Máxima seguridad para sus datos Juan Ignacio Quesada Senior Sales Consultant.
-
Upload
miguel-ortiz-saavedra -
Category
Documents
-
view
213 -
download
1
Transcript of Máxima seguridad para sus datos Juan Ignacio Quesada Senior Sales Consultant.
Máxima seguridad para sus datos
Juan Ignacio QuesadaSenior Sales Consultant
Agenda
• Conceptos de seguridad• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas
La seguridad hoy
La seguridad de acceso a los datos se administra desde las aplicaciones
Cada vez es más complejo administrar la seguridad.
Regulaciones Exposición al fraude, tanto interno como externo
Paradigma de la seguridad
Ningún sistema puede ser el 100% seguro• Conocer y mitigar el riesgo
Es difícil comprobar una buena seguridad• La inseguridad la causamos nosotros mismos
Máxima seguridad no siempre es mejor• ¿Cómo uno sabe cuán seguro está?
Muchas recursos a proteger• Personas, equipos, sistemas operativos, redes,
servidores de aplicaciones y bases de datos
Requerimientos de Seguridad
• Privacidad e Integridad de los datos en tránsito
• Autenticación del usuario
• Control de Acceso
• Administración de usuarios
• Flexibilidad y bajo Costo
Encripción (RC4, DES, MD5, etc.)
Certificados X.509, smartcards, biométricos
Políticas de Control de Acceso, segregación de funciones y Auditoría
Integración con LDAP Directory, SSO
Estándares de Seguridad (FIPS 140, Common Criteria)
Agenda
• Conceptos de seguridad• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas
Oracle Advanced Security
• Encripción de tráfico• Encripción de los datos en movimiento
• Transparent Data Encryption• Encripción de datos en el origen• Información encriptada en los backups
• Autenticación fuerte• PKI, Kerberos, Radius, SmartCards, SecurID,
X.509
Oracle Advanced Security
Web Server
SQL Clients
Oracle Internet Directory
Directory “X”
Browsercertificate
certificate
certificate
SSLEncripción
Card, Biometric,PKI, Single Sign-on
LDAP/SSL
Authorización
Encripción
Segregación de funciones
DBA starts up
Security DBA abre el walletque contiene el master key
Wallet password separada deSystem o DBA password
Sin acceso a wallet
Visión general
Los backups son encriptados
Aplicación
Los datos se codifican
automáticamente
Los datos se decodifican
automáticamente
Oracle Advanced SecurityEncripción de tráfico
Oracle Advanced SecurityAutenticación fuerte
Oracle Advanced SecurityTransparent Data Encryption
Agenda
• Introducción• Gestión de identidades• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas
Control de Acceso tradicional
• El control de acceso tradicional solo admite privilegios y roles• Grant select, insert, update, delete on table
• No existe un concepto de roles por filas• Grant select to HR role• Assign HR role to row 2 in table Employee
Grant Select, Update
Assign role to row
Oracle Label Security
SELECT * FROM
HR Data;
SELECT * FROM
HR Data;
DATA_TAB
SELECT * FROM
HR Data;
SELECT * FROM
HR Data;
• Agrupa datos por niveles, compartimentos y grupos
• Controla el acceso basado en la sensibilidad de las filas y a las autorizaciones de los usuarios
• Una vez definidos los niveles, compartimentos y grupos, el administrador de seguridad debe determinar las combinaciones válidas
Oracle Label Security
Administración centralizada desde el Oracle Policy Manager
Oracle Label Security Clasificación de la
Información• Grupos de datos• Control de acceso por filas
OrganizaciónRegionesNiveles de Sensibilidad
GroupCompartmentLabel
Agenda
• Introducción• Gestión de identidades• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas
“Amenaza interna”• 80% de incidentes de seguridad vienen de adentro• Usuarios controlados pero el DBA es irrestricto
Usuarios privilegiados sin control• DBA tiene las “llaves del reino”
Regulaciones como SOX, ISO17799, Basilea II• Segregación de roles• No existe control preventivo para los administradores
La consolidación incrementa los incidentes• Las aplicaciones consolidadas en un Grid le otorgan
más privilegios a los administradores
Oracle Database Vault
Database Vault Security
• Control de usuarios privilegiados• Segregación de roles• Prevención de passwords compartidas• Cumplimiento de regulaciones
ReportsRealms
Multi-FactorAuthorization
Separation of DutyCommandRules
Audit
Oracle Database Vault
DBA
HR DBA HR
HR Realm
HR
• DBA ve datos de HR
select * from HR.empProtección y compliance
Fin
FIN DBA
• HR DBA ve datos de Fin
Eliminación de riesgos por consolidación
Fin Realm
Fin
• Implantación fácil sobre bases de datos existentes• Con mínimo overhead
TABLAPROTEGIDA
Filas accedidas por el usuario AUsuario A puede ver sus
ordenes para completar
Filas accedidas por el usuario B
Usuario B ve solo sus ordenes
name itemcredit card type
Joe A ··&Î~~ VISATim B ··+~~ MSMona C ··@~~ DinerJohn D ··?~~ VISA
DatosEncriptados
Query:SELECT * FROM ORDERS; Results:12 car radios $150/unit15 hub caps $250/unit
Label Security + Database Vault
Oracle AdvancedSecurity
Auditoria(LogMiner e FGA)
Implantación segura
Database Vault Control preventivo automático
Fine Grained Audit
Database Encryption API
Virtual Private Database
Transparent Data Encryption
Oracle Label Security
Network Encryption
Proxy and Client Identifier
StrongAuthentication
Database
Vault
P r e v e n c i ó nD e t e c c i ó nM a
n u
a l
A
u t
o m
á t
i c o
Agenda
• Introducción• Gestión de identidades• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas
Oracle Audit Vault
Consolidación de auditoríaCorrelación de registros de auditoríaProtección de la auditoríaAnálisis de eventosSegregación de roles
Audit Vault
AQ&Q U E S T I O N SQ U E S T I O N S
A N S W E R SA N S W E R S