Seguridad en bases de datos Security Today Andalucia


The following is intended to outline our general product direction. It

is intended for information purposes only, and may not be

incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality,

and should not be relied upon in making purchasing decisions. The

development, release, and timing of any features or functionality

described for Oracle’s products remains at the sole discretion of

Oracle.

Innovación en Seguridad de Base de Datos

Juan Carlos Díaz

Principal Sales Consultant


Agenda

Introducción

Problemáticas típicas

– Solución de Oracle

Conclusiones


Fugas de datos de servidores de BD Cerca de 1B de registros comprometidos en los últimos 6 años

2/3 de la información sensible y regulada reside en bases de datos

… y se dobla cada dos años

Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by

Protecting Data at the Source — Your Databases", August 2011

48% de fugas de

origen interno

89% registros

robados usando SQL

Injection

86% Hacking usando

credenciales robadas


32% Puede evitar que los DBAs accedan a datos o procedimientos

61% No monitorizan la escritura de datos sensibles de aplicaciones

65% No disponen de medidas para prevenir ataques de SQL injection

55% Copian datos de producción a entornos de desarrollo y test

68% Datos en ficheros de BD se pueden leer a nivel de S.O.

44% No puede impedir el acceso directo a la B.D. (application bypass)

¿Cómo es la seguridad de sus BB.DD.? Resultados 2012 IOUG Enterprise Data Security Survey


IT Security no prioriza la seguridad en BBDD Solo el 20% tiene un plan

“Forrester estima que,

aunque el 70% de las empresas

tiene un plan de seguridad de la

información, sólo el 20% de las

empresas tiene un plan de

seguridad de base de datos.”

Endpoint Security

Vulnerability Management

Network Security

Email Security

Authentication and User Security

Database Security


Agenda

Introducción


– Solución de Oracle

Conclusiones


Soluciones de seguridad BB.DD. Oracle Defensa en profundidad

Monitorización de actividad

Firewall de BB.DD.

Auditoría e Informes

MONITORIZACIÓN

Enmascaramiento

Control sobre usuarios

privilegiados

Cifrado

PREVENTIVO ADMINISTRACIÓN

Descubrimiento de datos

sensibles

Gestión de configuraciones

Análisis de privilegios


Soluciones de seguridad BB.DD. Oracle Detección y bloqueo de amenazas, alerta, auditoría e informes

Monitorización de actividad

Firewall de BB.DD.

Auditoría e Informes

MONITORIZACIÓN

Enmascaramiento

Control sobre usuarios

privilegiados

Cifrado

PREVENTIVO ADMINISTRACIÓN

Descubrimiento de datos

sensibles

Gestión de configuraciones



Problemáticas típicas Usuarios privilegiados

DBA

Producción

SELECT * FROM clientes

WHERE name LIKE ‘%’;

ALTER TABLE clientes

MODIFY name VARCHAR(60);


Oracle Database Vault Control de acceso y seguridad en base de datos

• Segregación de funciones y cotos de seguridad

• Asegura quién, dónde, cuándo y cómo accede a la base de datos

• Asegura los mínimos privilegios a los usuarios privilegiados

• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos

• Permite consolidar de forma segura los datos de aplicaciones multicompañía

Compras

RR.HH.

