- Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault...
Transcript of - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault...
<Insert Picture Here>
Обеспечение безопасности данныхНиколай Данюковк.т.н., ведущий консультант, Oracle СНГ
Безопасность
Основные требования заказчиков
Производительность
Масштабируемость
Надежность
“… для коммерческой организации я бы поставил потерюрепутации на первое место. Дело в том, что доброе имянельзя создать в короткий срок, имея даже очень много
денег. Организации тратят годы на то, чтобы сделать своюторговую марку узнаваемой, развивают лояльность маркесо стороны клиентов. Между тем, всего одна утечка может
разом перечеркнуть долгие годы усилий.”
Олег Смолий,главный специалист Управления
по обеспечению безопасности ВТБ
- InfoWatch, 31.01.07
• Коммерческая тайна• Служебная тайна• Служебная и
коммерческая тайна• Банковская• Тайна кредитной
истории• Тайна страхования• Тайна завещания• Налоговая тайна• Тайна усыновления
ребенка• Врачебная тайна• Медицинская тайна• Тайна связи• Аудиторская тайна• Тайна следствия и
судопроизводства• Адвокатская тайна• Нотариальная тайна• Профессиональная тайна• Личная (семейная) тайна и
персональные данные• Тайна исповеди
Нормативные требованияСписок правовых актов и регулируемых ими видов тайн
Нормативные требованияНовые
Нормативные требования … формальное выполнение
Нормативные требования … лучшие практики
Средства безопасности баз данныхНепрерывное развитие EM Data Masking
TDE Tablespace EncryptionOracle Audit Vault
Oracle Database Vault Secure Backup (Tape)
TDE Column EncryptionVPD Column Masking
VPD Column Relevant EM Secure Config Scanning
Client Identity PropagationFine Grained Auditing
Oracle Label SecurityProxy authentication
Enterprise User SecurityVirtual Private Database (VPD)
Database Encryption API Strong Authentication
Native Network Encryption Database Auditing
Government customer
Oracle7
Oracle8i
Oracle Database 9i
Oracle Database 10g
Oracle Database 11g
База данных Oracle®
Средства обеспечения безопасности
Virtual Private Database (VPD)
Oracle Label Security (OLS)
Transparent Data Encryption (TDE)
Oracle Database Vault
Oracle Audit VaultData Masking Pack Identity Management
Oracle Advanced Security
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Advanced Security
Опция
Успешное применениеOracle Advanced Security
4 из 5 крупных банков в США используют Oracle Advanced Security
4 из 5 крупных телекоммуникационных компаний США применяют Oracle Advanced Security
4 из 5 крупнейших университетов США используют Oracle Advanced Security
5 из 5 наиболее успешных технологических компаний США внедрили Oracle Advanced Security
Industry Rankings based on US News & World ReportTop Universities for 2009Fortune 500, 2008; and Fortune Most Profitable Technology Companies, 2008
Угрозы при передаче данных
1. Кража 2. Подмена
3. Уничтожение
$50,000$500
Защита данных при передачеШифрование
⌧ Алгоритмы шифрования трафика– AES– RSA RC4 (40-,56-,128-,256-bit )– DES (40-, 56-bit) и
3DES (2- and 3-key)⌧ Контрольное суммирование
– MD5, SHA-1– Автоматическое распознаваниеизменений и подмены данных
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Virtual Private Database (VPD)
Технология
Virtual Private Databases ?
Отдельные пользовательскиебазы данных
Virtual Private Databases ?
Единая база данных
Virtual Private Databases
Виртуальные базы данных• тщательный контроль доступаFine Grained Access Control (FGAC) -связывание политик безопасности собъектами БД;
• защита на уровне строкRow Level Security (RLS),(пакет DBMS_RLS)
Обеспечивают доступ пользователейтолько к своим данным
Доступ к данным
Заказчик
Разработчик
80
20
Доступ только к своим данным
Заказчик
Разработчик
select * from customers
80
20
Разрешено читать данныевсем пользователям?
