avanttic - webinar: oracle seguridad-gobierno de la seguridad (25-06-2015)

Soluciones de Seguridad de desde la óptica del Gobierno de la Seguridad

Webinar - 2 Daniel Godoy Security Specialist – [email protected]

25-06-2015

© avanttic Consultoría Tecnológica, S.L. 1

Webinar © avanttic Consultoría Tecnológica, S.L. 2

Conozca las soluciones de seguridad de Oracle

Desarrollo Regulación Experiencias Gobierno

Webcasts Cycle CustomerShowcase

07/0702/0725/0618/06

Con

Con la colaboración de y

Webinar

Soluciones de Seguridad de Oracle


Datamasking

Virtual PrivateDatabase

Database Vault

Data Redaction

Advanced Security

Secure Backup

EnterpriseUser Security

Key Vault

Audit Vault Identity Manager AccessManager

PrivilegedAccount Manager

MobileSecurity Suite

Database

Proteccióndel dato

Gobierno deIdentidades

Gestiónde Accesos

MobileMnmgt

(MDM, MAM)

Controlde accesos

Auditoría101111001000

DatabaseFirewall

APIGateway

Middleware

apps

Webinar

Datamasking


Database Vault

Data Redaction

Advanced Security

Secure Backup


Key Vault




Proteccióndel dato


Gestiónde Accesos

MobileMnmgt

(MDM, MAM)

Controlde accesos


DatabaseFirewall

APIGateway

Database

Middleware

apps


Soluciones de Seguridad de Oracle desde la óptica del Gobierno de la Seguridad

Webinar

Problema

5 © avanttic Consultoría Tecnológica, S.L.

Usuarios privilegiados

DBA

Producción

SELECT * FROM clientes WHERE name LIKE ‘%’; ALTER TABLE clientes MODIFY name VARCHAR(60);

Webinar

Oracle Database Vault

6

Control de acceso y seguridad en base de datos

•  Segregación de funciones y cotos de seguridad •  Asegura quién, dónde, cuándo y cómo accede a la base de datos

•  Asegura los mínimos privilegios a los usuarios privilegiados •  Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos

•  Permite consolidar de forma segura los datos de aplicaciones multicompañía

Compras RR.HH.

Financiero

Responsable de aplicación

select * from finance.customers DBA

Responsable de seguridad

Aplicación

© avanttic Consultoría Tecnológica, S.L.

Webinar


7

Componentes

•  Realms •  Rule Sets •  Command Rules •  Factors •  Secure Application Roles


Webinar


•  DBA consulta datos de RRHH •  Protección contra accesos

•  DBA de RRHH consulta Finan. •  Eliminando riesgos de

seguridad por consolidación de servidores


Comportamiento

DBA

DBA RR.HH. HR HR

HR Realm

select * from HR.emp

Fin DBA Financiero

Fin Fin Realm

Pueden ser fácilmente aplicados a aplicaciones existentes con mínimo impacto en el rendimiento

Webinar


•  El usuario intenta acceder desde una IP no autorizada

•  Regla basada en IP bloquea la acción

•  El usuario realiza una tarea no autorizada en hora productiva

•  Regla basada en fecha y hora bloquea la acción


Políticas de control de acceso

Usuario

Select ….

Desarrollador

Create, Alter …

Lunes 3 pm HR Realm HR HR

Webinar


•  Previene acceso a los datos por parte de los DBAs

•  Políticas predefinidas que incluyen Realms y Command rules

•  Complementa la seguridad de la aplicación

•  Transparente para aplicaciones existentes

•  Personalizable


Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP

Oracle E-Business Suite 11i / R12

PeopleSoft Applications

Siebel

I-flex

JD Edwards EnterpriseOne

SAP

Webinar

Problema


Usuarios “distribuidos”

Webinar

Enterprise User Security


Autenticación de BBDD centralizada en el directorio corporativo

Oracle Directory Services

Webinar



Funcionamiento

ODS+

BB.DD. configurada para EUS

(2) Validación credenciales de juan.perez (1) Conexión

juan.perez/pwd

(4) PeOción de Enterprise Roles de juan.perez

(3) Respuesta de juan.perez

(5) Enterprise Roles y mapeo de roles de juan.perez

MS DA

Webinar



Donde reside cada elemento

ODS+

Usuarios genéricos (SYS, SYSTEM, HR, …) Roles de BBDD: DBA, RESOURCE, CONNECT, … MiRol: GRANT select ON mitabla TO mirol GRANT execute ON miproc TO mirol Usuarios puente: UsuarioPuente (idenMfied Globally) Pueden ser genéricos o específicos

Usuarios personalizados (jperez, asanchez, …) con sus contraseñas y grupos LDAP. Enterprise roles: DBA_ER, MiERRole, … Asociación Enterprise roles <> Roles BBDD: MiERRole <> CONNECT, MiRol Asignación Enterprise roles a usuarios/grupos: jperez <>MiERRole Asociación usuarios EUS con BBDD y usuarios puente: jperez <> BBDD ORCL1 con UsuarioPuente

Webinar


•  Registrar la BBDD en EUS •  Cambiar los usuarios personales •  Asociar usuarios de directorio a usuarios de BBDD


Implementación

Webinar

Problema


Controlar sentencias

Desarrollador

DBA

Producción

Desarrollo = Producción

Auditor

SELECT nombre, nif, … FROM clientes WHERE id = ? ‘’ OR 1=1

Webinar

Oracle Database Firewall

17

Control preventivo y detección para BBDD Oracle y no Oracle

Eventos Firewall

Usuarios Aplicaciones

Database Firewall Permitir Log Alertar Sustituir Bloquear

Audit Data

Audit Vault

Informes

!Alertas

Políticas

Auditores

Responsable Seguridad

OS, Directory Services, File system & Custom Audit Logs


Webinar

Oracle Audit Vault and Database Firewall

•  Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections, escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.

