02 database security


The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

Innovación en Seguridad de Base de Datos

Juan Carlos DíazPrincipal Sales Consultant


Agenda

Introducción

Problemáticas típicas– Solución de Oracle

Conclusiones


Fugas de datos de servidores de BDCerca de 1B de registros comprometidos en los últimos 6 años

2/3 de la información sensible y regulada reside en bases de datos

… y se dobla cada dos años

Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by Protecting Data at the Source — Your Databases", August 2011

48% de fugas de origen interno89% registros robados usando SQL Injection86% Hacking usando credenciales robadas


32% Puede evitar que los DBAs accedan a datos o procedimientos

61% No monitorizan la escritura de datos sensibles de aplicaciones

65% No disponen de medidas para prevenir ataques de SQL injection

55% Copian datos de producción a entornos de desarrollo y test

68% Datos en ficheros de BD se pueden leer a nivel de S.O.

44% No puede impedir el acceso directo a la B.D. (application bypass)

¿Cómo es la seguridad de sus BB.DD.?Resultados 2012 IOUG Enterprise Data Security Survey


IT Security no prioriza la seguridad en BBDDSolo el 20% tiene un plan

“Forrester estima que,

aunque el 70% de las empresas

tiene un plan de seguridad de la

información, sólo el 20% de las

empresas tiene un plan de

seguridad de base de datos.”

EndpointSecurity

Vulnerability Management

Network Security Email Security

Authentication and User Security

Database Security

?


Agenda

Introducción

Problemáticas típicas– Solución de Oracle

Conclusiones


Soluciones de seguridad BB.DD. OracleDefensa en profundidad

Monitorización de actividad

Firewall de BB.DD.

Auditoría e Informes

MONITORIZACIÓN

Enmascaramiento

Control sobre usuarios privilegiados

Cifrado

PREVENTIVO ADMINISTRACIÓN

Descubrimiento de datos sensibles

Gestión de configuraciones

Análisis de privilegios


Soluciones de seguridad BB.DD. OracleDetección y bloqueo de amenazas, alerta, auditoría e informes

Monitorización de actividad

Firewall de BB.DD.

Auditoría e Informes

MONITORIZACIÓN

Enmascaramiento

Control sobre usuarios privilegiados

Cifrado

PREVENTIVO ADMINISTRACIÓN

Descubrimiento de datos sensibles

Gestión de configuraciones



Problemáticas típicasUsuarios privilegiados

DBA

Producción

SELECT * FROM clientesWHERE name LIKE ‘%’;ALTER TABLE clientesMODIFY name VARCHAR(60);


Oracle Database VaultControl de acceso y seguridad en base de datos

• Segregación de funciones y cotos de seguridad• Asegura quién, dónde, cuándo y cómo accede a la base de datos

• Asegura los mínimos privilegios a los usuarios privilegiados• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos

• Permite consolidar de forma segura los datos de aplicaciones multicompañía

Compras

RR.HH.

Financiero

Responsable de aplicación

select * from finance.customers DBA

Responsable de seguridad

Aplicación


Oracle Database Vault

Previene acceso a los datos por parte de los DBAs

Políticas predefinidas que incluyen Realms y Command rules

Complementa la seguridad de la aplicación

Transparente para aplicaciones existentes

Personalizable

Oracle E-Business Suite 11i / R12

PeopleSoft Applications

Siebel

I-flex

Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP

JD Edwards EnterpriseOne

SAP



• Permite saber qué privilegios y roles han sido usados realmente• Eliminar privilegios innecesarios reduce el riesgo

Minimizar los privilegios de usuarios


Problemáticas típicasCifrado y redacción de datos

DBA

Producción


Oracle Advanced SecurityProteger datos sensibles de usuarios no autorizados

Los datos escritos a disco son cifrados automáticamente

Los datos se descifran de forma transparente y se devuelven en claro

Oracle Advanced SecurityCifrado de los datos en disco

INSERT

Nombre: Juan Nadie

DNI: 12345678A

SELECT

Nombre: Juan Nadie

DNI: 12345678A

SELECT

Nombre: Juan Nadie

DNI: ********

Oracle Advanced SecurityReescritura del dato


Oracle Advanced Security

Cifra los datos de las aplicaciones– Cifrado de columnas

– Cifrado de tablespaces y sus ficheros

– 3DES168, AES128, AES192, AES256

Altamente eficiente– Alto rendimiento (overhead ~ 5%)

– Integrado con Oracle Advanced Compression

No se necesitan cambios en las aplicaciones– Cualquier tipo de dato

– Se permiten índices sobre datos cifrados

Transparent Data Encryption

20

Capa SQL

data blocks“*M$b@^s%&d7”

undo blocks

temp blocks

flashback logs

redo logs

Buffer Cache

“SSN = 987-65-..”