Политика безопасности: НЕТ
Доступ только к своим даннымДинамическое изменение запроса
Запросизменяетсядинамически
Заказчик
Разработчик
select * from orders
id_user=80
id_user=20
80
20
Разрешено читать данныевсем пользователям?
Политика безопасности: НЕТ
Доступ только к своим даннымДинамическое изменение запроса
Заказчик
Разработчик
select * from orders
80
20
Разрешено читать данныевсем пользователям?
Политика безопасности: НЕТ
WHERE id_user = 80
WHERE id_user = 20Запросизменяетсядинамически
Доступ только к своим даннымВиртуальные базы данных
Заказчик
Разработчик
select * from orders
WHERE id_user = 80
WHERE id_user = 20
80
20
Виртуальные базы данных Правило отображения данных в столбце
• Используется, начиная с версии Oracle 10gприменяется только, когда столбец указан в запросе
select store_id, Revenue…
Store_ID
AX703
B789C
JFS845
SF78SD
Revenue
10200.34
18020.34
12341.34
13243.34
Department
Finance
Engineering
Legal
HR
OK
отображаются только те строки, доступ к которымразрешен
Виртуальные базы данных Правило отображения данных в столбце
• Используется, начиная с версии Oracle 10gприменяется только, когда столбец указан в запросе
select store_id, Revenue…
Store_ID
AX703
B789C
JFS845
SF78SD
Revenue
18020.34
Department
Finance
Engineering
Legal
HR
OKOKOK
OK
может быть настроено для отображения всех строктаблицы, причем значения полей столбцав «чужих» строках фильтруются (скрываются)
Real TimeDatabaseMasking
Виртуальные базы данных
WHERE id_user = 80
WHERE id_user = 20
Простое правилос использованием значения
идентификатора пользователя
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Простое правилос использованием значения
идентификатора пользователя
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Разделить данные по категориям
Простое правилос использованием значения
идентификатора пользователя
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Разделить данные по категориям
Обеспечить обработку данных толькотеми сотрудниками организаций,которые владеют данными или имеютк ним доступ
Простое правилос использованием значения
идентификатора пользователя
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Разделить данные по категориям
Обеспечить обработку данных толькотеми сотрудниками организаций,которые владеют данными или имеютк ним доступ
Простое правилос использованием значения
идентификатора пользователяОтвет: Использовать опцию
Oracle Label Security
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Label Security (OLS)
Опция
Oracle Label Security Элемент метки: Уровень (Levels)
Top Secret
Confidential
Sensitive
ОбязательноОдно значение
Oracle Label Security Элемент метки : Категория (Compartment)
RiskPersonal
Corporate
ОпцияСписок (0..n)
Oracle Label Security Элемент метки : Группа (Group)
Аудит
Кредитные
карты
Кредиты
Опция
HQ
Кредитныекарты
Кредиты Аудит
SME
Multi-NatInternal
Invest Admin
А В UK
Список (0..n)
Oracle Label Security Пример метки
HQ
Кредитныекарты
Кредиты Аудит
SME
Multi-NatInternal
Invest Admin
А В UK
RiskPersonal
Corporate
Top Secret
Confidential
Sensitive
Confidential : Risk, Corporate : SME, UK, Admin
Oracle Label SecurityПример чтения данных
Код Количество Метка строки
AF2137 1000000 Confidential : Corporate : SMEJG4112 225000 Confidential : Personal : LondonXS3025 7500000 Top Secret : Risk : AuditAF2991 317000 Sensitive : Personal : BranchSD1328 900725 Sensitive : Corporate : Multi-Nat
User User МеткаМетка пользователяпользователяАнна Confidential : Corporate : Кредиты
Oracle Label SecurityПример чтения данных
Код Количество Метка строки
