avanttic - webinar: oracle seguridad-gobierno de la seguridad (25-06-2015)
TRANSCRIPT
Soluciones de Seguridad de desde la óptica del Gobierno de la Seguridad
Webinar - 2 Daniel Godoy Security Specialist – [email protected]
25-06-2015
© avanttic Consultoría Tecnológica, S.L. 1
Webinar © avanttic Consultoría Tecnológica, S.L. 2
Conozca las soluciones de seguridad de Oracle
Desarrollo Regulación Experiencias Gobierno
Webcasts Cycle CustomerShowcase
07/0702/0725/0618/06
Con
Con la colaboración de y
Webinar
Soluciones de Seguridad de Oracle
© avanttic Consultoría Tecnológica, S.L. 3
Datamasking
Virtual PrivateDatabase
Database Vault
Data Redaction
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegedAccount Manager
MobileSecurity Suite
Database
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Middleware
apps
Webinar
Datamasking
Virtual PrivateDatabase
Database Vault
Data Redaction
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegedAccount Manager
MobileSecurity Suite
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Database
Middleware
apps
© avanttic Consultoría Tecnológica, S.L. 4
Soluciones de Seguridad de Oracle desde la óptica del Gobierno de la Seguridad
Webinar
Problema
5 © avanttic Consultoría Tecnológica, S.L.
Usuarios privilegiados
DBA
Producción
SELECT * FROM clientes WHERE name LIKE ‘%’; ALTER TABLE clientes MODIFY name VARCHAR(60);
Webinar
Oracle Database Vault
6
Control de acceso y seguridad en base de datos
• Segregación de funciones y cotos de seguridad • Asegura quién, dónde, cuándo y cómo accede a la base de datos
• Asegura los mínimos privilegios a los usuarios privilegiados • Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras RR.HH.
Financiero
Responsable de aplicación
select * from finance.customers DBA
Responsable de seguridad
Aplicación
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Database Vault
7
Componentes
• Realms • Rule Sets • Command Rules • Factors • Secure Application Roles
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Database Vault
• DBA consulta datos de RRHH • Protección contra accesos
• DBA de RRHH consulta Finan. • Eliminando riesgos de
seguridad por consolidación de servidores
8 © avanttic Consultoría Tecnológica, S.L.
Comportamiento
DBA
DBA RR.HH. HR HR
HR Realm
select * from HR.emp
Fin DBA Financiero
Fin Fin Realm
Pueden ser fácilmente aplicados a aplicaciones existentes con mínimo impacto en el rendimiento
Webinar
Oracle Database Vault
• El usuario intenta acceder desde una IP no autorizada
• Regla basada en IP bloquea la acción
• El usuario realiza una tarea no autorizada en hora productiva
• Regla basada en fecha y hora bloquea la acción
9 © avanttic Consultoría Tecnológica, S.L.
Políticas de control de acceso
Usuario
Select ….
Desarrollador
Create, Alter …
Lunes 3 pm HR Realm HR HR
Webinar
Oracle Database Vault
• Previene acceso a los datos por parte de los DBAs
• Políticas predefinidas que incluyen Realms y Command rules
• Complementa la seguridad de la aplicación
• Transparente para aplicaciones existentes
• Personalizable
10 © avanttic Consultoría Tecnológica, S.L.
Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP
Oracle E-Business Suite 11i / R12
PeopleSoft Applications
Siebel
I-flex
JD Edwards EnterpriseOne
SAP
Webinar
Problema
11 © avanttic Consultoría Tecnológica, S.L.
Usuarios “distribuidos”
Webinar
Enterprise User Security
12 © avanttic Consultoría Tecnológica, S.L.
Autenticación de BBDD centralizada en el directorio corporativo
Oracle Directory Services
Webinar
Enterprise User Security
13 © avanttic Consultoría Tecnológica, S.L.
Funcionamiento
ODS+
BB.DD. configurada para EUS
(2) Validación credenciales de juan.perez (1) Conexión
juan.perez/pwd
(4) PeOción de Enterprise Roles de juan.perez
(3) Respuesta de juan.perez
(5) Enterprise Roles y mapeo de roles de juan.perez
MS DA
Webinar
Enterprise User Security
14 © avanttic Consultoría Tecnológica, S.L.
Donde reside cada elemento
ODS+
Usuarios genéricos (SYS, SYSTEM, HR, …) Roles de BBDD: DBA, RESOURCE, CONNECT, … MiRol: GRANT select ON mitabla TO mirol GRANT execute ON miproc TO mirol Usuarios puente: UsuarioPuente (idenMfied Globally) Pueden ser genéricos o específicos
Usuarios personalizados (jperez, asanchez, …) con sus contraseñas y grupos LDAP. Enterprise roles: DBA_ER, MiERRole, … Asociación Enterprise roles <> Roles BBDD: MiERRole <> CONNECT, MiRol Asignación Enterprise roles a usuarios/grupos: jperez <>MiERRole Asociación usuarios EUS con BBDD y usuarios puente: jperez <> BBDD ORCL1 con UsuarioPuente
Webinar
Enterprise User Security
• Registrar la BBDD en EUS • Cambiar los usuarios personales • Asociar usuarios de directorio a usuarios de BBDD
15 © avanttic Consultoría Tecnológica, S.L.
Implementación
Webinar
Problema
16 © avanttic Consultoría Tecnológica, S.L.
