02 database security
-
Upload
oracle-espana -
Category
Documents
-
view
455 -
download
2
Transcript of 02 database security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Innovación en Seguridad de Base de Datos
Juan Carlos DíazPrincipal Sales Consultant
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4
Agenda
Introducción
Problemáticas típicas– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5
Fugas de datos de servidores de BDCerca de 1B de registros comprometidos en los últimos 6 años
2/3 de la información sensible y regulada reside en bases de datos
… y se dobla cada dos años
Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by Protecting Data at the Source — Your Databases", August 2011
48% de fugas de origen interno89% registros robados usando SQL Injection86% Hacking usando credenciales robadas
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6
32% Puede evitar que los DBAs accedan a datos o procedimientos
61% No monitorizan la escritura de datos sensibles de aplicaciones
65% No disponen de medidas para prevenir ataques de SQL injection
55% Copian datos de producción a entornos de desarrollo y test
68% Datos en ficheros de BD se pueden leer a nivel de S.O.
44% No puede impedir el acceso directo a la B.D. (application bypass)
¿Cómo es la seguridad de sus BB.DD.?Resultados 2012 IOUG Enterprise Data Security Survey
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7
IT Security no prioriza la seguridad en BBDDSolo el 20% tiene un plan
“Forrester estima que,
aunque el 70% de las empresas
tiene un plan de seguridad de la
información, sólo el 20% de las
empresas tiene un plan de
seguridad de base de datos.”
EndpointSecurity
Vulnerability Management
Network Security Email Security
Authentication and User Security
Database Security
?
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8
Agenda
Introducción
Problemáticas típicas– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9
Soluciones de seguridad BB.DD. OracleDefensa en profundidad
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento
Control sobre usuarios privilegiados
Cifrado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos sensibles
Gestión de configuraciones
Análisis de privilegios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.10
Soluciones de seguridad BB.DD. OracleDetección y bloqueo de amenazas, alerta, auditoría e informes
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento
Control sobre usuarios privilegiados
Cifrado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos sensibles
Gestión de configuraciones
Análisis de privilegios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.11
Problemáticas típicasUsuarios privilegiados
DBA
Producción
SELECT * FROM clientesWHERE name LIKE ‘%’;ALTER TABLE clientesMODIFY name VARCHAR(60);
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12
Oracle Database VaultControl de acceso y seguridad en base de datos
• Segregación de funciones y cotos de seguridad• Asegura quién, dónde, cuándo y cómo accede a la base de datos
• Asegura los mínimos privilegios a los usuarios privilegiados• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras
RR.HH.
Financiero
Responsable de aplicación
select * from finance.customers DBA
Responsable de seguridad
Aplicación
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13
Oracle Database Vault
Previene acceso a los datos por parte de los DBAs
Políticas predefinidas que incluyen Realms y Command rules
Complementa la seguridad de la aplicación
Transparente para aplicaciones existentes
Personalizable
Oracle E-Business Suite 11i / R12
PeopleSoft Applications
Siebel
I-flex
Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP
JD Edwards EnterpriseOne
SAP
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15
Análisis de privilegios
• Permite saber qué privilegios y roles han sido usados realmente• Eliminar privilegios innecesarios reduce el riesgo
Minimizar los privilegios de usuarios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18
Problemáticas típicasCifrado y redacción de datos
DBA
Producción
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19
Oracle Advanced SecurityProteger datos sensibles de usuarios no autorizados
Los datos escritos a disco son cifrados automáticamente
Los datos se descifran de forma transparente y se devuelven en claro
Oracle Advanced SecurityCifrado de los datos en disco
INSERT
Nombre: Juan Nadie
DNI: 12345678A
SELECT
Nombre: Juan Nadie
DNI: 12345678A
SELECT
Nombre: Juan Nadie
DNI: ********
Oracle Advanced SecurityReescritura del dato
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20
Oracle Advanced Security
Cifra los datos de las aplicaciones– Cifrado de columnas
– Cifrado de tablespaces y sus ficheros
– 3DES168, AES128, AES192, AES256
Altamente eficiente– Alto rendimiento (overhead ~ 5%)
– Integrado con Oracle Advanced Compression
No se necesitan cambios en las aplicaciones– Cualquier tipo de dato
– Se permiten índices sobre datos cifrados
Transparent Data Encryption
20
Capa SQL
data blocks“*M$b@^s%&d7”
undo blocks
temp blocks
flashback logs
redo logs
Buffer Cache
“SSN = 987-65-..”