AF2137 1000000 Confidential : Corporate : SMEJG4112 225000 Confidential : Personal : LondonXS3025 7500000 Top Secret : Risk : AuditAF2991 317000 Sensitive : Personal : BranchSD1328 900725 Sensitive : Corporate : Multi-Nat
Кредиты
SME
Multi-Nat
UK
User User МеткаМетка пользователяпользователяАнна Confidential : Corporate : Кредиты
Oracle Label SecurityПример чтения данных
Код Количество Метка строки
AF2137 1000000 Confidential : Corporate : SMEJG4112 225000 Confidential : Personal : LondonXS3025 7500000 Top Secret : Risk : AuditAF2991 317000 Sensitive : Personal : BranchSD1328 900725 Sensitive : Corporate : Multi-Nat
User User МеткаМетка пользователяпользователяАнна Confidential : Corporate : Кредиты
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Transparent Data Encryption (TDE)Oracle Advanced Security
Опция
Утечки информацииЦена вопроса
“…Стоимость «бреши» в системезащиты данных, повлекшей утечкуконфиденциальной информации, составляет от 90 до 305 USDза одну запись…”
(April 10, 2007, CalculatingThe Cost Of A Security Breach)
Утечки информацииПредпосылки
“…Стоимость «бреши» в системезащиты данных, повлекшей утечкуконфиденциальной информации, составляет от 90 до 305 USDза одну запись…”
(April 10, 2007, CalculatingThe Cost Of A Security Breach)
Утечки информацииПоследствия
“…Стоимость «бреши» в системезащиты данных, повлекшей утечкуконфиденциальной информации, составляет от 90 до 305 USDза одну запись…”
(April 10, 2007, CalculatingThe Cost Of A Security Breach)
Защита на физическом уровне Прозрачное шифрование
Зашифровываниеданных
при записи
Защита на физическом уровне Прозрачное шифрование
Расшифровываниеданных
при чтении
Зашифровываниеданных
при записи
Защита на физическом уровне Прозрачное шифрование
Данныена физических носителях
информациии в резервных копиях
защищены
Расшифровываниеданных
при чтении
Зашифровываниеданных
при записи
Ключи прозрачного шифрованияМастер-ключ
Мастер-ключ хранитсяв PKCS#12 wallet
Таблицы с защищеннымиколонками
Ключи для колонок защищенымастер-ключем
Пароль
Ключи прозрачного шифрованияКлючи защищенных колонок
Мастер-ключ
Таблицы с защищеннымиколонками
Данные защищенныхколонок таблиц доступны
Ключи прозрачного шифрованияДоступ к данным разрешен
Прозрачное шифрованиеЗащита LOB (CLOB, BLOB) колонок
create table orders ( doc CLOBencrypt using ‘AES128’)LOB (doc) STORE AS SECUREFILETABLESPACE obe_tbs2 );
• Создание новой таблицы с защищаемой LOB колонкой:
• Шифрование LOB колонок возможно только для SECUREFILE• зашифровываются все строки данных LOB колонки
• Шифрование BFILE и внешних таблиц не поддерживается
Data Masking Pack
Утечки информации• Через физические носители
• При разработке и тестировании сложных приложений
Данные, представленные длятестирования
TransparentData EncryptionOracle Database
Утечки информации• Через физические носители
• При разработке и тестировании сложных приложений
Данные, представленные длятестирования
Data Masking PackOracle Enterprise Manager
TransparentData EncryptionOracle Database
45,000093-44-3823FIORANO
80,000989-22-2403D’SOUZA
60,000323-22-2943BENSON
40,000203-33-3234AGUILAR
SALARYSSNLAST_NAME
45,000111-49-3849FPENZXIEK
80,000111-97-2749KDDEHLHESA
60,000111-34-1345BKJHHEIEDK
40,000111—23-1111ANSKEKSL
SALARYSSNLAST_NAME
Процедура преобразования данныхData Masking Pack : Masking Workflow
Данные, представленные длятестирования
OFF-LINEDatabaseMasking
Защита на физическом уровне Прозрачное шифрование
Зашифровываниеданных
при записи
Расшифровываниеданных
при чтении
Данные в резервныхкопиях защищены
ШифрованиеTablespace
