar el parche 9409423 (ADD TDE SUPPORT FOR USE WITH GOLDENGATE EXTRACT), una vez hecho esto ejecutar el mismo procedimiento para permitir que Oracle GoldenGate 11.1.1.1 para extraer datos cifrados de una base de datos Oracle.

Oracle GoldenGate 11g R2.
Si queremos que OGG11g R2 (11.2.x) trabaje con tablespaces cifrados (TDE) deberemos de subir nuestra versión de base de datos a Oracle 11.2.0.2 y además pasar el parche 10395645 (AUTO-LOGIN SUPPORT FOR DBMS_INTERNAL_CLKM FOR GOLDEN GATE) eso si solo para Linux-x86-64, Solaris (SPARC) y HP-UX Itanium, este parche se halla liberado desde la versión 10.2.0.5.0.

Crearemos el Oracle wallet (repositorio externo de claves de Oracle para trabajar con bases de datos y middleware) mediante el siguiente comando

  
mkstore -wrl ./ -createEntry ORACLE.SECURITY.CL.ENCRYPTION.ORACLEGG

Si estamos en una plataforma RAC hay que copiar el fichero ewalletp12 a los otros nodos (Si el cluster se esta ejecutando y la localización del wallet no está compartida) Así mismo hay que proporcionar el mismo fichero en las bases de datos stand by, si las hubiera.
Si quieres comprobar lo que has compartido, ejecuta el iguiente comando de  Oracle wallet
mkstore -wrl  /u01/app/oracle/wallet –viewEntry ORACLE.SECURITY.CL.ENCRYPTION.ORACLEGG


Crea el paquete dbms_internal_clkm:

@$ORACLE_HOME/rdbms/admin/prvtclkm.plb

Una vez creado le tenemos que dar a nuestro usuario de base dedatos de OGG permisos de ejecución sobre ese paquete, para ello abriremos una sesión SQL*PLUS e introduciremos la siguiente sentencia:


SQL> grant execute on dbms_internal_clkm to gguser;
Cifra la clave compartida
GGSCI> ENCRYPT PASSWORD “shared key”
Añade una entrada al fichero de parámetros del proceso EXTRACT, para descifrar la clave compartida:
DBOPTIONS DECRYPTPASSWORD “SHARED KEY”
Cierra y abre el wallet, si tienes el wallet habilitado con auto login (mediante el fichero cwallet.sso) deshabilítalo temporalmente para cerar y abrir el wallet.


11 septiembre 2012

Oracle GoldenGate 11g R2 nueva característica: Captura integrada



Al liberar Oracle su versión 11g R2 de GolgenGate (OGG), su equipo de desarrollo estaba bastante orgulloso de una de sus novedades: la captura integrada para plataformas Oracle. Esta captura integrada es única en el mercado. OGG soporta numerosas plataformas de bases de datos, con la adquisición de Oracle de este producto ha mejorado las prestaciones de OGG para la su plataforma. Esta nueva característica mueve las capacidades de captura de OGG al motor de base de datos.


Esta nueva característica de OGG no substituye a la captura tradicional que se explicó en anteriores artículos, si bien ambas están disponibles para el integrador, en plataformas de bases de datos Oracle..

La captura integrada esta basada en las nuevas características del log a nivel interno del motor de base de datos de Oracle, el conocimiento de estas características está solo disponible a nivel del fabricante, la propia Oracle Corporation.



¿Qué ventajas tiene la captura integrada?

Categoría
Descripción
Oracle Exadata database machine
Soporta capturas de Exadata Hybrid Columnar Compression (EHCC).
Compresión de datos
Soporta capturas de OLTP y compresión de segmentos.
Transacciones Distribuidas
  • XA-RAC 
  • PDML (DML paralelo)
Oracle RAC
Gestión del RAC simplificado
Nuevos tipos de datos
  • XML Object relational
  • XML binarios
Tipos de datos LOB
Lecturas parciales y completas de un LOB  (selective selects)
Procesamiento de de los REDO logs
Soporte lecturas multi hilo
Despliegue de la plataforma
Soporte a capturas Downstream y source
Comandos DDL
Captura tablas creadas con la especificación de password en columnas
Otras categorías
Soporte a Tablas OIT (index organizad tables) con la opción mapping

¿Que versiones de Oracle Database soporta la captura integrada?