Oracle Advanced Security

Censura de datos on-line basada en usuario, IP, contexto de aplicación u otros factores

Transparente. Impacto mínimo en cargas de producción

Data Redaction


Oracle Data Redaction

Sólo se altera la visualización

“Censura” de datos sensibles de aplicaciones


Oracle Data Redaction

• Incluye librería de formatos para datos comunes de PCI y PII• Gestionable con Enterprise Manager ó API de línea de comando

Dato Almacenado

Resultado Censurado

Completo

Parcial

RegExp

Aleatorio


Oracle Data Redaction“Censura” de datos sensibles de aplicaciones


Problemáticas típicasClonado de datos a entornos no productivos

Desarrollador

DBA

Producción

DesarrolloDesarrollo = Producción


Datos seguros en entornos de desarrolloPasos para obtener un subconjunto de datos seguro

1 2 3

Identificar datos sensibles

Enmascarar datos en desarrollo

Extraer datos de producción

Reemplazar datos reales de producción por datos ficticios válidos para pruebas de desarrollo, rendimiento, …

Aprovisionar entornos de desarrollo con una fracción de los datos de producción

Identificar esquemas, tablas y columnas que contengan datos sensibles


Oracle Data Discovery and Modeling (*)

Patrones de búsquedas predefinidos (basados en esquemas y datos) Búsquedas en toda la aplicación de coincidencia con patrones Clasificación basada en coincidencia con los patrones

Descubrimiento de columnas sensibles

(*) Componente de Test Data Management Pack


Oracle Data Subsetting (*)

Selección de tablas– Se seleccionan automáticamente

las tablas necesarias para se incluidas en el subconjunto

Criterios de extracción– Se recorre la jerarquía relacional

para identificar las filas a extraer Parámetros de subconjunto

– Analiza las estadísticas de las tablas para estimar el tamaño de los datos generados

Extracción de subconjuntos de datos

Fecha:(año 2011)

Dimensión (Región: Asia)

Espacio (tamaño:10%)

(*) Componente de Test Data Management Pack


Oracle Data MaskingEnmascaramiento irreversible de datos en entornos no productivos

• Transfiere datos de aplicación de forma segura a entornos no productivos• Evita que desarrolladores de aplicaciones accedan a datos reales de producción• Librerías y políticas extensibles para la automatización del enmascaramiento de datos• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando

correctamente

NOMBRE DNI SALARIO

ZFDGFAKJIJ 81331100-J 25,000

ASDTYHJUK 87766348-S 30,000

NOMBRE DNI SALARIO

ANA PÉREZ 12345678-A 30,000

PEDRO SÁNCHEZ 48765432-Z 25,000

Producción Desarrollo

JUAN CHACÓN

MARTA RODRÍGUEZ


Oracle Data Masking

Librerías de máscaras de formatos Mantenimiento automático de la integridad

referencial cuando se enmascaran Primary keys– Implícita – definidas en BB.DD.

– Explicita – aseguradas por aplicación

Previsualización de datos antes de enmascarar Alto rendimiento Define una vez – ejecuta varias

Funcionalidades básicas

31

BB.DD. clonada

Enmascarar

BB.DD. producción


Oracle Data Masking

Máscaras compuestas– Conjunto de columnas que deben ser

enmascaradas conjuntamentep.ej. Dirección, Ciudad, Provincia, CP, …

Máscaras basadas en condiciones– Formatos de máscaras específicas para cada

condición, p.ej. documentos de identidad de países diferentes

Enmascaramiento determinístico– Enmascaramiento consistente, p.ej. Pedro siempre

se cambia por Alberto en múltiples BB.DD.

Técnicas de enmascaramiento

32


Ciclo completo de enmascaramiento de datos

Recolección de Metadatos

Crear Modelo de datos de la aplicación

Recoger datos a incluirEjecutar Subsetting

Inserción/borrado de datos

Actualización de datos

Ejecutar Enmascaramiento

Crear definición de Enmascaramiento

Crear definición de Subsetting

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_data_masking.htm

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_data_masking.htm

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_subsetting.htm

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_subsetting.htm


Enmascaramiento y Subsetting integrados

Los datos de producción tenían que se extraídos primero y enmascarados después en pasos separados.

Antes Ahora

010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010

Producción Test

Subconjunto de datos

Clonar y enmascarar

010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010

TestMasked Data

Pump File

Producción

Subconjunto y enmascarado en un solo paso

Los datos de producción son extraídos (un subconjunto) y enmascarados en un solo paso utilizando “At-source Masking”


Problemáticas típicas

Desarrollador

DBA

Producción

Desarrollo = Producción

Auditor

SELECT nombre, nif, … FROM clientes WHERE id = ?‘’ OR 1=1


Oracle Audit Vault y Database FirewallControl preventivo y detección para BBDD Oracle y no Oracle

OS, Directory Services, File system & Custom Audit Logs

Eventos Firewall

Usuarios

Aplicaciones

Database FirewallPermitir

Log

Alertar

Sustituir

Bloquear

Audit Data

Audit Vault

Informes

!Alertas

Políticas

Auditores

Responsible Seguridad


PolíticasInformesOOTB

Alertas Informes custom

ApplicationsBloqueo

Log

Permitir

Alertas

Sustitución

• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections, escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.

• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos• Políticas flexibles basadas en listas blancas y negras• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones

Oracle Audit Vault and Database FirewallPrimera línea de defensa


• El modo “Allowed” puede ser definido para cualquier usuario o aplicación• Las “listas blancas” pueden tener en cuenta factores predefinidos como hora, día de la

semana, red, aplicación, etc.• Automáticamente se pueden generar “listas blancas” para cualquier aplicación• Las transacciones que no cumplen las políticas son instantáneamente rechazadas• La BB.DD. sólo procesará datos tal y como se esperan

Oracle Audit Vault and Database FirewallProtección frente a SQL Injection. Modelo de seguridad positivo

White List

ApplicationsBlock

Allow

SELECT * from stock where catalog-no='PHE8131'

SELECT * from stock where catalog-no=‘' union select cardNo,0,0 from Orders --’

Databases


• Para comandos SQL, usuarios o accesos a esquemas específicos• Previene escalado de roles o privilegios y acceso no autorizado a datos sensibles• Las “listas negras” pueden tener en cuenta factores predefinidos como hora, día de la

semana, red, aplicación, etc.• Bloquea selectivamente cualquier parte de una transacción según las necesidades de

seguridad y del negocio

Oracle Audit Vault and Database FirewallRestricción de actividad. Modelo de seguridad negativo

SELECT * FROM v$session

Block

Allow+ Log

Black ListDBA activity via Applications

SELECT * FROM v$session

DBA activity via Approved Workstation


Block

Log

Allow

Alert

Substitute

SELECT * FROM accountsse cambia porSELECT * FROM dual where 1=0

Applications

Oracle Audit Vault and Database FirewallSustitución de sentencias

O

• Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño número de conjuntos de sentencias agrupadas por su significado (clusters).

• No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías ineficientes e inexactas.

• Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log

• Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos.


41

Oracle Audit Vault y Database FirewallGestión centralizada de políticas de auditoría

Definición de políticas– Definición, gestión centralizada, recolección

de configuraciones de auditoría Configuraciones de auditoría

– Las configuraciones se pueden extraer de BB.DD. existentes con auditorías previamente configuradas

– También se permiten configuraciones manuales

Aprovisionamiento de políticas– Las políticas se pueden aplicar

centralizadamente desde la consola de AVDF Mantenimiento de políticas

– Compara las políticas aprobadas con la configuración actual

LOPD Audit Settings

Privilege User Audit Settings

Privacy Audit Settings

Financial Database

Customer Database

HR Database

Oracle AVDF


Auditoría empresarial extendida

BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE Otras fuentes de auditoría

– Sistemas Operativos: Microsoft Windows, Solaris

– Servicios de Directorio: Active Directory

– Sistemas de ficheros: Oracle ACFS

Plugins de recolección de auditoría para fuentes personalizadas– Fichero XML mapea elementos de auditoría personalizados a auditoría

canónica

– Recolecta y mapea datos de fichero de auditoría XML y tablas de base de datos


Audit VaultStandby

Arquitecturas de depliegue flexibles

In-Line Blocking and Monitoring

HA Mode

Out-of-Band Monitoring

Audit VaultPrimary

Applicationsand Users

Remote Monitoring

Soft appliance

Audit Data

Audit Agents


Completa – único proveedor que cubre todos sus requerimientos Transparente – no requiere ningún cambio en las aplicaciones

existentes Fácil de desplegar – consolas que facilitan el despliegue en poco

horas Rentable – soluciones integradas que reducen el riesgo con un

bajo TCO Probado – #1 en BB.DD. con más de 30 años innovando en

seguridad! • Database Vault

• Advanced Security

• Data Masking

• Audit Vault & Database Firewall

Encriptación y enmascaramiento

Control deacceso

Auditoría

• Audit Vault & Database Firewall

Monitorización y bloqueo

ConclusionesDefensa en profundidad


Oracle Audit Vault Oracle Database Vault

DB Security Evaluation #19 Transparent Data Encryption EM Configuration Scanning

Fine Grained Auditing (9i) Secure application roles Client Identifier / Identity propagation Oracle Label Security Proxy authentication Enterprise User Security Global roles Virtual Private Database (8i)

Database Encryption API Strong authentication (PKI, Kerberos, RADIUS) Native Network Encryption (Oracle7) Database Auditing Government customer

Oracle líder en Seguridad en BBDD35 años de Innovación continua y certificaciones de seguridad


Runtime Privilege Analysis Real Application Security Conditional Auditing Code Based Access Control New Separation of Duty Roles Secure by Default Enhancements Database on Windows as a Service SHA-512 Support for Certificates and Authentication FIPS 140 Certified Library for Assurance Expanded Hardware Cryptographic Acceleration Strong Authentication generalized Network Encryption generalized

Oracle líder en seguridad en BBDD… sigue definiendo los estándares exigibles a BBDD


Conclusiones

Desarrollador

DBA

Producción

Desarrollo

Auditor


www.facebook.com/OracleDatabasewww.twitter.com/OracleDatabase

blogs.oracle.com/OracleDatabase

www.oracle.com/database/security

02 database security

Documents

Transcript of 02 database security