Controlar sentencias
Desarrollador
DBA
Producción
Desarrollo = Producción
Auditor
SELECT nombre, nif, … FROM clientes WHERE id = ? ‘’ OR 1=1
Webinar
Oracle Database Firewall
17
Control preventivo y detección para BBDD Oracle y no Oracle
Eventos Firewall
Usuarios Aplicaciones
Database Firewall Permitir Log Alertar Sustituir Bloquear
Audit Data
Audit Vault
Informes
!Alertas
Políticas
Auditores
Responsable Seguridad
OS, Directory Services, File system & Custom Audit Logs
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Audit Vault and Database Firewall
• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections, escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.
• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos • Políticas flexibles basadas en listas blancas y negras • Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue • Informes preconstruidos y a medida para PCI, SOX y otras regulaciones
18
Primera línea de defensa
PolíticasInformesOOTB
Alertas Informes custom
Applications Bloqueo
Log Permitir
Alertas Sustitución
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Audit Vault and Database Firewall
• El modo “Allowed” puede ser definido para cualquier usuario o aplicación • Las “listas blancas” pueden tener en cuenta factores predefinidos como hora, día de la
semana, red, aplicación, etc. • Automáticamente se pueden generar “listas blancas” para cualquier aplicación • Las transacciones que no cumplen las políticas son instantáneamente rechazadas • La BB.DD. sólo procesará datos tal y como se esperan
19
Protección frente a SQL Injection. Modelo de seguridad positivo
White List
Applications Block
Allow
SELECT * from stock where catalog-no='PHE8131'
SELECT * from stock where catalog-no=‘ ' union select cardNo,0,0 from Orders --’
Databases
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Audit Vault and Database Firewall
• Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño número de conjuntos de sentencias agrupadas por su significado (clusters).
• No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías ineficientes e inexactas.
• Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log • Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos.
20 © avanttic Consultoría Tecnológica, S.L.
Sustitución de sentencias
Block
Log Allow Alert Substitute
SELECT * FROM accounts se cambia por SELECT * FROM dual where 1=0
Applications
Webinar
Problema
21 © avanttic Consultoría Tecnológica, S.L.
Gestión de identidades
Webinar
Oracle Identity Manager
• Overview
22
Administración centralizada
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
23
Incorporación y actualización de usuarios
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
24
Desaprovisionamiento automático
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
25
Peticiones de acceso intuitivas
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
26
Aplicaciones desconectadas
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
27
Aprobaciones y workflows
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
28
Integrado con BI Publisher
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
29
Certificación de accesos
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Identity Manager
30
Conectores
© avanttic Consultoría Tecnológica, S.L.
Webinar
Problema
31 © avanttic Consultoría Tecnológica, S.L.
Gestión de dispositivos
Webinar
Oracle Mobile Security Suite
• Separate, protect and wipe corporate applicaOons and data
• Strict policies to restrict users from viewing/moving data out of container
• Consistent support across mulOple mobile plaVorms
32
Gestionar aplicaciones y datos empresariales de manera segura
Secure Container For App Security And Control
Secure Controls And Management For Enterprise Apps
Extend IDM Services To Avoid Redundancy And Overlaps
• Secure communicaOon with enterprise applicaOon servers
• Corporate app store
• Common users, roles, policies, access request, cert etc.
• SSO for naOve and browser apps
• Risk/policy based step up and strong authenOcaOon
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Mobile Security Suite
33
Protección completa de información corporativa
• Secure, touch-‐enabled enterprise workspace for iOS and Android • Trusted workspace for enterprise secure mail, browser, file manager, in-‐house or
3rd party apps • Single sign-‐on just like from your desktop • No restricOons or controls over personal apps or data • Increase producOvity for mobile workers
• Data leaking control by policy to restrict or allow email, copy/paste, sharing • Isolate enterprise data access from personal data access • Manage applicaOon and data lifecycle to ensure users only have access to
authorized data • Manage user credenOal lifecycle • Deployment opOons include on-‐premise or in the cloud
Preserve User Experience
Enable Enterprise Security and Control
OMSS
Data Leakage Control
Policy Enforcement
AuthenOcaOon
EncrypOon in Transit
EncrypOon at Rest
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Mobile Security Suite
34
Datos personales y corporativos separados
AuthenOcaOon / SSO Data at Rest EncrypOon Data in Transit EncrypOon DLP Policy
Browser
PIM (email, calendar, contacts,
tasks, notes)
Doc Editor
App Catalog
File Manager
Secure Intranet
Secure Mail
Secure Files
App DistribuOon
Secure Apps Enterprise Apps
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Mobile Security Suite
35
Puntos clave
Manage corporate data, not devices
MDM is not a pre-‐requisite for BYOD
Secure Communica>on Channel obviates VPN
Re-‐use & extend corporate Iden>ty, user, roles, policies
Run-‐>me policy w/o recoding and redeployment of apps
Step-‐up & Strong Auth with PKI, mul>-‐factor support
© avanttic Consultoría Tecnológica, S.L.
Webinar
Datamasking
Virtual PrivateDatabase
Database Vault
Data Redaction
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegedAccount Manager
MobileSecurity Suite
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Database
Middleware
apps
© avanttic Consultoría Tecnológica, S.L. 36
Resumen
Para más información contacte con nosotros a través de [email protected]
© avanttic Consultoría Tecnológica, S.L.
BARCELONA Aragó 182, 4ª planta
08011 Barcelona Tel. 93 151 84 51
MADRID Paseo de la Castellana, 135, 7ª
28046 Madrid Tel. 91 116 17 89
el partner
37