Artigo SQL Magazine 38 - Banco de dados privados virtuais no Oracle 10g

ustify> minha

Clique aqui para ler todos os artigos desta edi��o

Banco de dados privados virtuais no Oracle 10g

Uma solu��o robusta para a seguran�a dos dados.

M�rcio Alexandre de Oliveira Pinto

A solu��o adotada para a atribui��o de privil�gios e perfis aos usu�rios de um sistema normalmente � baseada na aplica��o, ou seja, existe um m�dulo do sistema corporativo respons�vel pela autentica��o e atribui��o de direitos aos usu�rios.

Por�m, existe um problema na ado��o deste tipo de solu��o que normalmente passa despercebido: caso um usu�rio conecte-se ao banco atrav�s de qualquer outro aplicativo que n�o seja o da empresa, sem acessar esse m�dulo de controle de acesso, este poder� ter acesso a informa��es indevidas.

O SGBD Oracle prov� ferramentas necess�rias para construir aplica��es seguras e que evitam que esse problema aconte�a, bastando para isso combinar o uso do controle de acesso refinado e do contexto de aplica��o.

O Virtual Private Database (VPD)

A partir do Oracle 8i, a Oracle introduziu o conceito de Banco de Dados Privado Virtual (Virtual Private Database). Este oferece um controle de acesso refinado (FGAC - Fine-Grained Access Control) para um acesso seguro aos dados. Isso garante que os usu�rios apenas tenham acesso aos dados que pertencem a eles, implementando a seguran�a ao n�vel de linha da tabela. Usando esta op��o, podemos armazenar, por exemplo, dados de v�rias empresas no mesmo esquema do banco de dados, sem que elas saibam disso.

O VPD � uma solu��o robusta e confi�vel que d� a impress�o ao usu�rio final de que existe um banco de dados distinto para cada usu�rio, da� o nome de banco de dados privado virtual.

Com o VPD, voc� estabelece as pol�ticas na forma de predicados (cl�usulas where) que s�o anexadas a cada �select� ou comandos DML que os usu�rios fazem ao banco de dados. Ao utilizar o VPD, s� � preciso criar a estrutura de seguran�a uma vez no servidor de dados. Como as pol�ticas de seguran�a est�o anexadas aos dados e n�o � aplica��o, as regras de seguran�a s�o implantadas sempre e com qualquer abordagem de acesso. Assim sendo, os dados apresentados a partir de uma consulta s�o id�nticos independentes do modo de conex�o realizado: de uma aplica��o, do SQL plus, ou de um driver ODBC.

Em outras palavras, uma instru��o �select� em uma tabela, vis�o ou sin�nimo controlado por um VPD retornar� um subconjunto de linhas com base em uma cl�usula where gerada automaticamente pela fun��o da diretiva de seguran�a baseada no contexto da aplica��o.

A seguran�a pelo VPD fornece uma maneira inteiramente nova de controlar o acesso aos dados do Oracle. A mais interessante � a natureza din�mica de um VPD. Em tempo de execu��o, o Oracle executa os seguintes passos modificando o SQL do usu�rio final:

1. O Oracle recupera a informa��o do contexto da aplica��o e chama ent�o a fun��o da pol�tica, que retorna um predicado. Um predicado � uma cl�usula �where� que qualifica um conjunto particular de linhas de uma tabela.

2. O Oracle reescreve dinamicamente a consulta adicionando o predicado �s consultas SQL dos usu�rios.

Como os predicados s�o gerados de forma transparente durante a an�lise sint�tica da instru��o, a aplica��o n�o precisar� utilizar tabelas especiais, vis�es etc. para implementar a diretiva. Como resultado, o Oracle pode otimizar a consulta utilizando �ndices, vis�es materializadas e opera��es paralelas onde, do contr�rio, talvez ele n�o fosse capaz. Portanto, utilizar um VPD talvez incorra em menos overheads que uma consulta cujos resultados s�o filtrados utilizando aplica��es ou outros meios.

O controle de acesso refinado (FGAC)

O controle de acesso refinado (FGAC - Fine-Grained Access Control) � baseado na modifica��o din�mica das express�es do usu�rio.