Financiero

Responsable

de aplicación

select * from finance.customers DBA

Responsable

de seguridad

Aplicación


Oracle Database Vault

Previene acceso a los datos por parte

de los DBAs

Políticas predefinidas que incluyen

Realms y Command rules

Complementa la seguridad de la

aplicación

Transparente para aplicaciones

existentes

Personalizable

Oracle E-Business Suite 11i / R12

PeopleSoft Applications

Siebel

I-flex

Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP

JD Edwards EnterpriseOne

SAP



• Permite saber qué privilegios y roles han sido usados realmente

• Eliminar privilegios innecesarios reduce el riesgo

Minimizar los privilegios de usuarios


Problemáticas típicas Cifrado y redacción de datos

DBA

Producción


Oracle Advanced Security Proteger datos sensibles de usuarios no autorizados

Los datos

escritos a disco

son cifrados

automáticamente

Los datos se

descifran de forma

transparente y se

devuelven en claro

Oracle Advanced

Security

Cifrado de los datos

en disco

INSERT

Nombre: Juan Nadie

DNI: 12345678A

SELECT

Nombre: Juan Nadie

DNI: 12345678A

SELECT

Nombre: Juan Nadie

DNI: ********

Oracle Advanced Security

Reescritura del dato



Cifra los datos de las aplicaciones

– Cifrado de columnas

– Cifrado de tablespaces y sus ficheros

– 3DES168, AES128, AES192, AES256

Altamente eficiente

– Alto rendimiento (overhead ~ 5%)

– Integrado con Oracle Advanced Compression

No se necesitan cambios en las aplicaciones

– Cualquier tipo de dato

– Se permiten índices sobre datos cifrados

Transparent Data Encryption

Capa SQL

data blocks “*M$b@^s%&d7”

undo

blocks

temp

blocks

flashback

logs

redo

logs

Buffer Cache

“SSN = 987-65-..”



Censura de datos on-line basada en usuario, IP, contexto de aplicación

u otros factores

Transparente. Impacto mínimo en cargas de producción

Data Redaction


Oracle Data Redaction

Sólo se altera la visualización

“Censura” de datos sensibles de aplicaciones


Oracle Data Redaction

• Incluye librería de formatos para datos comunes de PCI y PII

• Gestionable con Enterprise Manager ó API de línea de comando

Dato

Almacenado

Resultado Censurado

Completo

Parcial

RegExp

Aleatorio


Oracle Data Redaction “Censura” de datos sensibles de aplicaciones


Problemáticas típicas Clonado de datos a entornos no productivos

Desarrollador

DBA

Producción

Desarrollo Desarrollo = Producción


Datos seguros en entornos de desarrollo Pasos para obtener un subconjunto de datos seguro

1 2 3

Identificar datos

sensibles

Enmascarar

datos en

desarrollo

Extraer datos de

producción

Reemplazar datos reales de

producción por datos ficticios

válidos para pruebas de

desarrollo, rendimiento, …

Aprovisionar entornos de

desarrollo con una fracción

de los datos de producción

Identificar esquemas,

tablas y columnas que

contengan datos

sensibles


Oracle Data Discovery and Modeling (*)

Patrones de búsquedas predefinidos (basados en esquemas y datos)

Búsquedas en toda la aplicación de coincidencia con patrones

Clasificación basada en coincidencia con los patrones

Descubrimiento de columnas sensibles

(*) Componente de Test Data Management Pack


Oracle Data Subsetting (*)

Selección de tablas

– Se seleccionan automáticamente

las tablas necesarias para se

incluidas en el subconjunto

Criterios de extracción

– Se recorre la jerarquía relacional

para identificar las filas a extraer

Parámetros de subconjunto

– Analiza las estadísticas de las

tablas para estimar el tamaño de

los datos generados

Extracción de subconjuntos de datos

Fecha:

(año 2011)

Dimensión

(Región: Asia)

Espacio

(tamaño:10%)

(*) Componente de Test Data Management Pack


Oracle Data Masking Enmascaramiento irreversible de datos en entornos no productivos

• Transfiere datos de aplicación de forma segura a entornos no productivos

• Evita que desarrolladores de aplicaciones accedan a datos reales de producción

• Librerías y políticas extensibles para la automatización del enmascaramiento de datos

• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando

correctamente

NOMBRE DNI SALARIO

ZFDGFAKJIJ 81331100-J 25,000

ASDTYHJUK 87766348-S 30,000

NOMBRE DNI SALARIO

ANA PÉREZ 12345678-A 30,000

PEDRO SÁNCHEZ 48765432-Z 25,000

Producción Desarrollo

JUAN CHACÓN

MARTA RODRÍGUEZ


Oracle Data Masking

Librerías de máscaras de formatos

Mantenimiento automático de la integridad

referencial cuando se enmascaran Primary keys

– Implícita – definidas en BB.DD.