Oracle GoldenGate 11g R2
Captura
tradicional
8i
Solo soportado en la versión 10.0 y en versiones mas antiguas de OGG
9i
Solo soportado en la versión 10.0 y en versiones mas antiguas de OGG
10.1
Solo soportado en la versión 10.0 y en versiones mas antiguas de OGG
10.2
Soportado
11.1.0.7
TDE/TSE (transparent Data encryption)
Soporte fetch para:
·          Secure files
·          ADT (abstract data type)
·          VARRAYS
·          Tablas anidadas (Nested Tables)
·          Tablas objeto (Object Tables)

11.2.0.2
TDE/TSE (transparent Data encryption)
Fetch support for SecureFiles, ADTs, VARRAYS, Nested Tables, Object Tables
11.2.0.3
TDE/TSE (transparent Data encryption)
Fetch support for SecureFiles, ADTs, VARRAYS, Nested Tables, Object Tables
Oracle GoldenGate 11g R2
Captura
integrada
8i
No soportado
9i
No soportado
10.1
No soportado
10.2*
Soportado
11.1.0.7*
Soporta TDE/TSE (transparent Data encryption)
11.2.0.2*
·          TDE/TSE (transparent Data encryption)
o         Para otras versiones de OGG, aplicar el patch  10395645 for Oracle 11.2.0.2.
·          XA-RAC
·          Compression
·          SecureFiles

Soporte fetch para:
·          ADT (abstract data type)
·          VARRAYS
·          Nested Tables
·          Object Tables

11.2.0.3
con el parche para el bug 13560925
·          TDE/TSE (transparent Data encryption)
o         Para otras versiones de OGG, aplicar el patch  13560925 for Oracle 11.2.0.3.
·          XA-RAC
·          Compression
·          SecureFiles
·          XML Object relational
·          XML binary

Soporte fetch para:
·          ADT (abstract data type)
·          VARRAYS
·          Nested Tables
·          Object Tables

* Solo soporta captura tipo downstream


El coste de licenciamiento de Oracle GoldenGate permanece inalterado según elijamos el tipo de captura, no tiene coste extra. Queda en manos de nosotros, los integradores, que opción elegir conforme las necesidades de nuestro proyecto.
 

17 agosto 2012

Oracle Golden Gate (Introducción)


Oracle Golden Gate (en adelante OGG) es un sistema de integración en tiempo real de datos, permite la sincronizacion de datos a través de entornos heterogéneos, con un impacto bajo en los sistemas indicados.
Las claves diferenciadoras de este sistema son :

·         Rendimiento: Es no intrusivo, bajo impacto, poca latencia (por debajo del segundo)
·         Extensible y flexible: Abierto, tiene una arquitectura modular, soporta orígenes y destinos heterogéneos, en nuestro caso puede trabajar con:
o        SQL Server, MySQL, IBM DB2 vs Oracle
o        Oracle vs Oracle (diferentes versiones)
·         Seguridad: Mantiene la integridad transaccional,  cifrada, resistente a fallos y errores.


La solución de la replicación de datos desde los esquemas de aeropuertos, en tiempo real a sus esquemas históricos, se llevará acabo mediante la instalación en cada máquina (Origen / destino) del software de OGG.

Oracle Golden Gate lee de los ficheros archivelog y redo log las operaciones transaccionales que se van ejecutando en la base de datos, este proceso se llama capture/extract (estos datos también pueden ser filtrados). Una vez que captura los datos, los escribe en un fichero (trail file) de formato universal para cualquier fuente de datos. Los encola a nivel de disco y los manda a la red mediante un proceso llamado pump. Solo transacciones a las que se han realizado un commit son encoladas y ademas en el mismo orden como se han consolidado en la base origen. Por lo que la integridad transaccional está asegurada aun cuando haya un fallo de red, dado que los cambios permanecerán en el fichero trail y se aplicarán en cuanto la conexión se reinicie.
Este proceso como otros de carácter administrativo está gobernado por un proceso general llamado Manager, este proceso lee de un fichero de parámetros el número de reintentos y la preriodicidad de estos, asi como otros parámetros de Oracle Golden Gate para su correcto funcionamiento.


