oracle database security
TRANSCRIPT
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Database Security com Oracle EnterpriseMaximum Security Architecture
Daniela PetruzalekSales ConsultantIndirect SalesJunho, 2015
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor StatementThe following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Agenda
Introdução
Requisitos de Software
Portfólio de Produtos
Conclusões
1
2
3
4
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
IntroduçãoConceitos Básicos de Segurança da Informação
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Política de Segurança• A security policy is a formal statement of the rules by which people who
are given access to an organization's technology and information assets must abide.
• The main purpose of a security policy is to inform users, staff and managers of their obligatory requirements for protecting technology and information assets. The policy should specify the mechanisms through which these requirements can be met.
Fonte: RFC 2196 – Site Security Handbook
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Política de Segurança• What Makes a Good Security Policy?
– The characteristics of a good security policy are: (1) It must be implementable through system administration procedures, publishing of acceptable use guidelines, or other appropriate methods. (2) It must be enforcible with security tools, where appropriate, and with sanctions, where actual prevention is not technically feasible. (3) It must clearly define the areas of responsibility for the users, administrators, and management.
Fonte: RFC 2196 – Site Security Handbook
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Vale a pena investir em ferramentas de segurança para...?
Obs.: Muito cuidado ao digitar o login e a senha Após cinco tentativas erradas, o sistema bloqueia o acesso
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Padrões Internacionais de Segurança
• The Sarbanes–Oxley Act of 2002, more commonly called Sarbanes–Oxley, Sarbox or SOX, is a United States federal law that set new or enhanced standards for all U.S. public company boards, management and public accounting firms.– Empresas brasileiras negociadas nos EUA também precisam aderir a lei (ADRs, BDRs, etc)
• Payment Card Industry (PCI) Security Standards:– PCI DSS: Padrão de Segurança de Dados– PA-DSS: Padrão de Segurança de Dados de Aplicativo de Pagamento– PED: Dispositivo de Entrada de Pin
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Padrões Internacionais de Segurança
• ISO/IEC 27001:2005 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. Mais conhecido como ISO 27001
• Princípios básicos de segurança:– Confidencialidade, Integridade, Disponibilidade*– Autenticidade, Irretratabilidade ou não-repúdio
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Requisitos de SoftwareSegurança para Banco de Dados
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Monitorar Atividades
Firewall paraBanco de Dados
Auditoria e Relatórios
Detecção
Mascaramento
Controle de Privilégios de Usuários
Criptografia
Prevenção Administração
Configuração e Análise de Vulnerabilidades
Automação de Patches
Dados confidenciais e Database Discovery (BI)
ORACLE DATABASE SECURITYMáxima Segurança para Infraestrutura Crítica de Dados
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Controle da TI e Segurança do Banco de Dados
Aplicações
Administradores
Usuário Final
Middleware Banco de Dados
Informações de processos de
negócio
Histórico de processos de negócio
Desenvolvedores
IT application control IT general control
Risco
É necessário minimizar os riscos associados com o acesso direto ao banco de dados. ( Controle Preventivo )
É necessário gravar as operações realizadas, possibilitando a descoberta e resposta a fraudes( Controle Reativo )
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Recursos de Banco de Dados necessários
Mecanismo para auditar o acesso ao banco de dados(Controle Reativo)
Dados necessários para auditoria são propriamente coletados
Log de auditoria está protegido contra destruição ou falsificação
Utilizar os dados efetivamente para relatórios e análise
Coleta precisa (fina) de dados de auditoria
Integridade do Log de Auditoria
Repositório de Auditoria centralizado
Características a Considerar Função Necessária
Mecanismo para ocultar informações sensíveis
Usuários não autorizados não devem ter acesso a dados
sensíveis
Criptografia/mascaramento de dados sensíveis (incluindo
informações pessoais)
Mecanismo para limitar o acesso ao banco de dados
(Controle Preventivo)
Controle de acesso baseado em need to know
Controle de acesso de usuários privilegiados
Execução de controle de acesso pelo principio do menor privilégio
Separação de privilégios dos DBAs
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Recursos de Banco de Dados necessários
Mecanismo para auditar o acesso ao banco de dados(Controle Reativo)
Fine Grained Auditing, DBA Audit, Redo Log (Log Miner)
Oracle Audit Vault
Coleta precisa (fina) de dados de auditoria
Integridade do Log de Auditoria
Repositório de Auditoria centralizado
Características a Considerar Função Necessária
Mecanismo para ocultar informações sensíveis
Oracle Advanced SecurityOracle Data Masking
Criptografia/mascaramento de dados sensíveis (incluindo
informações pessoais)
Mecanismo para limitar o acesso ao banco de dados
(Controle Preventivo)
Privilégios, Virtual Private Database (VPD), Label Security
Oracle Database Vault
Execução de controle de acesso pelo principio do menor privilégio
Separação de privilégios dos DBAs
Recursos e Produtos
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Portfólio de ProdutosDatabase Security
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault
• Consolida os dados de auditoria em um repositório central seguro• Detecta e alerta atividades suspeitas, incluindo usuários privilegiados• Relatórios prontos para regulamentações como SOX, PCI, e outras
– Ex., auditoria de usuários privilegiados, permissões, tentativas de logins, mudanças de dados regulados
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
What Do You Need To Audit?