Ключи прозрачного шифрованияМастер-ключ
Мастер-ключ хранитсяв PKCS#12 wallet
Прозрачное шифрованиеЗащита данных в TABLESPACE
create tablespace securespacedatafile '/home/user/oradata/secure01.dbf'size 150mencryption using '3des168'default storage(encrypt);
• Создание защищенного tablespace:
• Алгоритмы: 3DES168, AES128, AES192, AES256• Существующее табличное пространствоне может быть зашифровано
• Ключ tablespace не может быть изменен• Обязательно использование опции SALT
Tablespace
Ключ физически хранится в Datafile Header Block. Если файлов несколько, то он записывается в каждый из заголовков
Прозрачное шифрованиеЗащита данных в TABLESPACE
Fri Oct 17 23:15:08 2008SQL> ALTER SYSTEM SET ENCRYPTION WALLET CLOSECompleted Successfully
ALTER SYSTEM SET ENCRYPTION WALLET CLOSEFri Oct 17 23:19:53 2008Errors in file /u01/app/oracle/diag/rdbms/ora11g/ora11g/trace/ora11g_dbw0_31342.trc:ORA-28365: wallet is not openDBW0 (ospid: 31342): terminating the instance due to error 28365Instance terminated by DBW0, pid = 31342
• Закрытие master encryption wallet во время работысистемы может приводить к «Instance terminated» :
Tablespace
Bug 6446546
Прозрачное шифрованиеTABLESPACE : Wallet
Прозрачное шифрованиеTABLESPACE : Создание
Прозрачное шифрованиеTABLESPACE : Создание (Опции шифрования)
• Алгоритмы: 3DES168, AES128, AES192, AES256
Прозрачное шифрованиеTABLESPACE : Создание (Просмотр SQL)
Прозрачное шифрованиеTABLESPACE : Проверка созданного SQL
• Выполнение подготовленного кода в SQL Plusзавершается с ошибкой !
SQL> CREATE SMALLFILE TABLESPACE "DATA02_ENC"
2 DATAFILE '/oracle/oradata/db01/data02_enc.dbf'
3 SIZE 50M LOGGING EXTENT MANAGEMENT LOCAL
4 SEGMENT SPACE MANAGEMENT AUTO
5 DEFAULT NOCOMPRESS
6 ENCRYPTION USING 'AES192' DEFAULTSTORAGE(ENCRYPT);
ENCRYPTION USING 'AES192' DEFAULT STORAGE(ENCRYPT)
ERROR at line 6:
ORA-25142: default storage clause specified twice
Прозрачное шифрованиеTABLESPACE : Корректировка SQL
• Удалим из кода выражение “DEFAULT NOCOMPRESS”, которое было добавлено при генерации кода в Enterprise Manager, и выполним откорректированный код в SQL Plus
SQL> CREATE SMALLFILE TABLESPACE "DATA02_ENC"
2 DATAFILE '/oracle/oradata/db01/data02_enc.dbf'
3 SIZE 50M LOGGING EXTENT MANAGEMENT LOCAL
4 SEGMENT SPACE MANAGEMENT AUTO
DEFAULT NOCOMPRESS
5 ENCRYPTION USING 'AES192' DEFAULTSTORAGE(ENCRYPT);
Tablespace created.
Прозрачное шифрованиеTABLESPACE : Зашифровывание данных
• Существующий Tablespace не может быть зашифрован автоматически (командой ALTER TABLESPACE, например)
• Необходимые шаги по зашифровыванию имеющихся данных:• Резервное копирование исходного (не защищенного) табличного пространства
• Создание нового (‘DATA02_ENC’)• Перемещение объектов из исходного в защищенное табличное пространство (потребуется пересоздать индексы)
• Удаление исходного (‘DATA02’)• Переименование защищенного Tablespace, при необходимости
SQL> select tablespace_name, encrypted from dba_tablespaces2 where tablespace_name in ('DATA02','DATA02_ENC')3 order by 2,1;
TABLESPACE_NAME ENC------------------------------ ---DATA02 NODATA02_ENC YES
Прозрачное шифрованиеTABLESPACE : Перемещаемые таблицы
SQL> select 2 a.table_name, b.tablespace_name,b.encrypted3 from dba_tables a, dba_tablespaces b4 where a.tablespace_name=b.tablespace_name5 and owner='HR'6 and table_name in ('EMP_TMP','DEPT_TMP');
TABLE_NAME TABLESPACE_NAME ENC----------- ---------------- ---EMP_TMP DATA02 NODEPT_TMP DATA02 NO
Прозрачное шифрованиеTABLESPACE : Перемещение
SQL> alter table hr.emp_tmp move tablespacedata02_enc;
Table altered.
SQL> alter table hr.dept_tmp move tablespacedata02_enc;
Table altered.
TABLE_NAME TABLESPACE_NAME ENC----------- ---------------- ---EMP_TMP DATA02_ENC YESDEPT_TMP DATA02_ENC YES
Прозрачное шифрованиеTABLESPACE : Что с индексами ?
SQL> alter index hr.emp_idx_last_name rebuildtablespace data02_enc;
Index altered.SQL> alter index hr.emp_idx_first_name rebuild
tablespace data02_enc;Index altered.SQL> alter index hr.dept_idx_deptno rebuild
tablespace data02_enc;Index altered.
• Пересоздание индексов :
SQL> drop tablespace data02 including contents and datafiles;
Tablespace dropped.SQL> alter tablespace data02_enc
rename to data02;Tablespace altered.
• Удаление исходного и переименование нового tablespace
Прозрачное шифрованиеTABLESPACE : Данные защищены
TABLE_NAME TABLESPACE_NAME ENC------------------ ---------------- ---EMP_TMP DATA02 YESDEPT_TMP DATA02 YES
INDEX_NAME TABLESPACE_NAME STATUS------------------- --------------- ------DEPT_IDX_DEPTNO DATA02 VALIDEMP_IDX_LAST_NAME DATA02 VALIDEMP_IDX_FIRST_NAME DATA02 VALID
• Секционированные таблицы могут иметь :• Все секции в одном и том же защищенном табличном пространстве
• Секции в различных защищенных табличных пространствах• Часть из секций в защищенных табличных пространствах, а остальные в незащищенных
• Например (из DBA_TAB_PARTITIONS)
TABLE_NAME PARTITION_NAME TABLESPACE_NAME ENC------------- --------------- ---------------- ---SALES_LIST SALES_WEST DATA02 NOSALES_LIST SALES_CENTRAL DATA03_ENC YES
Прозрачное шифрованиеTABLESPACE : Partitioned Tables
TABLESPACE Encryption
ДЕМОНСТРАЦИЯ
Права доступа
Database DBA
Права доступа
Database DBA
Пароль для доступа к даннымотличается от System и DBA паролей
Нет доступа к wallet
Права доступа
Database DBA
Пароль
Доступ к даннымразрешен
Мастер-ключ
Права доступа
Database DBA
ПарольМастер-ключ
Доступ к даннымразрешен
Права доступа
Database DBA
ПарольМастер-ключ
Доступ к даннымразрешен
SELECT ANY TABLE
Права доступаКак защитить данные от инсайдеров ?
Database DBA
ПарольМастер-ключ
SELECT ANY TABLE
Права доступаКак защитить данные от инсайдеров ?
Database DBA
ПарольМастер-ключ
SELECT ANY TABLE
Ответ: Использовать опциюOracle Database Vault
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Database Vault
Опция
“Microsoft, IBM и Sybase не имеютаналогичных средств”
” Руководителям организаций важно,чтобы администраторы баз данных
управляли базами данных, а не данными ...”
Noel Yuhanna,Senior Analyst
Forrester Research
Oracle® Database Vault ?
• Опция СУБД Oracle 10g Release 2 EEOracle 11g Release 1 EE
• Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных (DBA)
• Обеспечение доступа к данным на основе динамически настраиваемых правил
• Повышение защищенности объектов БДот несанкционированных изменений
• Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль
или Oracle 9i R2 (9.2.0.8) EE
• Обеспечивает возможность безопаснойконсолидации IT-ресурсов организации
• Все механизмы “встроены” в БД Oracle
Oracle® Database VaultПример использования
ADM_DBAselect * from HR.emp
HR_DBA
FIN_DBA
HRHR
FINFIN
• Администратор БД (ADM_DBA)обращается к даннымв схеме HR
• Пользователь HR_DBAобращается к даннымв схеме FIN или желаетполучить доступ к областиHR во внерабочее время
Безопасная консолидацияприложений на одном сервере
Соответствие нормативнымтребованиям и стандартамвнутреннего аудита
Oracle® Database VaultWEB-ориентированный интерфейс
Управление
• Realms• Rules• Factors• Reports• Dashboard
Oracle® Database VaultПрограммный интерфейс
Защищенная область Пример использования
Пользователь SYSTEMможет просматриватьконфиденциальные данные SELECT ANY TABLE
hr.employees
Oracle® Database VaultИнтерфейс администратора
Защищенная областьСоздана
Защищенная область Результат применения
Даже пользователь SYSTEMне может просматриватьзащищенные данные SELECT ANY TABLE
hr.employees
Многофакторная авторизацияBuilt-In Factors
TimeDateDatabase HostnameLanguage
Proxy Enterprise
Identity
Enterprise Identity
Database IPNetwork Protocol
Database Instance
Database Name
MachineDomain
Database NameClient IP
SessionUser
AuthenticationMethod
* Могут быть определены дополнительные (пользовательские) факторы
Многофакторная авторизацияФактор DOMAIN. Диапазоны IP-адресов
NOT SECURE
SECURE
HIGHLY SECURE
Многофакторная авторизацияФактор DOMAIN. Проверка
ORCL_DBV
IP 192.168.214.251
IP 192.168.214.51
Многофакторная авторизацияИнтеграция с Oracle Label Security
Oracle Label Security ограничивает доступ к даннымна основе факторов Database Vault
Конфиденциально
Д С П
Публично
Организация
Factor = Внутренний
Factor = Внешний
Партнеры
Разграничение по служебным обязанностям=
DV_OWNER
DV_ACCTMGR
Разграничениепо служебным обязанностям
DV_OWNER
DV_ACCTMGR
D B A
Обеспечениебезопасности данных
create userdrop user
Управление БД,
исключая права,переданные ролямDV_OWNER и DV_ACCTMGR
Динамическая настройка правилСоздание правила Non Work Hourse
HR
Список контролируемых командCommand Rule Flexibility
Alter Database Alter Database Alter TableAlter Function Audit Alter TablespaceAlter Package Body Alter Procedure Alter ProfileAlter Session Alter System Alter SynonymAlter Table Alter Trigger Alter UserPassword Alter Tablespace Alter ViewChange Password Connect CommentCreate Function Create Index Create PackageCreate Database Link Create Procedure Create RoleCreate Package Body Create User Create ViewCreate Table Grant InsertNoaudit Rename Lock TableCreate Tablespace Create Trigger Truncate TableUpdate Insert DeleteExecute Select
Правила выполнения командЗапрет команды ALTER SYSTEM
1
2
3
Отчеты и аудит
• Более 30 предустановленных отчетов о выполнении политик безопасности
• Аудит попыток нарушений защиты
• Отчеты по защищенным областям (Realms), выполнении правил (Rules) и условий (Factors)
• Списки системных и пользовательских привилегийна доступ и обработку данных
Oracle Database VaultApplication Certification
• PeopleSoft• E-Business Suite 11i/R12• Siebel• Oracle Content DB• Oracle Internet Directory• I-Flex (cube)• SAP • Проводится
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Audit Vault
Продукт
Trust-but-Verify
Доверяй, но проверяй
Oracle® Audit Vault
Enterprise AuditingТребования пользователей
• Консолидация данных аудита• Много разрозненных данных (audit silos)
• Отчеты по данным аудита• Необходимость в специализированных отчетах для аудиторов
• Мониторинг данных аудита• Необходимость в эффективном и централизованном сканировании данных
• Управление данными• Обеспечение безопасного хранения конфиденциальных данных аудита
• Большой объем хранимой информации• Архивирование данных
• Настройка параметров аудита• Необходимо обеспечить контроль и управление настройками параметров мониторинга и аудита
Oracle® Audit VaultФункциональные возможности
MicrosoftSQL Server(2000, 2005)
Oracle Database(9i, 10g, 11g)
МониторингНастройка
ОтчетыБезопасность
Сбор и консолидацияданных аудита
Отчеты о соблюдениитребований
Контроль активности
Масштабируемость ибезопасность
Простота настройки иуправления
IBM DB2(UDB 8.2, 9.5)
Sybase ACE(12.5, 15.0)
Версия 10.2.3.1Пресс-релиз 28.01.2009
Компоненты Audit VaultФункциональная схема
Источникиданных аудита
Управление настройками
Данные аудита
Data Warehouse Отчеты Предупреждения
Средстваобеспечениябезопасности
Средствауправленияи контроля
Audit Vault СЕРВЕР
Audit Vault АГЕНТ
КоллекторыDBAUD, OSAUD, REDO
Данные аудитаПараметры настроек (управления)
AV_Admin
AV_Auditor
Управление
Контроль
Компоненты Audit Vault : АгентыВарианты установки
Audit Vault СЕРВЕР
Host 1
Агент
Host 2
DBAUD
OSAUD
REDO
Агент
Host 3
DBAUD
OSAUD
REDO
DBAUD
OSAUD
REDO
Audit Vault : АгентЗапуск AV_Admin
Агент
Audit Vault : КоллекторыЗапуск AV_Admin
Audit Vault : Агент и КоллекторыПроверка состояния Аудитором AV_Auditor
Audit Vault : ОтчетыПредопределенные (Out-of-the-box)
• О действиях привилегированных пользователей(Privileged user activity)
• Доступ к важным данным (Access to sensitive data)
• Предоставление полномочий (Role granting)
• Выполнение DDL операций (DDL activity)
• Вход/выход в систему(Log in and log out)
• О пользователях• Кто обращался к … данным?• К каким данным (БД) имеет доступ пользователь ‘A’?
• Кто получал доступ к важным данным?
• Пользовательские• Oracle Business Intelligence Suite и
Oracle BI Publisher• … другие средства
AV_Auditor
Audit Vault : Настройка Правило для предупреждений AV_Auditor
Audit Vault : Настройка AV_Auditor
Audit Vault : БезопасностьКомпоненты
СерверАгент
OC4J
Клиент (DB Client)
Управление и настройка
Logs
Данныеаудита
Коллекторы
DBAUD
OC4J
Клиент (DB Client)
Управление и настройка
Logs
OSAUD
HTTP
Настройкиполитик,командыуправления
SQL*Net
Данные аудита,Атрибутыколлекторов
Пароль Agent user Пароль AV admin
SQL*Net
Данныеполитик
Источникданных аудита
Oracle Audit Vault 10.2.3Расширенные отчеты
• Новые предопределенные отчеты• Улучшенный интерфейс• Возможность настройки под конкретные требования Заказчика
Oracle Audit Vault 10.2.3 Расширенные отчеты
• Легкость в использовании, различные способы выделения данных по условиям фильтрации. Формирование дополнительных отчетов с графическим отображением
Oracle Audit Vault Консолидация данных аудита ( All Sources )
Oracle Audit Vault 10.2.3 Расширенная поддержка аудита базы данных
• Oracle Database Vault audit collector• Сбор данных аудита в части объектов, защищенных средствами Database Vault
• Operating SYSLOG collector • Сбор записей аудита из SYSLOG
• XML Oracle audit trail• Сбор данных аудита, записанных в XML формате
• Запись данных аудита Oracle может проводиться в XML формате
Oracle Audit Vault Audit Trail Clean-Up Integration
• За счет интеграции с пакетом DBMS_AUDIT_MGMT обеспечивается автоматическая очистка данных аудита в источниках после их записи в хранилище на сервере аудита.
БД
2) Регистрация передачи
1) Передача данных аудита
Audit Vault Server3) Удалениестарых записей
Oracle® Audit VaultПреимущества использования
• Консолидация данных аудита, поступающих из различных прикладныхсистем
• Обнаружение изменений данныхпользователями этих систем(в том числе и привилегированными)
• Защита получаемых данных аудита отизменений и других видов вмешательства
• Централизованное назначения политикаудита и управление данными для базданных Oracle