Figura:  Proceso de extracción de datos de OGG


La transmisión de datos puede ser comprimida, por si las comunicaciones tienen un medio lento y cifradas para descartar ataques de snuffing de las líneas.

En el host de destino, existirá otro fichero (trail file) que irá recibiendo los datos, el proceso llamado delivery/replicat  aplica las transacciones en el mismo orden que se consolidaron en la base de datos de origen. El proceso de replica se puede basar en el API nativa de la base de datos, en ODBC, …


Figura: Proceso de replicación de datos de OGG



OGG puede capturar transacciones que modifican tanto datos DML, como transacciones que modfican la definicion de los datos (DDL).
Todos estros procesos pueden administrarse mediante al consola de OGG: invocando al comando: ggsci, esta ejecución abrirá una consola en la que podremos empezar a configurar los diferentes procesos de extracción, envío y replicación de la máquina.

26 mayo 2012

Oracle Policy Automation, Motor de reglas ontológico



Desarrollado por:
Ruleburst à Haley comprado por Oracle (2008)
Mas de 20 años de experiencia
Versión
Oracle Policy Automation 10.4.0 / Mayo 2012
Definición
Es una suite de productos de software para el modelado y la implementación de reglas de negocio dentro de las aplicaciones empresariales. Para transformar la legislación y documentos (Word, Excel y Visio) de normativas, en reglas de negocio ejecutables, en particular para el cálculo de los derechos a prestaciones y las cantidades de pago.
Plataformas:
Java y .NET
Modo de compra
·          Incluido en el ERP Siebel
·          Solución stand-alone
Mercado objetivo
·          Interacción del ciudadano con las AA.PP
·          Servicios Sociales
Componentes
·          Oracle Web Determinations: una aplicación web enfocada a las entrevistas.
·          Oracle Determinations Server:
o         Modela e integra procesos + reglas con servidores de BPEL (Oracle SOA suite), SAP, Siebel y Oracle EBS.
·          Oracle Determinations Engine: Soporta este middleware:
o         Microsoft IIS
o         Oracle Weblogic
o         IBM Websphere AS
o         Apache TOMCAT
Competidores
·          BeInformed Business Rule Engine
·          IBM ILOG: JRules y Rules for .NET v2.6
·          Pegasystems
·          Corticon Technologies
·          DROOLS (Open Source)
·          Experian

23 mayo 2012

Asegurando un servidor de base de datos Oracle (Introducción)


Introducción


La seguridad en la Base de datos es similar al tejado de un templo. El techo está sostenido por cuatro pilares: autenticación, autorización, certeza y auditoria, con cada pilar que contribuye al principio básico de la seguridad de una manera diferente.

Los cuatro pilares son necesarios para sostener el techo en su lugar. Si uno cualquiera de ellos se desmorona, el techo se derrumba totalmente. Usted debe construir y reforzar los cuatro pilares para crear una estructura de seguridad razonable, una sola debilidad en esta arquitectura hará que toda la infraestructura vulnerable.

  • Autenticación significa el establecimiento de la identidad, lo que confirma que un usuario es lo que él o ella dice ser. Si la autenticación es débil, un intruso podría acceder a la infraestructura. Cuando el usuario está autenticado, que le permiten ver sólo la información que está "autorizado" para ver.
  • La Autorización implica el control sobre lo que el usuario puede o no puede ver después de que ella está autenticada, en esta etapa, la identidad no se cuestiona. ("Autenticación" y "autorización" a menudo se confunden o se utilizan indistintamente, lo cual es incorrecto.) Básicamente, la autorización establece el perímetro de acceso del usuario dentro de la base de datos, y si ese perímetro es porosa, un usuario legítimo será capaz de ver a un mucho más de lo que debería.
  • Como un usuario legítimo, debidamente autenticada actuando dentro de los límites de la autorización manipula los datos, los datos se mueve dentro y fuera de la protección "techo" de la seguridad de la base de datos. Para garantizar que los datos no está contaminado o manipular ilegalmente durante este proceso, la certeza entra en juego.
  • Por último, la seguridad es incompleta sin que el usuario tenga que rendir cuentas por sus acciones. Sin ella, cualquier persona puede potencialmente hacer algo que es perfectamente legal, pero puede afectar a la estabilidad general del sistema. Por lo tanto, la seguridad esto no concierne sólo a permitir a los usuarios legítimos de trabajar bajo un régimen de autorización, sino también con lo que están haciendo y por qué. Por lo tanto, el concepto de auditoria es el último pilar de la infraestructura de seguridad.

07 marzo 2012

Analizar las opciones instaladas de Oracle para licenciarlas


Oracle LMS es el servicio de Oracle de Licenciamiento, en este articulo vamos a tratar el análisis por parte de Oracle de la instalación de la herramienta de monitorización  del uso de las bases de datos Oracle y tablas FND de Oracle Applications.

Como parte de un estudio global de los productos Oracle instalados, se analizan las bases de datos instaladas de los clientes que utilizan Oracle. La metodología para el estudio de las opciones que trabajan en la base de datos consiste en la instalación de unos scripts de SQL que toman instantáneas de algunas tablas del diccionario de datos de cada instancia. La herramienta de monitorización  (Le Menu) no representa carga extra para el servidor ni la red, y solo requiere de la creación de un usuario a nivel de las bases de datos que se va a encargar de la toma de estadísticas por un periodo de tiempo dos semanas!!

Cuando se analizan Oracle Enterprise Business Suite (Oracle General Ledger, Oracle Payables,  Oracle Inventory, etc.), las mismas aplicaciones tienen predefinidas tablas que permiten analizar su utilización (tablas FND), y se hace uso adicional de un par de consultas.

Las tablas y la información que se compila son del tenor siguiente:
  • V$SESSION Sesiones Concurrentes/ Dispositivos Concurrentes
  • V$LICENSE Información concurrente histórica por base de datos
  • V$OPTION Información sobre opciones instaladas
  • V$VERSION Información sobre la versión de la base de datos
  • DBA_USERS Userids, o información de cuentas de usuarios. No se acceden passwords.
Para el caso de Oracle Applications, se solicitan las siguientes tablas:
  • fnd_logins
  • fnd_login_responsibilities
  • fnd_user
  • fnd_user_responsibility ó fnd user_resp_groups
  • fnd_application
  • fnd_application_tl (sólo release rel11)
Este script nos puede dar una idea de lo que tenemos en nuestra infraestructura Oracle:

spool $ORACLE_HOME\options.txt
--Numero de procesadores instalados
set linesize 2000
select * from v$license;
--Database edition iinstalada
select banner from v$version;
--Oracle Partitioning instalado?
select decode(count(*), 0, 'No', 'Yes') Partitioning
from ( select 1 
       from dba_part_tables
       where owner not in ('SYSMAN', 'SH', 'SYS', 'SYSTEM')
         and rownum = 1 );
--Oracle Spatial instalado?
select decode(count(*), 0, 'No', 'Yes') Spatial
from ( select 1
       from all_sdo_geom_metadata 
       where rownum = 1 );
--Oracle RAC instalado?
select decode(count(*), 0, 'No', 'Yes') RAC
from ( select 1 
       from v$active_instances 
       where rownum = 1 );
 
-- Opciones instaladas para versiones 9i
Col name  format a50 heading "Option"
Col value format a5  heading "?" justify center wrap
Break on value dup skip 1
Select parameter name, value
from v$option 
order by 2 desc, 1
/
--Características usadas desde la versión 10g
Set feedback off
Set linesize 122
Col name             format a45 heading "Característica"
Col version          format a10 heading "Version"
Col detected_usages  format 999,990 heading "Detectada|usos"
Col currently_used   format a06 heading "esta siendo usada?"
Col first_usage_date format a10 heading "Primer uso"
Col last_usage_date  format a10 heading "Ultimo uso"
Col nop noprint
Break on nop skip 1 on name
Select decode(detected_usages,0,2,1) nop,
name, version, detected_usages, currently_used,
to_char(first_usage_date,'DD/MM/YYYY') first_usage_date, 
to_char(last_usage_date,'DD/MM/YYYY') last_usage_date
from dba_feature_usage_statistics
order by nop, 1, 2
/
spool off