03 Gestión y protección de usuarios con privilegios
-
Upload
oracle-espana -
Category
Documents
-
view
271 -
download
2
Transcript of 03 Gestión y protección de usuarios con privilegios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Gestión de usuarios privilegiados
Juan Carlos DíazPrincipal Sales Consultant
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4
Agenda
Introducción
Gestión de conexiones con usuarios genéricos
Gestión de conexiones con usuarios personalizados
Control de acceso y segregación de funciones en BB.DD.
Resumen: soluciones complementarias
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5
Acceso comoRoot
Bases de Datos Directorios Servidores Unix
• Las cuentas privilegiadas son un punto de entrada clave para el fraude
• Es difícil monitorizar cuentas compartidas entre diferentes administradores
• Los privilegios de acceso excesivos son la causa principal en el ataque a bases de datos, directorios, sistemas operativos, …
Cuanto mayor privilegio, mayor riesgo
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.Clientes
Datos sensibles:FinancierosCuentas bancariasFacturación…
juan.perez
juan
.per
ez
juan
.per
ez
juan.perez
juan.perez
juan.perez
juan
.per
ezTRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7
<Insert Picture Here>
Gestión de acceso de usuarios genéricos
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.88
Oracle Privileged Account Manager
Directorio LDAP
DBA
Base de Datos de RRHH
• Usuario accede como DBA• Añade Tabla a BBDD• Falta de espacio en el sistema
Verifica si el usuario de OPAM tienen el rol de
DBA en RRHH
Activa la password del DBA para la aplicación de RRHH
basado en la política correspondiente
Usuario libera las passwords
Oracle Privileged Account Manager
• Usuario accede como superusuario• Añade espacio en disco
Servidor UNIX
Devuelve password de DBA
Pide password de DBA
Devuelve password de unix
Pide password de unix
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9
Bases de Datos LDAPSistemas Unix Genéricos
UNIXOracle 9i, 10g,11g
MS SQLServerSybase 15
Sistemas soportados
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.11
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.Clientes
Datos sensibles:FinancierosCuentas bancariasFacturación…
juan.perez
juan
.per
ez
juan
.per
ez
juan.perez
juan.perez
juan.perez
juan
.per
ezTRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12
<Insert Picture Here>
Gestión centralizada de usuarios de BB.DD.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13
Cada persona tiene un usuario /password para TODAS las bases de datos. Las identidades del directorio se mapean a esquemas de base de datos. Los grupos del directorio se mapean a roles de base de datos.
Oracle Directory Services
Enterprise User SecurityUsuarios de base de datos centralizados
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.14
Proceso de autenticación con EUS
ODS+
BB.DD. configurada para EUS
(2) Validación credenciales de juan.perez(1) Conexión
juan.perez/pwd
(4) Petición de Enterprise Roles de juan.perez
(3) Respuesta de juan.perez
(5) Enterprise Roles y mapeo de roles de juan.perez
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.Clientes
Datos sensibles:FinancierosCuentas bancariasFacturación…
juan.perez
juan
.per
ez
juan
.per
ez
juan.perez
juan.perez
juan.perez
juan
.per
ezTRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.16
<Insert Picture Here>
Segregación de funciones en BB.DD.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.17
Oracle Database VaultControl de acceso y seguridad en base de datos
• Segregación de funciones y cotos de seguridad• Asegura quién, dónde, cuándo y cómo accede a la base de datos
• Asegura los mínimos privilegios a los usuarios privilegiados• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras
RR.HH.
Financiero
Responsable de aplicación
select * from finance.customers DBA
Responsable de seguridad
Aplicación
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18
DBA
DBA RR.HH. HR HR
HR Realm
• DBA ve datos de RRHH select * from HR.empProtección contra accesos
FinDBA Financiero
• DBA de RRHH ve Finan.Eliminando riesgos de seguridad por consolidación de servidores
FinFin Realm
Pueden ser fácilmente aplicados a aplicaciones existentes con mínimo impacto en el rendimiento
Oracle Database VaultProtegiendo aplicaciones existentes
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.Clientes
Datos sensibles:FinancierosCuentas bancariasFacturación…
juan.perez
juan
.per
ez
juan
.per
ez
juan.perez
juan.perez
juan.perez
juan
.per
ezTRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20
Enterprise User Security
Permite a usuarios no privilegiados usar las
passwords de sus LDAP/AD empresariales
para conectarse a la base de datos
Database Vault
Facilita la segregación de funciones
a todos los usuarios de la base de datos
Oracle Privileged Account Manager
Gestiona las passwords de usuarios privilegiados,
incluido SYS, SYSTEM y cuentas de aplicaciones
Soluciones complementarias
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21
Resumen OPAM, DBV, EUS
Funcionalidad o servicio Solución Oracle
Gestionar passwords de SYS o SYSTEM OPAM
Gestionar passwords de usuarios privilegiados de aplicaciones OPAM
Gestionar password de usuarios privilegiados de DB Vault (e.g. SEC_ADMIN) OPAM
Gestionar passwords de Microsoft Active Directory (i.e. Servidores Windows que se autentican en un dominio AD)
OPAM
Gestión de cuentas privilegiadas de S.O. (root) o LDAP OPAM
Control de acceso de usuarios privilegiados de BBDD para limitar el acceso a datos de aplicación y/o a operaciones de administración
Database Vault
Autorización multifactor para reforzar políticas empresariales de seguridad Database Vault
Administración centralizada de los usuarios de la BD. Enterprise User Security
Mapear usuarios de BBDD a usuarios LDAP y roles de BBDD a grupos LDAP Enterprise User Security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23
www.facebook.com/OracleDatabasewww.twitter.com/OracleDatabase
blogs.oracle.com/OracleDatabase
www.oracle.com/database/security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.24
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.25