•  Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos •  Políticas flexibles basadas en listas blancas y negras •  Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue •  Informes preconstruidos y a medida para PCI, SOX y otras regulaciones

18

Primera línea de defensa

PolíticasInformesOOTB

Alertas Informes custom

Applications Bloqueo

Log Permitir

Alertas Sustitución


Webinar


•  El modo “Allowed” puede ser definido para cualquier usuario o aplicación •  Las “listas blancas” pueden tener en cuenta factores predefinidos como hora, día de la

semana, red, aplicación, etc. •  Automáticamente se pueden generar “listas blancas” para cualquier aplicación •  Las transacciones que no cumplen las políticas son instantáneamente rechazadas •  La BB.DD. sólo procesará datos tal y como se esperan

19

Protección frente a SQL Injection. Modelo de seguridad positivo

White List

Applications Block

Allow

SELECT * from stock where catalog-no='PHE8131'

SELECT * from stock where catalog-no=‘ ' union select cardNo,0,0 from Orders --’

Databases


Webinar


•  Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño número de conjuntos de sentencias agrupadas por su significado (clusters).

•  No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías ineficientes e inexactas.

•  Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log •  Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos.


Sustitución de sentencias

Block

Log Allow Alert Substitute

SELECT * FROM accounts se cambia por SELECT * FROM dual where 1=0

Applications

Webinar

Problema


Gestión de identidades

Webinar

Oracle Identity Manager

•  Overview

22

Administración centralizada


Webinar


23

Incorporación y actualización de usuarios


Webinar


24

Desaprovisionamiento automático


Webinar


25

Peticiones de acceso intuitivas


Webinar


26

Aplicaciones desconectadas


Webinar


27

Aprobaciones y workflows


Webinar


28

Integrado con BI Publisher


Webinar


29

Certificación de accesos


Webinar


30

Conectores


Webinar

Problema


Gestión de dispositivos

Webinar

Oracle Mobile Security Suite

•  Separate, protect and wipe corporate applicaOons and data

•  Strict policies to restrict users from viewing/moving data out of container

•  Consistent support across mulOple mobile plaVorms

32

Gestionar aplicaciones y datos empresariales de manera segura

Secure Container For App Security And Control

Secure Controls And Management For Enterprise Apps

Extend IDM Services To Avoid Redundancy And Overlaps

•  Secure communicaOon with enterprise applicaOon servers

•  Corporate app store

•  Common users, roles, policies, access request, cert etc.

•  SSO for naOve and browser apps

•  Risk/policy based step up and strong authenOcaOon


Webinar


33

Protección completa de información corporativa

•  Secure, touch-‐enabled enterprise workspace for iOS and Android •  Trusted workspace for enterprise secure mail, browser, file manager, in-‐house or

3rd party apps •  Single sign-‐on just like from your desktop •  No restricOons or controls over personal apps or data •  Increase producOvity for mobile workers

•  Data leaking control by policy to restrict or allow email, copy/paste, sharing •  Isolate enterprise data access from personal data access •  Manage applicaOon and data lifecycle to ensure users only have access to

authorized data •  Manage user credenOal lifecycle •  Deployment opOons include on-‐premise or in the cloud

Preserve User Experience

Enable Enterprise Security and Control

OMSS

Data Leakage Control

Policy Enforcement

AuthenOcaOon

EncrypOon in Transit

EncrypOon at Rest


Webinar


34

Datos personales y corporativos separados

AuthenOcaOon / SSO Data at Rest EncrypOon Data in Transit EncrypOon DLP Policy

Browser

PIM (email, calendar, contacts,

tasks, notes)

Doc Editor

App Catalog

File Manager

Secure Intranet

Secure Mail

Secure Files

App DistribuOon

Secure Apps Enterprise Apps


Webinar


35

Puntos clave

Manage corporate data, not devices

MDM is not a pre-‐requisite for BYOD

Secure Communica>on Channel obviates VPN

Re-‐use & extend corporate Iden>ty, user, roles, policies

Run-‐>me policy w/o recoding and redeployment of apps

Step-‐up & Strong Auth with PKI, mul>-‐factor support


Webinar

Datamasking


Database Vault

Data Redaction

Advanced Security

Secure Backup


Key Vault




Proteccióndel dato


Gestiónde Accesos

MobileMnmgt

(MDM, MAM)

Controlde accesos


DatabaseFirewall

APIGateway

Database

Middleware

apps


Resumen

[email protected]

Para más información contacte con nosotros a través de [email protected]


BARCELONA Aragó 182, 4ª planta

08011 Barcelona Tel. 93 151 84 51

MADRID Paseo de la Castellana, 135, 7ª

28046 Madrid Tel. 91 116 17 89

el partner

37

avanttic - webinar: oracle seguridad-gobierno de la seguridad (25-06-2015)

Technology