Gestión y protección de usuarios con privilegiados Security Today Andalucia


The following is intended to outline our general product direction. It

is intended for information purposes only, and may not be

incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality,

and should not be relied upon in making purchasing decisions. The

development, release, and timing of any features or functionality

described for Oracle’s products remains at the sole discretion of

Oracle.

Gestión de usuarios privilegiados

Juan Carlos Díaz

Principal Sales Consultant


Agenda

Introducción

Gestión de conexiones con usuarios genéricos

Gestión de conexiones con usuarios personalizados

Control de acceso y segregación de funciones en BB.DD.

Resumen: soluciones complementarias


Acceso como

Root

Bases de Datos Directorios Servidores Unix

• Las cuentas privilegiadas son un punto de entrada clave para el fraude

• Es difícil monitorizar cuentas compartidas entre diferentes administradores

• Los privilegios de acceso excesivos son la causa principal en el ataque a

bases de datos, directorios, sistemas operativos, …

Cuanto mayor privilegio, mayor riesgo


Desarrollador DBA

Problemáticas de cuentas privilegiadas

CUSTOMERS SYS

BB.DD.

Clientes Datos sensibles:

Financieros

Cuentas bancarias

Facturación

… TRAZABILIDAD

GESTIÓN

SEGURIDAD


<Insert Picture Here>

Gestión de acceso de

usuarios genéricos


Oracle Privileged Account Manager

Directorio

LDAP

DBA

Base de Datos de

RRHH

• Usuario accede como DBA

• Añade Tabla a BBDD

• Falta de espacio en el sistema

Verifica si el usuario de

OPAM tienen el rol de

DBA en RRHH

Activa la password del DBA

para la aplicación de RRHH

basado en la política

correspondiente

Usuario libera las passwords

Oracle Privileged

Account Manager • Usuario accede

como superusuario

• Añade espacio en

disco

Servidor UNIX

Devuelve password de DBA

Pide password de DBA

Devuelve password de unix

Pide password de unix


Bases de Datos LDAP Sistemas Unix Genéricos

UNIX Oracle 9i, 10g,11g

MS SQLServer

Sybase 15

Sistemas soportados


Desarrollador DBA


CUSTOMERS SYS

BB.DD.


Financieros

Cuentas bancarias

Facturación

… TRAZABILIDAD

GESTIÓN

SEGURIDAD



Gestión centralizada de

usuarios de BB.DD.


Cada persona tiene un usuario /password para TODAS las

bases de datos.

Las identidades del directorio se mapean a esquemas de base

de datos.

Los grupos del directorio se mapean a roles de base de datos.

Oracle Directory

Services

Enterprise User Security Usuarios de base de datos centralizados


Proceso de autenticación con EUS

ODS+

BB.DD.

configurada

para EUS

(2) Validación

credenciales de

juan.perez (1) Conexión

juan.perez/pwd

(4) Petición de Enterprise

Roles de juan.perez

(3) Respuesta

de juan.perez

(5) Enterprise Roles y

mapeo de roles de

juan.perez


Desarrollador DBA


CUSTOMERS SYS

BB.DD.


Financieros

Cuentas bancarias

Facturación

… TRAZABILIDAD

GESTIÓN

SEGURIDAD



Segregación de

funciones en BB.DD.


Oracle Database Vault Control de acceso y seguridad en base de datos

• Segregación de funciones y cotos de seguridad

• Asegura quién, dónde, cuándo y cómo accede a la base de datos

• Asegura los mínimos privilegios a los usuarios privilegiados

• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos

• Permite consolidar de forma segura los datos de aplicaciones multicompañía

Compras

RR.HH.

Financiero

Responsable

de aplicación

select * from finance.customers DBA

Responsable

de seguridad

Aplicación


DBA

DBA RR.HH. HR HR

HR Realm

• DBA ve datos de RRHH select *

from HR.emp Protección contra accesos

Fin DBA Financiero

• DBA de RRHH ve Finan.

Eliminando riesgos de seguridad por consolidación de servidores

Fin Fin Realm

Pueden ser fácilmente aplicados a aplicaciones

existentes con mínimo impacto en el rendimiento

Oracle Database Vault Protegiendo aplicaciones existentes


Desarrollador DBA


CUSTOMERS SYS

BB.DD.


Financieros

Cuentas bancarias

Facturación

… TRAZABILIDAD

GESTIÓN

SEGURIDAD


Enterprise User Security

Permite a usuarios no privilegiados usar las

passwords de sus LDAP/AD empresariales

para conectarse a la base de datos

Database Vault

Facilita la segregación de funciones

a todos los usuarios de la base de datos

Oracle Privileged Account Manager

Gestiona las passwords de usuarios privilegiados,

incluido SYS, SYSTEM y cuentas de aplicaciones

Soluciones complementarias


Resumen OPAM, DBV, EUS

Funcionalidad o servicio Solución Oracle

Gestionar passwords de SYS o SYSTEM OPAM

Gestionar passwords de usuarios privilegiados de aplicaciones OPAM

Gestionar password de usuarios privilegiados de DB Vault (e.g. SEC_ADMIN) OPAM

Gestionar passwords de Microsoft Active Directory (i.e. Servidores Windows que se

autentican en un dominio AD) OPAM

Gestión de cuentas privilegiadas de S.O. (root) o LDAP OPAM

Control de acceso de usuarios privilegiados de BBDD para limitar el acceso a datos de

aplicación y/o a operaciones de administración Database Vault

Autorización multifactor para reforzar políticas empresariales de seguridad Database Vault

Administración centralizada de los usuarios de la BD. Enterprise User Security

Mapear usuarios de BBDD a usuarios LDAP y roles de BBDD a grupos LDAP Enterprise User Security


www.facebook.com/OracleDatabase

www.twitter.com/OracleDatabase

blogs.oracle.com/OracleDatabase

www.oracle.com/database/security

Gestión y protección de usuarios con privilegiados Security Today Andalucia

Technology

Transcript of Gestión y protección de usuarios con privilegiados Security Today Andalucia