– Explicita – aseguradas por aplicación

Previsualización de datos antes de enmascarar

Alto rendimiento

Define una vez – ejecuta varias

Funcionalidades básicas

BB.DD.

clonada

Enmascarar

BB.DD.

producción


Oracle Data Masking

Máscaras compuestas

– Conjunto de columnas que deben ser enmascaradas conjuntamente p.ej. Dirección, Ciudad, Provincia, CP, …

Máscaras basadas en condiciones

– Formatos de máscaras específicas para cada condición, p.ej. documentos de identidad de países diferentes

Enmascaramiento determinístico

– Enmascaramiento consistente, p.ej. Pedro siempre se cambia por Alberto en múltiples BB.DD.

Técnicas de enmascaramiento


Ciclo completo de enmascaramiento de datos

Recolección

de Metadatos

Crear Modelo de datos

de la aplicación

Recoger datos a incluir Ejecutar

Subsetting

Inserción/borrado

de datos

Actualización de datos

Ejecutar

Enmascaramiento

Crear definición de

Enmascaramiento

Crear definición de

Subsetting

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_data_masking.htm

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_data_masking.htm

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_subsetting.htm

http://docs.oracle.com/cd/E24628_01/server.121/e16540/tdm_subsetting.htm


Enmascaramiento y Subsetting integrados

Los datos de producción tenían que se

extraídos primero y enmascarados

después en pasos separados.

Antes Ahora

0100101100101010010010010010010010010010010010001

0010101001001001001110010010010010010010000100100

1011100100101010010010101010011010100101010010

Producción Test

Subconjunto

de datos

Clonar y

enmascarar

0100101100101010010010010010010010010010010010001

0010101001001001001110010010010010010010000100100

1011100100101010010010101010011010100101010010

Test Masked Data

Pump File

Producción

Subconjunto y enmascarado en un solo paso

Los datos de producción son extraídos

(un subconjunto) y enmascarados en un

solo paso utilizando “At-source Masking”



Desarrollador

DBA

Producción

Desarrollo = Producción

Auditor

SELECT nombre, nif, …

FROM clientes

WHERE id = ? ‘’ OR 1=1


Oracle Audit Vault y Database Firewall Control preventivo y detección para BBDD Oracle y no Oracle

OS, Directory Services, File

system & Custom Audit Logs

Eventos Firewall

Usuarios

Aplicaciones

Database Firewall Permitir

Log

Alertar

Sustituir

Bloquear

Audit Data

Audit Vault

Informes

! Alertas

Políticas

Auditores

Responsible

Seguridad


Políticas Informes OOTB

Alertas Informes custom

Applications Bloqueo

Log

Permitir

Alertas

Sustitución

• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections,

escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.

• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos

• Políticas flexibles basadas en listas blancas y negras

• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue

• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones

Oracle Audit Vault and Database Firewall Primera línea de defensa


• El modo “Allowed” puede ser definido para cualquier usuario o aplicación

• Las “listas blancas” pueden tener en cuenta factores predefinidos como hora, día de la

semana, red, aplicación, etc.

• Automáticamente se pueden generar “listas blancas” para cualquier aplicación

• Las transacciones que no cumplen las políticas son instantáneamente rechazadas

• La BB.DD. sólo procesará datos tal y como se esperan

Oracle Audit Vault and Database Firewall Protección frente a SQL Injection. Modelo de seguridad positivo

White List

Applications Block

Allow

SELECT * from stock

where catalog-no='PHE8131'

SELECT * from stock

where catalog-no=‘

' union select cardNo,0,0

from Orders --’

Databases


• Para comandos SQL, usuarios o accesos a esquemas específicos

• Previene escalado de roles o privilegios y acceso no autorizado a datos sensibles

• Las “listas negras” pueden tener en cuenta factores predefinidos como hora, día de la

semana, red, aplicación, etc.

• Bloquea selectivamente cualquier parte de una transacción según las necesidades de

seguridad y del negocio

Oracle Audit Vault and Database Firewall Restricción de actividad. Modelo de seguridad negativo

SELECT * FROM

v$session

Block

Allow + Log

Black List

DBA activity via Applications

SELECT * FROM

v$session

DBA activity via Approved Workstation


Block

Log

Allow

Alert

Substitute

SELECT * FROM accounts

se cambia por

SELECT * FROM dual

where 1=0 Applications

Oracle Audit Vault and Database Firewall Sustitución de sentencias

O

• Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño

número de conjuntos de sentencias agrupadas por su significado (clusters).

• No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías

ineficientes e inexactas.

• Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log

• Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos.


Oracle Audit Vault y Database Firewall Gestión centralizada de políticas de auditoría

Definición de políticas – Definición, gestión centralizada, recolección de

configuraciones de auditoría

Configuraciones de auditoría – Las configuraciones se pueden extraer de

BB.DD. existentes con auditorías previamente configuradas

– También se permiten configuraciones manuales

Aprovisionamiento de políticas – Las políticas se pueden aplicar

centralizadamente desde la consola de AVDF

Mantenimiento de políticas – Compara las políticas aprobadas con la

configuración actual

LOPD

Audit

Settings

Privilege

User Audit

Settings

Privacy

Audit

Settings

Financial

Database

Customer

Database

HR

Database

Oracle AVDF


Auditoría empresarial extendida

BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE

Otras fuentes de auditoría

– Sistemas Operativos: Microsoft Windows, Solaris

– Servicios de Directorio: Active Directory

– Sistemas de ficheros: Oracle ACFS

Plugins de recolección de auditoría para fuentes personalizadas

– Fichero XML mapea elementos de auditoría personalizados a auditoría

canónica

– Recolecta y mapea datos de fichero de auditoría XML y tablas de base de

datos


Audit Vault

Standby

Arquitecturas de depliegue flexibles

In-Line Blocking

and Monitoring

HA Mode

Out-of-Band

Monitoring

Audit Vault

Primary

Applications and Users

Remote Monitoring

Soft appliance

Audit Data

Audit Agents


Completa – único proveedor que cubre todos sus requerimientos

Transparente – no requiere ningún cambio en las aplicaciones existentes

Fácil de desplegar – consolas que facilitan el despliegue en poco horas

Rentable – soluciones integradas que reducen el riesgo con un bajo TCO

Probado – #1 en BB.DD. con más de 30 años innovando en seguridad!

• Database Vault • Advanced Security

• Data Masking

• Audit Vault &

Database

Firewall

Encriptación y

enmascaramiento

Control de acceso

Auditoría

• Audit Vault &

Database Firewall

Monitorización

y bloqueo

Conclusiones Defensa en profundidad


Oracle Audit Vault

Oracle Database Vault

DB Security Evaluation #19

Transparent Data Encryption

EM Configuration Scanning

Fine Grained Auditing (9i)

Secure application roles

Client Identifier / Identity propagation

Oracle Label Security

Proxy authentication

Enterprise User Security

Global roles

Virtual Private Database (8i)

Database Encryption API

Strong authentication (PKI, Kerberos, RADIUS)

Native Network Encryption (Oracle7)

Database Auditing

Government customer

Oracle líder en Seguridad en BBDD 35 años de Innovación continua y

certificaciones de seguridad


Runtime Privilege Analysis

Real Application Security

Conditional Auditing

Code Based Access Control

New Separation of Duty Roles

Secure by Default Enhancements

Database on Windows as a Service

SHA-512 Support for Certificates and Authentication

FIPS 140 Certified Library for Assurance

Expanded Hardware Cryptographic Acceleration

Strong Authentication generalized

Network Encryption generalized

Oracle líder en seguridad en BBDD … sigue definiendo los estándares exigibles a BBDD


Conclusiones

Desarrollador

DBA

Producción

Desarrollo

Auditor


www.facebook.com/OracleDatabase

www.twitter.com/OracleDatabase

blogs.oracle.com/OracleDatabase

www.oracle.com/database/security

Seguridad en bases de datos Security Today Andalucia

Technology

Transcript of Seguridad en bases de datos Security Today Andalucia