03 gestión y protección de usuarios con privilegios


The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

Gestión de usuarios privilegiados

Juan Carlos DíazPrincipal Sales Consultant


Agenda

Introducción

Gestión de conexiones con usuarios genéricos

Gestión de conexiones con usuarios personalizados

Control de acceso y segregación de funciones en BB.DD.

Resumen: soluciones complementarias


Acceso comoRoot

Bases de Datos Directorios Servidores Unix

• Las cuentas privilegiadas son un punto de entrada clave para el fraude

• Es difícil monitorizar cuentas compartidas entre diferentes administradores

• Los privilegios de acceso excesivos son la causa principal en el ataque a bases de datos, directorios, sistemas operativos, …

Cuanto mayor privilegio, mayor riesgo


Desarrollador DBA

Problemáticas de cuentas privilegiadas

CUSTOMERS SYS

BB.DD.Clientes

Datos sensibles:FinancierosCuentas bancariasFacturación…

juan.perez

juan

.per

ez

juan

.per

ez

juan.perez

juan.perez

juan.perez

juan

.per

ezTRAZABILIDAD

GESTIÓN

SEGURIDAD


<Insert Picture Here>

Gestión de acceso de usuarios genéricos


Oracle Privileged Account Manager

Directorio LDAP

DBA

Base de Datos de RRHH

• Usuario accede como DBA• Añade Tabla a BBDD• Falta de espacio en el sistema

Verifica si el usuario de OPAM tienen el rol de

DBA en RRHH

Activa la password del DBA para la aplicación de RRHH

basado en la política correspondiente

Usuario libera las passwords


• Usuario accede como superusuario• Añade espacio en disco

Servidor UNIX

Devuelve password de DBA

Pide password de DBA

Devuelve password de unix

Pide password de unix


Bases de Datos LDAPSistemas Unix Genéricos

UNIXOracle 9i, 10g,11g

MS SQLServerSybase 15

Sistemas soportados


Desarrollador DBA


CUSTOMERS SYS

BB.DD.Clientes


juan.perez

juan

.per

ez

juan

.per

ez

juan.perez

juan.perez

juan.perez

juan

.per

ezTRAZABILIDAD

GESTIÓN

SEGURIDAD



Gestión centralizada de usuarios de BB.DD.


Cada persona tiene un usuario /password para TODAS las bases de datos. Las identidades del directorio se mapean a esquemas de base de datos. Los grupos del directorio se mapean a roles de base de datos.

Oracle Directory Services

Enterprise User SecurityUsuarios de base de datos centralizados


Proceso de autenticación con EUS

ODS+

BB.DD. configurada para EUS

(2) Validación credenciales de juan.perez(1) Conexión

juan.perez/pwd

(4) Petición de Enterprise Roles de juan.perez

(3) Respuesta de juan.perez

(5) Enterprise Roles y mapeo de roles de juan.perez


Desarrollador DBA


CUSTOMERS SYS

BB.DD.Clientes


juan.perez

juan

.per

ez

juan

.per

ez

juan.perez

juan.perez

juan.perez

juan

.per

ezTRAZABILIDAD

GESTIÓN

SEGURIDAD



Segregación de funciones en BB.DD.


Oracle Database VaultControl de acceso y seguridad en base de datos

• Segregación de funciones y cotos de seguridad• Asegura quién, dónde, cuándo y cómo accede a la base de datos

• Asegura los mínimos privilegios a los usuarios privilegiados• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos

• Permite consolidar de forma segura los datos de aplicaciones multicompañía

Compras

RR.HH.

Financiero

Responsable de aplicación

select * from finance.customers DBA

Responsable de seguridad

Aplicación


DBA

DBA RR.HH. HR HR

HR Realm

• DBA ve datos de RRHH select * from HR.empProtección contra accesos

FinDBA Financiero

• DBA de RRHH ve Finan.Eliminando riesgos de seguridad por consolidación de servidores

FinFin Realm

Pueden ser fácilmente aplicados a aplicaciones existentes con mínimo impacto en el rendimiento

Oracle Database VaultProtegiendo aplicaciones existentes


Desarrollador DBA


CUSTOMERS SYS

BB.DD.Clientes


juan.perez

juan

.per

ez

juan

.per

ez

juan.perez

juan.perez

juan.perez

juan

.per

ezTRAZABILIDAD

GESTIÓN

SEGURIDAD


Enterprise User Security

Permite a usuarios no privilegiados usar las

passwords de sus LDAP/AD empresariales

para conectarse a la base de datos

Database Vault

Facilita la segregación de funciones

a todos los usuarios de la base de datos


Gestiona las passwords de usuarios privilegiados,

incluido SYS, SYSTEM y cuentas de aplicaciones

Soluciones complementarias


Resumen OPAM, DBV, EUS

Funcionalidad o servicio Solución Oracle

Gestionar passwords de SYS o SYSTEM OPAM

Gestionar passwords de usuarios privilegiados de aplicaciones OPAM

Gestionar password de usuarios privilegiados de DB Vault (e.g. SEC_ADMIN) OPAM

Gestionar passwords de Microsoft Active Directory (i.e. Servidores Windows que se autentican en un dominio AD)

OPAM

Gestión de cuentas privilegiadas de S.O. (root) o LDAP OPAM

Control de acceso de usuarios privilegiados de BBDD para limitar el acceso a datos de aplicación y/o a operaciones de administración

Database Vault

Autorización multifactor para reforzar políticas empresariales de seguridad Database Vault

Administración centralizada de los usuarios de la BD. Enterprise User Security

Mapear usuarios de BBDD a usuarios LDAP y roles de BBDD a grupos LDAP Enterprise User Security


www.facebook.com/OracleDatabasewww.twitter.com/OracleDatabase

blogs.oracle.com/OracleDatabase

www.oracle.com/database/security

03 gestión y protección de usuarios con privilegios

Documents

oracle andor

datos sensibles

datos responsable

sole discretion of oracle

dba en rrhhdevuelve

acceso y seguridad en

dba pide password

dba rrhh para