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21
Oracle Advanced Security
Censura de datos on-line basada en usuario, IP, contexto de aplicación u otros factores
Transparente. Impacto mínimo en cargas de producción
Data Redaction
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22
Oracle Data Redaction
Sólo se altera la visualización
“Censura” de datos sensibles de aplicaciones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23
Oracle Data Redaction
• Incluye librería de formatos para datos comunes de PCI y PII• Gestionable con Enterprise Manager ó API de línea de comando
Dato Almacenado
Resultado Censurado
Completo
Parcial
RegExp
Aleatorio
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.24
Oracle Data Redaction“Censura” de datos sensibles de aplicaciones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.26
Problemáticas típicasClonado de datos a entornos no productivos
Desarrollador
DBA
Producción
DesarrolloDesarrollo = Producción
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.27
Datos seguros en entornos de desarrolloPasos para obtener un subconjunto de datos seguro
1 2 3
Identificar datos sensibles
Enmascarar datos en desarrollo
Extraer datos de producción
Reemplazar datos reales de producción por datos ficticios válidos para pruebas de desarrollo, rendimiento, …
Aprovisionar entornos de desarrollo con una fracción de los datos de producción
Identificar esquemas, tablas y columnas que contengan datos sensibles
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.28
Oracle Data Discovery and Modeling (*)
Patrones de búsquedas predefinidos (basados en esquemas y datos) Búsquedas en toda la aplicación de coincidencia con patrones Clasificación basada en coincidencia con los patrones
Descubrimiento de columnas sensibles
(*) Componente de Test Data Management Pack
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.29
Oracle Data Subsetting (*)
Selección de tablas– Se seleccionan automáticamente
las tablas necesarias para se incluidas en el subconjunto
Criterios de extracción– Se recorre la jerarquía relacional
para identificar las filas a extraer Parámetros de subconjunto
– Analiza las estadísticas de las tablas para estimar el tamaño de los datos generados
Extracción de subconjuntos de datos
Fecha:(año 2011)
Dimensión (Región: Asia)
Espacio (tamaño:10%)
(*) Componente de Test Data Management Pack
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.30
Oracle Data MaskingEnmascaramiento irreversible de datos en entornos no productivos
• Transfiere datos de aplicación de forma segura a entornos no productivos• Evita que desarrolladores de aplicaciones accedan a datos reales de producción• Librerías y políticas extensibles para la automatización del enmascaramiento de datos• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando
correctamente
NOMBRE DNI SALARIO
ZFDGFAKJIJ 81331100-J 25,000
ASDTYHJUK 87766348-S 30,000
NOMBRE DNI SALARIO
ANA PÉREZ 12345678-A 30,000
PEDRO SÁNCHEZ 48765432-Z 25,000
Producción Desarrollo
JUAN CHACÓN
MARTA RODRÍGUEZ
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.31
Oracle Data Masking
Librerías de máscaras de formatos Mantenimiento automático de la integridad
referencial cuando se enmascaran Primary keys– Implícita – definidas en BB.DD.
– Explicita – aseguradas por aplicación
Previsualización de datos antes de enmascarar Alto rendimiento Define una vez – ejecuta varias
Funcionalidades básicas
31
BB.DD. clonada
Enmascarar
BB.DD. producción
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.32
Oracle Data Masking
Máscaras compuestas– Conjunto de columnas que deben ser
enmascaradas conjuntamentep.ej. Dirección, Ciudad, Provincia, CP, …
Máscaras basadas en condiciones– Formatos de máscaras específicas para cada
condición, p.ej. documentos de identidad de países diferentes
Enmascaramiento determinístico– Enmascaramiento consistente, p.ej. Pedro siempre
se cambia por Alberto en múltiples BB.DD.
Técnicas de enmascaramiento
32
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.33
Ciclo completo de enmascaramiento de datos
Recolección de Metadatos
Crear Modelo de datos de la aplicación
Recoger datos a incluirEjecutar Subsetting
Inserción/borrado de datos
Actualización de datos
Ejecutar Enmascaramiento
Crear definición de Enmascaramiento
Crear definición de Subsetting
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.34
Enmascaramiento y Subsetting integrados
Los datos de producción tenían que se extraídos primero y enmascarados después en pasos separados.
Antes Ahora
010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010
Producción Test
Subconjunto de datos
Clonar y enmascarar
010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010
TestMasked Data
Pump File
Producción
Subconjunto y enmascarado en un solo paso
Los datos de producción son extraídos (un subconjunto) y enmascarados en un solo paso utilizando “At-source Masking”
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.35
Problemáticas típicas
Desarrollador
DBA
Producción
Desarrollo = Producción
Auditor
SELECT nombre, nif, … FROM clientes WHERE id = ?‘’ OR 1=1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.36
Oracle Audit Vault y Database FirewallControl preventivo y detección para BBDD Oracle y no Oracle
OS, Directory Services, File system & Custom Audit Logs
Eventos Firewall
Usuarios
Aplicaciones
Database FirewallPermitir
Log
Alertar
Sustituir
Bloquear
Audit Data
Audit Vault
Informes
!Alertas
Políticas
Auditores
Responsible Seguridad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.37
PolíticasInformesOOTB
Alertas Informes custom
ApplicationsBloqueo
Log
Permitir
Alertas
Sustitución
• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections, escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.
• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos• Políticas flexibles basadas en listas blancas y negras• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones
Oracle Audit Vault and Database FirewallPrimera línea de defensa
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.38
• El modo “Allowed” puede ser definido para cualquier usuario o aplicación• Las “listas blancas” pueden tener en cuenta factores predefinidos como hora, día de la
semana, red, aplicación, etc.• Automáticamente se pueden generar “listas blancas” para cualquier aplicación• Las transacciones que no cumplen las políticas son instantáneamente rechazadas• La BB.DD. sólo procesará datos tal y como se esperan
Oracle Audit Vault and Database FirewallProtección frente a SQL Injection. Modelo de seguridad positivo
White List
ApplicationsBlock
Allow
SELECT * from stock where catalog-no='PHE8131'
SELECT * from stock where catalog-no=‘' union select cardNo,0,0 from Orders --’
Databases
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.39
• Para comandos SQL, usuarios o accesos a esquemas específicos• Previene escalado de roles o privilegios y acceso no autorizado a datos sensibles• Las “listas negras” pueden tener en cuenta factores predefinidos como hora, día de la
semana, red, aplicación, etc.• Bloquea selectivamente cualquier parte de una transacción según las necesidades de
seguridad y del negocio
Oracle Audit Vault and Database FirewallRestricción de actividad. Modelo de seguridad negativo
SELECT * FROM v$session
Block
Allow+ Log
Black ListDBA activity via Applications
SELECT * FROM v$session
DBA activity via Approved Workstation
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.40
Block
Log
Allow
Alert
Substitute
SELECT * FROM accountsse cambia porSELECT * FROM dual where 1=0
Applications
Oracle Audit Vault and Database FirewallSustitución de sentencias
O
• Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño número de conjuntos de sentencias agrupadas por su significado (clusters).
• No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías ineficientes e inexactas.
• Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log
• Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.41
41
Oracle Audit Vault y Database FirewallGestión centralizada de políticas de auditoría
Definición de políticas– Definición, gestión centralizada, recolección
de configuraciones de auditoría Configuraciones de auditoría
– Las configuraciones se pueden extraer de BB.DD. existentes con auditorías previamente configuradas
– También se permiten configuraciones manuales
Aprovisionamiento de políticas– Las políticas se pueden aplicar
centralizadamente desde la consola de AVDF Mantenimiento de políticas
– Compara las políticas aprobadas con la configuración actual
LOPD Audit Settings
Privilege User Audit Settings
Privacy Audit Settings
Financial Database
Customer Database
HR Database
Oracle AVDF
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.42
Auditoría empresarial extendida
BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE Otras fuentes de auditoría
– Sistemas Operativos: Microsoft Windows, Solaris
– Servicios de Directorio: Active Directory
– Sistemas de ficheros: Oracle ACFS
Plugins de recolección de auditoría para fuentes personalizadas– Fichero XML mapea elementos de auditoría personalizados a auditoría
canónica
– Recolecta y mapea datos de fichero de auditoría XML y tablas de base de datos
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.43
Audit VaultStandby
Arquitecturas de depliegue flexibles
In-Line Blocking and Monitoring
HA Mode
Out-of-Band Monitoring
Audit VaultPrimary
Applicationsand Users
Remote Monitoring
Soft appliance
Audit Data
Audit Agents
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.44
Completa – único proveedor que cubre todos sus requerimientos Transparente – no requiere ningún cambio en las aplicaciones
existentes Fácil de desplegar – consolas que facilitan el despliegue en poco
horas Rentable – soluciones integradas que reducen el riesgo con un
bajo TCO Probado – #1 en BB.DD. con más de 30 años innovando en
seguridad! • Database Vault
• Advanced Security
• Data Masking
• Audit Vault & Database Firewall
Encriptación y enmascaramiento
Control deacceso
Auditoría
• Audit Vault & Database Firewall
Monitorización y bloqueo
ConclusionesDefensa en profundidad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.45
Oracle Audit Vault Oracle Database Vault
DB Security Evaluation #19 Transparent Data Encryption EM Configuration Scanning
Fine Grained Auditing (9i) Secure application roles Client Identifier / Identity propagation Oracle Label Security Proxy authentication Enterprise User Security Global roles Virtual Private Database (8i)
Database Encryption API Strong authentication (PKI, Kerberos, RADIUS) Native Network Encryption (Oracle7) Database Auditing Government customer
Oracle líder en Seguridad en BBDD35 años de Innovación continua y certificaciones de seguridad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.46
Runtime Privilege Analysis Real Application Security Conditional Auditing Code Based Access Control New Separation of Duty Roles Secure by Default Enhancements Database on Windows as a Service SHA-512 Support for Certificates and Authentication FIPS 140 Certified Library for Assurance Expanded Hardware Cryptographic Acceleration Strong Authentication generalized Network Encryption generalized
Oracle líder en seguridad en BBDD… sigue definiendo los estándares exigibles a BBDD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.47
Conclusiones
Desarrollador
DBA
Producción
Desarrollo
Auditor
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.48
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.49
www.facebook.com/OracleDatabasewww.twitter.com/OracleDatabase
blogs.oracle.com/OracleDatabase
www.oracle.com/database/security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.50