Quando usamos o controle de acesso refinado, criamos pol�ticas de seguran�a que ficam acopladas �s tabelas, vis�es, ou sin�nimos em que a aplica��o est� baseada. Quando um usu�rio executa um SELECT ou uma express�o DML (INSERT, UPDATE ou DELETE) no objeto, o Oracle dinamicamente modifica a express�o do usu�rio, de forma transparente, implementando nessa express�o o controle de acesso correto. Podemos tamb�m garantir a pol�tica de seguran�a nas opera��es de manuten��o de �ndices executadas com as express�es CREATE INDEX e ALTER INDEX (ler Nota 1).

Nota 1. Dica

Usu�rios precisam de acesso completo � tabela para criar os �ndices. Consequentemente, um usu�rio que tenha privil�gio para manuten��o de um �ndice ter� direito de ver todas as linhas da tabela, embora o usu�rio n�o tenha acesso completo a tabela quando executa uma simples consulta. Para prevenir isto, aplique a pol�tica de VPD nas express�es de INDEX.

Essa modifica��o din�mica � baseada na condi��o �where� (predicado) que � retornada por uma fun��o que implementa a pol�tica de seguran�a. Essa fun��o utilizada pra retornar os predicados a fim de impor a diretiva � criada como qualquer outra fun��o PL/SQL, exceto que a fun��o tem dois par�metros requeridos (obj_schema e obj_name ambos varchar2) e retorna um VARCHAR2.

As fun��es que retornam o predicado tamb�m podem incluir chamadas externas a outras fun��es. Dentro do pacote PL/SQL, podemos embutir chamadas a programas C ou Java que podem acessar qualquer informa��o do sistema operacional, ou retornar uma cl�usula �where� a partir de um arquivo no sistema operacional ou de um reposit�rio central de pol�ticas. Uma fun��o de pol�tica pode retornar diferentes predicados para cada usu�rio, para cada grupo de usu�rios ou para cada aplica��o.

Podemos ver na Figura 1 como empregados s� t�m acessos aos dados do seu pr�prio departamento usando o Controle de Acesso Refinado. Dois usu�rios aplicam a mesma instru��o SQL no banco de dados: SELECT * FROM PEDIDOS. Para cada usu�rio, a fun��o de pol�tica de seguran�a adiciona um predicado (de acordo com o departamento do empregado), e cada um dos SQL retornam linhas diferentes do banco de dados.

Figura 1. Esquema de funcionamento do VPD.

Um empregado executa a consulta:

SELECT * FROM PEDIDOS;

A fun��o implementada pela pol�tica de seguran�a retorna o predicado �dep_id = 1� para o empregado �A�, e ent�o o banco de dados de forma transparente reescreve a consulta, e a executa da seguinte forma:

SELECT * FROM PEDIDOS WHERE DEP_ID = 1;

Suponha que queiramos colocar na tabela �PEDIDOS� a seguinte pol�tica de seguran�a: �Clientes s� podem ver seus pr�prios pedidos�. O processo � descrito a seguir.

Criamos uma fun��o para adicionar um predicado � express�o DML do usu�rio. Neste caso, podemos criar uma fun��o que adiciona o seguinte predicado:

Cliente_no = (SELECT Cli_no FROM Clientes WHERE Cliente_name = SYS_CONTEXT ('userenv','session_user'))

Um usu�rio entra com a seguinte express�o:

SELECT * FROM Pedidos;

O Oracle chama a fun��o que foi criada para implementar a pol�tica de seguran�a. Com isso, dinamicamente a fun��o modifica a express�o do usu�rio para a seguinte:

SELECT * FROM PEDIDOS WHERE Cliente_no =

(SELECT Cli_no FROM Clientes WHERE Cliente_name = SYS_CONTEXT ('userenv','session_user'))

Feito isto, o Oracle executa a express�o que foi alterada.

A fun��o emprega o �username� retornado por SYS_CONTEXT (�userenv�, �session_user�) para procurar o cliente correspondente e para limitar os dados retornados da tabela PEDIDOS para os dados somente desse cliente.