Database Audit Requirements SOX PCI DSS HIPAA PII FISMA GLBA
Accounts, Roles & PermissionsDo you have visibility of GRANT and REVOKE activities?
● ● ● ● ● ●
Failed LoginsDo you have visibility of failed logins and other exception activities?
● ● ● ● ● ●
Privileged User Activity Do you have visibility of users activities? ● ● ● ● ● ●
Access to Sensitive DataCan you have visibility into what information is being queried (SELECTs)?
● ● ● ● ●
Schema ChangesAre you aware of CREATE, DROP and ALTER Commands that are occurring on identified Tables / Columns?
● ● ● ● ●
Data ChangesDo you have visibility into Insert, Update, Merge, Delete commands?
● ●
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault - Heterogeneous Database Support
• Oracle Database 9i, 10g, 11g – EE, SE1 and SE• Microsoft SQL Server 2000 – 2008 Server side trace, Windows event audit,
C2• IBM DB2 8.2 - 9.7 – Trace file extracted from binary audit files• Sybase ASE 12.5.4. - 15.7 – Audit tables
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
• Monitora atividade do banco e previne ataques e SQL Injections• Políticas de segurança baseadas em white-list, black-list, e exception-list utilizando
análise gramática de alta precisão para SQL• Bloqueio e monitoramento inline (serial) ou out-of-band (paralelo)
Oracle Database Firewall
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Exemplos de SQL InjectionSELECT * from stock where catalog-no = 'PHE8131' and location = 1
SELECT * from stock where catalog-no = ''--' and location = 1
SELECT * from stock where catalog-no = '' having 1=1 -- ' and location = 1
SELECT * from stock where catalog-no = '' order by 4--' and location = 1
SELECT * from stock where catalog-no = '' union select cardNo,customerId,0 from Orders where name = 'John Smith'--' and location = 1
SELECT * from stock where catalog-no = '' union select min(cardNo),1,0 from Orders where cardNo > '0'--' and location = 1
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Audit Vault and Database Firewall
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Database Lifecycle Management
• Descobre e classifica bancos em grupos de políticas de segurança• Varre os bancos para mais de 400 best practices e padrões da indústria, políticas
personalizadas, e assegura o compliance com políticas de segurança• Detecta e previne mudanças de configuração de banco não autorizadas• Patching automático e provisionamento seguro
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Advanced Security - Transparent Data EncryptionDisk
Backups
Exports
Off-SiteFacilities
• Protege contra acessos de Sistema Operacional ou Rede• Encriptação eficiente para todos os dados• Gerenciamento de chaves embutido• Não requer nenhuma mudança nas aplicações
AplicaçõesDados Criptografados
Gerenciamento de Chaves
Dados confidenciais 5105-1051-0510-5100 5454-5454-5454-5454 5500-0000-0000-0004
Criptografia de Dados transparente
Revisão de Dados
5105-1051-0510-5100
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 25
Revisão e Exibição de Dados Sensíveis
• Revisão em tempo real de dados sensíveis com base no contexto da sessão do BD
• Revisão e definição da biblioteca de políticas “point-and-click”
• Execução coerente, e política aplicada a Dados
• Transparente para Aplicativos, Usuários e Atividades Operacionais
Oracle Advanced SecurityNúmeros de Cartões de
Crédito4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827
Redaction Policy
xxxx-xxxx-xxxx-4368 4451-2172-9841-4368
Billing DepartmentAplicação Call Center
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 26
Data Redaction• Transformações suportadas
987-65-4328 XXX-XX-4328
Stored Data Redacted Display
10/09/1992
[email protected] [hidden]@example.com
5105105105105100 5500000000000004
Full
Partial
RegExp
Random
01/01/2001
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 27
Oracle Advanced Security
• Transparently encrypts data-at-rest in Oracle databases and securely manages the encryption keys
• Protects against theft or loss of disks and backups• Prevents OS users from inspecting the tablespace files
Transparent Data Encryption (TDE)
• On-the-fly redaction to limit exposure of sensitive data in applications• Declarative policies centrally managed in the database• Business need to know decisions based on application and database
contexts• Multiple redaction transformations to choose from
Data Redaction
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
• Classifica usuários e dados baseados na necessidade do negócio• Aplica controle de acesso a nível de registro• Classificação de usuários através do Oracle IDM Suite
Label Security
Confidencial Sensivel
Transactions
Report Data
Reports
Sensivel
Confidencial
Pública
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Label Security• Controls on Sensitive Database Operations
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Label Security• Controls on Sensitive Database Operations
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Label Security
• Controla operações sensíveis no banco de dados baseadas no nível de acesso de segurança• Database Vault Command Controls verifica o nível de acesso de segurança• Usuários com nível baixo ou nenhum de segurança não estarão habilitados a executar
determinados comandos
Sensitive ALTER TABLESPACE
ConfidentialALTER SYSTEM
CREATE DATABASE LINK Confidential
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Label Security• Controls on Sensitive Database Operations
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Label Security• Controls on Sensitive Database Operations
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Procurement
HR
Finance
Oracle Database Vault
• Limita os poderes padrão de usuários privilegiados• Garante a aplicação de regras no banco de dados• Violações são auditadas e enviadas para o Audit Vault• Não é necessário mudanças na aplicação
Application
DBA
select * from finance.customers
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
•Mascara dados sensíveis para ambientes de desenvolvimento•Biblioteca centralizada de políticas e templates extensíveis para automação•Mascaramento sofisticado: condicional, composto, deterministico•Mascaramento integrado com clonagem•Novo no EM 12c: Modelos de dados de aplicações•Novo no EM 12c: Descobrimento de dados sensíveis
Oracle Data Masking
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Databases
Enterprise Manager Cloud Control
with Data M
asking
Non-Oracle DatabasesProduction
(Oracle)
Staging(Oracle)
Test(Oracle)
Production(non-Oracle)
Staging(Oracle)
Test(non-Oracle)
Enterprise Manager Cloud Control
with Data M
asking
Heterogeneous Data Masking
Database Gateway
Database Gateway
manage
manage
manage
manage
monitor §
monitor §
§ Available for IBM DB2, Microsoft SQLServer, Sybase
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 38
Exemplos de Mascaramento de dados
Country IdentifierCA 226-956-324US 610-02-9191 UK JX 75 67 44 C
Country IdentifierCA 368-132-576US 829-37-4729 UK AI 80 56 31 D
Emp ID First Name324 Albert986 Hussain
Emp ID First Name324 Charlie986 Murali
Emp ID First Name324 Charlie986 Murali
FIN
Health Records
Health Records
Company Closing PriceIBFG $36.92XKJU ¥789.8
Company Closing PriceIBFG $89.57XKJU ¥341.9
Gerar valores aleatórios preservando o formato
e outros…
Gerar saída para determinados camposHR
Mascaramento com Base em condições
BLOB31789734566509876745
Search : [0-9]{10}Replace : *
BLOB********************
Mascara arquivos do SO armazenado como BLOBs
Registros aleatórios
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
• Qualquer atualização de estatísticas do DB destino, ou verificação “scan empty rows” durante processo
• Grupo de colunas relacionadas:– Melhora o desempenho– Reduz o tempo de desenvolvimento
• Preserva formatos randômicos– Mascara vários tipos de colunas
Sugestões ao definir critérios de Mascaramento
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal
Benchmarks de utilização em ClientesCustomer Data Result Application Hardware
US County 20 Million rows 2 hrs to mask In-Database PeopleSoft Financials IBM P570 (P6/11 core)
Media 35 Million rows 4 hrs to mask In-Database PeopleSoft HRMS 8 core , 64 GB, x86_64
Financial 2 TB Database 2 hrs to mask In-Database Custom Exadata X4-2
Logistics 30 Million rows 45 min to mask In-Database2 hrs to mask In-Export
Custom Exadata X4-2
Internal Customer
1 TB 1.8 hrs to generate 200GB of subset
Custom Exadata X2-2
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal
Benchmarks por Formato de Mascaramento
Masking Format Masking Time
Random Number 28 sec
Table Column 37 sec
Random Digits 40 sec
User Defined Function 41 sec
Random Strings 2min 19sec
Encrypt 5min 53sec
Exadata X4-2, 1 Million Rows
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Data Subsetting• O que é?
–Um subconjunto de dados de produção relacionalmente intacto para finalidade de testes e desenvolvimento
• Por quê?–Reduzir a necessidade de storage para
múltiplas cópias de ambientes não-produtivos
–Permite desenvolvedores executarem testes com dados realistas (e, opcionalmente, mascarados)
Application metadataApplication data
Production
Test
Application dataApplication metadata
Subset criteria:REGION = ‘NORTH AMERICA’AND FISCAL_YEAR = 2009
* Incluso no licenciamento do Oracle Data Masking
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 43
Objetivo ou condições baseadas em Subsetting
100%25%
10%
1024 GB 256 GB 102 GB
100M Rows20M Rows
2M Rows
Linhas de subset do departamento 10
Table Rule
Employee ID Department ID Salary
Employees
245 10879 10
8475691234
Tamanho da Base de Dados Tamanho da Tabela
Baseado em condições
Employee IDDepartment IDSalaryEmployees
34566847566987491234
12125102451135210879
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
• Definir quais tabelas, tipos ou optar por todas as tabelas da Aplicação
• Opção “Table rules”– Fornecer subsetting para critérios
flexiveis
• Opção “Column Rules”– Executar mascaramento rápido para
algumas colunas
Sugestões ao definir critérios de Subsetting
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Conclusões
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Em resumo:
Aplicações
Monitoramento e bloqueio de SQL
Banco Encriptado
Mascaramento
Autorização multi-fatorial
Atividade DBA não autorizada
Varredura de Compliance Varredura de
VulnerabilidadesDescoberta de Dados
Auditoria de Atividades
Automação de Patches
Auditoria
Autorização
Autenticação
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |