Máxima seguridad para sus datos

Juan Ignacio QuesadaSenior Sales Consultant

Agenda

• Conceptos de seguridad• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas

La seguridad hoy

La seguridad de acceso a los datos se administra desde las aplicaciones

Cada vez es más complejo administrar la seguridad.

Regulaciones Exposición al fraude, tanto interno como externo

Paradigma de la seguridad

Ningún sistema puede ser el 100% seguro• Conocer y mitigar el riesgo

Es difícil comprobar una buena seguridad• La inseguridad la causamos nosotros mismos

Máxima seguridad no siempre es mejor• ¿Cómo uno sabe cuán seguro está?

Muchas recursos a proteger• Personas, equipos, sistemas operativos, redes,

servidores de aplicaciones y bases de datos

Requerimientos de Seguridad

• Privacidad e Integridad de los datos en tránsito

• Autenticación del usuario

• Control de Acceso

• Administración de usuarios

• Flexibilidad y bajo Costo

Encripción (RC4, DES, MD5, etc.)

Certificados X.509, smartcards, biométricos

Políticas de Control de Acceso, segregación de funciones y Auditoría

Integración con LDAP Directory, SSO

Estándares de Seguridad (FIPS 140, Common Criteria)

Agenda

• Conceptos de seguridad• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas

Oracle Advanced Security

• Encripción de tráfico• Encripción de los datos en movimiento

• Transparent Data Encryption• Encripción de datos en el origen• Información encriptada en los backups

• Autenticación fuerte• PKI, Kerberos, Radius, SmartCards, SecurID,

X.509

Oracle Advanced Security

Web Server

SQL Clients

Oracle Internet Directory

Directory “X”

Browsercertificate

certificate

certificate

SSLEncripción

Card, Biometric,PKI, Single Sign-on

LDAP/SSL

Authorización

Encripción

Segregación de funciones

DBA starts up

Security DBA abre el walletque contiene el master key

Wallet password separada deSystem o DBA password

Sin acceso a wallet

Visión general

Los backups son encriptados

Aplicación

Los datos se codifican

automáticamente

Los datos se decodifican

automáticamente

Oracle Advanced SecurityEncripción de tráfico

Oracle Advanced SecurityAutenticación fuerte

Oracle Advanced SecurityTransparent Data Encryption

Agenda

• Introducción• Gestión de identidades• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas

Control de Acceso tradicional

• El control de acceso tradicional solo admite privilegios y roles• Grant select, insert, update, delete on table

• No existe un concepto de roles por filas• Grant select to HR role• Assign HR role to row 2 in table Employee

Grant Select, Update

Assign role to row

Oracle Label Security

SELECT * FROM

HR Data;

SELECT * FROM

HR Data;

DATA_TAB

SELECT * FROM

HR Data;

SELECT * FROM

HR Data;

• Agrupa datos por niveles, compartimentos y grupos

• Controla el acceso basado en la sensibilidad de las filas y a las autorizaciones de los usuarios

• Una vez definidos los niveles, compartimentos y grupos, el administrador de seguridad debe determinar las combinaciones válidas

Oracle Label Security

Administración centralizada desde el Oracle Policy Manager

Oracle Label Security Clasificación de la

Información• Grupos de datos• Control de acceso por filas

OrganizaciónRegionesNiveles de Sensibilidad

GroupCompartmentLabel

Agenda

• Introducción• Gestión de identidades• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas

“Amenaza interna”• 80% de incidentes de seguridad vienen de adentro• Usuarios controlados pero el DBA es irrestricto

Usuarios privilegiados sin control• DBA tiene las “llaves del reino”

Regulaciones como SOX, ISO17799, Basilea II• Segregación de roles• No existe control preventivo para los administradores

La consolidación incrementa los incidentes• Las aplicaciones consolidadas en un Grid le otorgan

más privilegios a los administradores

Oracle Database Vault

Database Vault Security

• Control de usuarios privilegiados• Segregación de roles• Prevención de passwords compartidas• Cumplimiento de regulaciones

ReportsRealms

Multi-FactorAuthorization

Separation of DutyCommandRules

Audit

Oracle Database Vault

DBA

HR DBA HR

HR Realm

HR

• DBA ve datos de HR

select * from HR.empProtección y compliance

Fin

FIN DBA

• HR DBA ve datos de Fin

Eliminación de riesgos por consolidación

Fin Realm

Fin

• Implantación fácil sobre bases de datos existentes• Con mínimo overhead

TABLAPROTEGIDA

Filas accedidas por el usuario AUsuario A puede ver sus

ordenes para completar

Filas accedidas por el usuario B

Usuario B ve solo sus ordenes

name itemcredit card type

Joe A ··&Î~~ VISATim B ··+~~ MSMona C ··@~~ DinerJohn D ··?~~ VISA

DatosEncriptados

Query:SELECT * FROM ORDERS; Results:12 car radios $150/unit15 hub caps $250/unit

Label Security + Database Vault

Oracle AdvancedSecurity

Auditoria(LogMiner e FGA)

Implantación segura

Database Vault Control preventivo automático

Fine Grained Audit

Database Encryption API

Virtual Private Database

Transparent Data Encryption

Oracle Label Security

Network Encryption

Proxy and Client Identifier

StrongAuthentication

Database

Vault

P r e v e n c i ó nD e t e c c i ó nM a

n u

a l

A

u t

o m

á t

i c o

Agenda

• Introducción• Gestión de identidades• Oracle Advanced Security• Oracle Label Security• Oracle Database Vault• Oracle Audit Vault• Preguntas

Oracle Audit Vault

Consolidación de auditoríaCorrelación de registros de auditoríaProtección de la auditoríaAnálisis de eventosSegregación de roles

Audit Vault

AQ&Q U E S T I O N SQ U E S T I O N S

A N S W E R SA N S W E R S