O contexto da aplica��o

O conceito de contexto da aplica��o � an�logo �s vari�veis globais que estamos acostumados, no sentido de que uma vez que um valor � definido para um atributo de um contexto, este pode ser referenciado durante toda a sess�o do usu�rio no banco de dados. Entretanto, essa similaridade termina por a�. O maior diferenciador � a maneira que esta atribui��o � feita, e a seguran�a que � fornecida.

Em outras palavras, o contexto da aplica��o � uma parte da mem�ria do banco de dados que pode ser referenciada por uma fun��o espec�fica (SYS_CONTEXT), e fica acess�vel durante toda a sess�o do usu�rio com o banco de dados.

Voc� define um contexto da aplica��o da seguinte forma:

create context teste_ctx
using set_teste_ctx;

Observe a segunda linha, �using��. Aqui est� a diferen�a entre o contexto de aplica��o e as vari�veis globais. Isto indica que os atributos do contexto podem somente ser atribu�dos pelo procedimento set_teste_ctx. Obviamente, precisamos criar tal procedimento (ver Listagem 1).

...

Quer ler esse conteúdo completo? Tenha acesso completo

Confira outros conte�dos:

SQL SUM: somando os valores de uma...

SQL: INNER JOIN

SQL: Introdu��o ao Where

Assista grátis a nossa aula inaugural

<Saiba por que programar é uma questão de sobrevivência e como aprender sem riscos/>

Perguntas frequentes

Quem somos?

A DevMedia é uma escola de formação de programadores com mais de 20 anos de mercado. Já formamos mais de 100 mil programadores. A DevMedia ensina programação web, (desenvolvimento de site e aplicativos para celulares). A programação web é a área que mais contrata programadores em todo o mundo, sendo a maior porta de entrada para a área da tecnologia.

Por que a programação se tornou a profissão mais promissora da atualidade?

Nunca o mundo necessitou tanto de programadores como atualmente. Com a quarentena estabelecida pela Covid-19, lojas, restaurantes, escritórios e escolas, que tiveram suas atividades paralisadas, perceberam a urgente necessidade de adaptar seus negócios para o mundo digital. Em contrapartida as empresas de tecnologias, durante esse período, cresceram como nunca tanto em faturamento quanto em número de usuários. Com isso a necessidade de programadores cresceu muito. Empresas de grande e pequeno porte estão com vagas abertas e não conseguem contratar por falta de profissionais qualificados. No momento estima-se que o número de oportunidades no Brasil seja acima de 200 mil!

Como faço para começar a estudar?

Programação é um universo amplo, existem muitos caminhos e por isso é muito fácil se perder. Nosso conselho é: NÃO ESTUDE SOZINHO. Infelizmente 78% das pessoas que começam a estudar sozinhas desistem da profissão por não conseguirem aprender. Com uma boa orientação elas teriam conseguido! Se você tomou a decisão de entrar nesse mercado, faça um investimento no seu futuro e busque aprender com quem sabe. Isso vai triplicar suas chances de dominar a programação e conquistar uma vaga no mercado.

Em quanto tempo de estudo vou me tornar um programador?

O tempo depende, claro, da dedicação de cada estudante. A DevMedia ensina programação há 20 anos e com toda essa experiência montamos uma metodologia que tem como objetivo principal acelerar os seus estudos. Você terá um Plano de Estudo para te orientar em todos os passos do aprendizado. Desenvolverá diversos projetos reais para colocar em prática os conhecimentos e contará com o melhor suporte ao aluno da web. Todas as suas dúvidas serão respondidas de imediato. Seguindo nossa metodologia e se dedicando, entre 6 meses e um ano você já estará programando.

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

Ser programador é uma das maiores oportunidades que o Brasil oferece para quem não tem condições de fazer uma faculdade. Muitas empresas contratam sem fazer questão de diploma, o que importa para elas é que o candidato seja um bom técnico e consiga atender suas necessidades. Os salários iniciais para programadores são de R$2.500 mil, podendo chegar aos R$15 mil para aqueles que se dedicam. Com disciplina e um estudo correto, que não te faça perder tempo, é possível se tornar um programador em menos de um ano de estudo. Quando você já estiver empregado, aí sim você pode se aprimorar ainda mais fazendo uma faculdade na área.

O que eu irei aprender estudando pela DevMedia?

Nossas trilhas de estudo te permitem virar um programador Full Stack, que é aquele programador mais completo, ele domina o desenvolvimento Front-end, Back-end e Mobile. Você ficará apto para criar sistemas para computadores e aplicativos para celulares. Utilizamos como base a linguagem JavaScript que é a linguagem mais utilizada no mundo. Outra vantagem do JavaScript é a quantidade de oportunidades no mercado de trabalho. É sem dúvida a linguagem que mais possui vagas e a que mais dá oportunidade para os iniciantes.

Principais diferenciais da DevMedia

Suporte ao aluno - O aluno conta com a ajuda de professores para tirar dúvidas durante toda a jornada de ensino. As perguntas são respondidas em menos de uma hora por professores experientes e atuantes no mercado. Gamificação - A plataforma de ensino é divertida e motivante. É como se o aluno estivesse dentro de um game. Ele terá seu card pessoal, que poderá ser customizado utilizando as moedas que ele ganha quando acerta os exercícios. Ele poderá também trocar suas moedas por outros produtos dentro da plataforma. Além disso, seus acertos contam pontos no ranking mensal dos alunos. Tudo isso deixa os estudos mais leves e motivantes. Didática - A DevMedia já ensina programação há mais de 20 anos. Desenvolvemos ao longo desse tempo uma metodologia que ensina a programar de verdade, com menos aulas e mais prática, são dezenas de projetos e exercícios que desenvolvem a mente programadora no aluno. Projetos reais - Durante os estudos os alunos irão desenvolver dezenas de projetos em cada uma das carreira (front-end, back-end e mobile). Mas o principal é que os projetos da DevMedia não são “copia e cola” como se encontra por aí. Aqui o aluno vai desenvolver os projetos de forma autônoma, recebendo claro a nossa mentoria e suporte, mas o aluno terá condições para desenvolvê-los sozinho. Milhares de exercícios - Programação é prática, por isso a cada nova matéria o aluno passará por um bloco de exercícios para fixar o conteúdo e cada acerto será bonificado com pontos e moedas e valem uma posição no ranking dos alunos.

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Na internet é possível encontrar cursos de todos os preços, desde 50,00 a R$15.000,00. Os cursos de 50,00 são cursos avulsos, que explicam apenas pedaços de uma determinada matéria. Para criar um conhecimento completo você precisaria comprar no mínimo de 15 a 20 cursos avulsos e correria o risco deles não se complementarem tão perfeitamente e seu conhecimento ficaria cheio de "buracos". Os cursos de R$15.000,00 não fazem nenhum sentido. Deixe para investir em cursos caros quando quiser se especializar. Por esse preço você pode inclusive estudar fora do pais. Na DevMedia, você terá um plano de estudo montado por quem já formou mais de 100 mil alunos, e já está nesse mercado há mais de 20 anos. Somos a única plataforma que oferece Suporte ao Aluno em tempo real e uma experiência de estudos gamificada para te manter motivado durante todo o período de estudo. E o melhor, nosso pagamento é recorrente, você não precisa usar o limite do seu cartão de crédito para investir no seu futuro. Aproveite para se matricular agora mesmo.

Como funciona a forma de pagamento da DevMedia?

Para que você possa investir nos seus estudos sem complicar sua vida financeira, a DevMedia cobra o valor da assinatura de forma recorrente, Igual o Netflix. Todos os meses debitamos o valor da parcela em seu cartão de crédito, sem comprometer o limite total do cartão. :) As primeiras 3 parcelas custam R$89,90 e a partir do 4o mês sua parcela diminui para R$49,90! Assim ela pesa cada vez manos no seu bolso! Nesse modelo, a gente te ajuda a pagar seus estudos, mas você precisa ajudar a gente a pagar nossos custos. Por isso a assinatura recorrente tem uma fidelidade de um ano. Essa fidelidade também vai te ajudar a se manter comprometido com os seus estudos. Temos um trato?

Por M�rcio Em 2007

Coment�rios nesta publica��o Escrever um coment�rio sobre conte�do

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso