oracle database security

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Database Security com Oracle EnterpriseMaximum Security Architecture

Daniela PetruzalekSales ConsultantIndirect SalesJunho, 2015


Safe Harbor StatementThe following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.


Agenda

Introdução

Requisitos de Software

Portfólio de Produtos

Conclusões

1

2

3

4


IntroduçãoConceitos Básicos de Segurança da Informação


Política de Segurança• A security policy is a formal statement of the rules by which people who

are given access to an organization's technology and information assets must abide.

• The main purpose of a security policy is to inform users, staff and managers of their obligatory requirements for protecting technology and information assets. The policy should specify the mechanisms through which these requirements can be met.

Fonte: RFC 2196 – Site Security Handbook


Política de Segurança• What Makes a Good Security Policy?

– The characteristics of a good security policy are: (1) It must be implementable through system administration procedures, publishing of acceptable use guidelines, or other appropriate methods. (2) It must be enforcible with security tools, where appropriate, and with sanctions, where actual prevention is not technically feasible. (3) It must clearly define the areas of responsibility for the users, administrators, and management.

Fonte: RFC 2196 – Site Security Handbook


Vale a pena investir em ferramentas de segurança para...?

Obs.: Muito cuidado ao digitar o login e a senha Após cinco tentativas erradas, o sistema bloqueia o acesso


Padrões Internacionais de Segurança

• The Sarbanes–Oxley Act of 2002, more commonly called Sarbanes–Oxley, Sarbox or SOX, is a United States federal law that set new or enhanced standards for all U.S. public company boards, management and public accounting firms.– Empresas brasileiras negociadas nos EUA também precisam aderir a lei (ADRs, BDRs, etc)

• Payment Card Industry (PCI) Security Standards:– PCI DSS: Padrão de Segurança de Dados– PA-DSS: Padrão de Segurança de Dados de Aplicativo de Pagamento– PED: Dispositivo de Entrada de Pin


Padrões Internacionais de Segurança

• ISO/IEC 27001:2005 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. Mais conhecido como ISO 27001

• Princípios básicos de segurança:– Confidencialidade, Integridade, Disponibilidade*– Autenticidade, Irretratabilidade ou não-repúdio


Requisitos de SoftwareSegurança para Banco de Dados


Monitorar Atividades

Firewall paraBanco de Dados

Auditoria e Relatórios

Detecção

Mascaramento

Controle de Privilégios de Usuários

Criptografia

Prevenção Administração

Configuração e Análise de Vulnerabilidades

Automação de Patches

Dados confidenciais e Database Discovery (BI)

ORACLE DATABASE SECURITYMáxima Segurança para Infraestrutura Crítica de Dados


Controle da TI e Segurança do Banco de Dados

Aplicações

Administradores

Usuário Final

Middleware Banco de Dados

Informações de processos de

negócio

Histórico de processos de negócio

Desenvolvedores

IT application control IT general control

Risco

É necessário minimizar os riscos associados com o acesso direto ao banco de dados. （ Controle Preventivo ）

É necessário gravar as operações realizadas, possibilitando a descoberta e resposta a fraudes（ Controle Reativo ）


Recursos de Banco de Dados necessários

Mecanismo para auditar o acesso ao banco de dados(Controle Reativo)

Dados necessários para auditoria são propriamente coletados

Log de auditoria está protegido contra destruição ou falsificação

Utilizar os dados efetivamente para relatórios e análise

Coleta precisa (fina) de dados de auditoria

Integridade do Log de Auditoria

Repositório de Auditoria centralizado

Características a Considerar Função Necessária

Mecanismo para ocultar informações sensíveis

Usuários não autorizados não devem ter acesso a dados

sensíveis

Criptografia/mascaramento de dados sensíveis (incluindo

informações pessoais)

Mecanismo para limitar o acesso ao banco de dados

(Controle Preventivo)

Controle de acesso baseado em need to know

Controle de acesso de usuários privilegiados

Execução de controle de acesso pelo principio do menor privilégio

Separação de privilégios dos DBAs


Recursos de Banco de Dados necessários

Mecanismo para auditar o acesso ao banco de dados(Controle Reativo)

Fine Grained Auditing, DBA Audit, Redo Log (Log Miner)

Oracle Audit Vault

Coleta precisa (fina) de dados de auditoria

Integridade do Log de Auditoria

Repositório de Auditoria centralizado

Características a Considerar Função Necessária

Mecanismo para ocultar informações sensíveis

Oracle Advanced SecurityOracle Data Masking

Criptografia/mascaramento de dados sensíveis (incluindo

informações pessoais)

Mecanismo para limitar o acesso ao banco de dados

(Controle Preventivo)

Privilégios, Virtual Private Database (VPD), Label Security

Oracle Database Vault

Execução de controle de acesso pelo principio do menor privilégio

Separação de privilégios dos DBAs

Recursos e Produtos


Portfólio de ProdutosDatabase Security


Oracle Audit Vault

• Consolida os dados de auditoria em um repositório central seguro• Detecta e alerta atividades suspeitas, incluindo usuários privilegiados• Relatórios prontos para regulamentações como SOX, PCI, e outras

– Ex., auditoria de usuários privilegiados, permissões, tentativas de logins, mudanças de dados regulados


What Do You Need To Audit?

Database Audit Requirements SOX PCI DSS HIPAA PII FISMA GLBA

Accounts, Roles & PermissionsDo you have visibility of GRANT and REVOKE activities?

● ● ● ● ● ●

Failed LoginsDo you have visibility of failed logins and other exception activities?

● ● ● ● ● ●

Privileged User Activity Do you have visibility of users activities? ● ● ● ● ● ●

Access to Sensitive DataCan you have visibility into what information is being queried (SELECTs)?

● ● ● ● ●

Schema ChangesAre you aware of CREATE, DROP and ALTER Commands that are occurring on identified Tables / Columns?

● ● ● ● ●

Data ChangesDo you have visibility into Insert, Update, Merge, Delete commands?

● ●


Oracle Audit Vault - Heterogeneous Database Support

• Oracle Database 9i, 10g, 11g – EE, SE1 and SE• Microsoft SQL Server 2000 – 2008 Server side trace, Windows event audit,

C2• IBM DB2 8.2 - 9.7 – Trace file extracted from binary audit files• Sybase ASE 12.5.4. - 15.7 – Audit tables


• Monitora atividade do banco e previne ataques e SQL Injections• Políticas de segurança baseadas em white-list, black-list, e exception-list utilizando

análise gramática de alta precisão para SQL• Bloqueio e monitoramento inline (serial) ou out-of-band (paralelo)

Oracle Database Firewall


Exemplos de SQL InjectionSELECT * from stock where catalog-no = 'PHE8131' and location = 1

SELECT * from stock where catalog-no = ''--' and location = 1

SELECT * from stock where catalog-no = '' having 1=1 -- ' and location = 1

SELECT * from stock where catalog-no = '' order by 4--' and location = 1

SELECT * from stock where catalog-no = '' union select cardNo,customerId,0 from Orders where name = 'John Smith'--' and location = 1

SELECT * from stock where catalog-no = '' union select min(cardNo),1,0 from Orders where cardNo > '0'--' and location = 1


Audit Vault and Database Firewall


Oracle Database Lifecycle Management

• Descobre e classifica bancos em grupos de políticas de segurança• Varre os bancos para mais de 400 best practices e padrões da indústria, políticas

personalizadas, e assegura o compliance com políticas de segurança• Detecta e previne mudanças de configuração de banco não autorizadas• Patching automático e provisionamento seguro


Oracle Advanced Security - Transparent Data EncryptionDisk

Backups

Exports

Off-SiteFacilities

• Protege contra acessos de Sistema Operacional ou Rede• Encriptação eficiente para todos os dados• Gerenciamento de chaves embutido• Não requer nenhuma mudança nas aplicações

AplicaçõesDados Criptografados

Gerenciamento de Chaves

Dados confidenciais 5105-1051-0510-5100 5454-5454-5454-5454 5500-0000-0000-0004

Criptografia de Dados transparente

Revisão de Dados

5105-1051-0510-5100

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 25

Revisão e Exibição de Dados Sensíveis

• Revisão em tempo real de dados sensíveis com base no contexto da sessão do BD

• Revisão e definição da biblioteca de políticas “point-and-click”

• Execução coerente, e política aplicada a Dados

• Transparente para Aplicativos, Usuários e Atividades Operacionais

Oracle Advanced SecurityNúmeros de Cartões de

Crédito4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827

Redaction Policy

xxxx-xxxx-xxxx-4368 4451-2172-9841-4368

Billing DepartmentAplicação Call Center

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 26

Data Redaction• Transformações suportadas

987-65-4328 XXX-XX-4328

Stored Data Redacted Display

10/09/1992

[email protected] [hidden]@example.com

5105105105105100 5500000000000004

Full

Partial

RegExp

Random

01/01/2001

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 27

Oracle Advanced Security

• Transparently encrypts data-at-rest in Oracle databases and securely manages the encryption keys

• Protects against theft or loss of disks and backups• Prevents OS users from inspecting the tablespace files

Transparent Data Encryption (TDE)

• On-the-fly redaction to limit exposure of sensitive data in applications• Declarative policies centrally managed in the database• Business need to know decisions based on application and database

contexts• Multiple redaction transformations to choose from

Data Redaction


• Classifica usuários e dados baseados na necessidade do negócio• Aplica controle de acesso a nível de registro• Classificação de usuários através do Oracle IDM Suite

Label Security

Confidencial Sensivel

Transactions

Report Data

Reports

Sensivel

Confidencial

Pública


Oracle Label Security• Controls on Sensitive Database Operations


Oracle Label Security

• Controla operações sensíveis no banco de dados baseadas no nível de acesso de segurança• Database Vault Command Controls verifica o nível de acesso de segurança• Usuários com nível baixo ou nenhum de segurança não estarão habilitados a executar

determinados comandos

Sensitive ALTER TABLESPACE

ConfidentialALTER SYSTEM

CREATE DATABASE LINK Confidential


Oracle Label Security• Controls on Sensitive Database Operations


Procurement

HR

Finance

Oracle Database Vault

• Limita os poderes padrão de usuários privilegiados• Garante a aplicação de regras no banco de dados• Violações são auditadas e enviadas para o Audit Vault• Não é necessário mudanças na aplicação

Application

DBA

select * from finance.customers


•Mascara dados sensíveis para ambientes de desenvolvimento•Biblioteca centralizada de políticas e templates extensíveis para automação•Mascaramento sofisticado: condicional, composto, deterministico•Mascaramento integrado com clonagem•Novo no EM 12c: Modelos de dados de aplicações•Novo no EM 12c: Descobrimento de dados sensíveis

Oracle Data Masking


Oracle Databases

Enterprise Manager Cloud Control

with Data M

asking

Non-Oracle DatabasesProduction

(Oracle)

Staging(Oracle)

Test(Oracle)

Production(non-Oracle)

Staging(Oracle)

Test(non-Oracle)

Enterprise Manager Cloud Control

with Data M

asking

Heterogeneous Data Masking

Database Gateway

Database Gateway

manage

manage

manage

manage

monitor §

monitor §

§ Available for IBM DB2, Microsoft SQLServer, Sybase


Exemplos de Mascaramento de dados

Country IdentifierCA 226-956-324US 610-02-9191 UK JX 75 67 44 C

Country IdentifierCA 368-132-576US 829-37-4729 UK AI 80 56 31 D

Emp ID First Name324 Albert986 Hussain

Emp ID First Name324 Charlie986 Murali

Emp ID First Name324 Charlie986 Murali

FIN

Health Records

Health Records

Company Closing PriceIBFG $36.92XKJU ¥789.8

Company Closing PriceIBFG $89.57XKJU ¥341.9

Gerar valores aleatórios preservando o formato

e outros…

Gerar saída para determinados camposHR

Mascaramento com Base em condições

BLOB31789734566509876745

Search : [0-9]{10}Replace : *

BLOB********************

Mascara arquivos do SO armazenado como BLOBs

Registros aleatórios


• Qualquer atualização de estatísticas do DB destino, ou verificação “scan empty rows” durante processo

• Grupo de colunas relacionadas:– Melhora o desempenho– Reduz o tempo de desenvolvimento

• Preserva formatos randômicos– Mascara vários tipos de colunas

Sugestões ao definir critérios de Mascaramento

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal

Benchmarks de utilização em ClientesCustomer Data Result Application Hardware

US County 20 Million rows 2 hrs to mask In-Database PeopleSoft Financials IBM P570 (P6/11 core)

Media 35 Million rows 4 hrs to mask In-Database PeopleSoft HRMS 8 core , 64 GB, x86_64

Financial 2 TB Database 2 hrs to mask In-Database Custom Exadata X4-2

Logistics 30 Million rows 45 min to mask In-Database2 hrs to mask In-Export

Custom Exadata X4-2

Internal Customer

1 TB 1.8 hrs to generate 200GB of subset

Custom Exadata X2-2

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal

Benchmarks por Formato de Mascaramento

Masking Format Masking Time

Random Number 28 sec

Table Column 37 sec

Random Digits 40 sec

User Defined Function 41 sec

Random Strings 2min 19sec

Encrypt 5min 53sec

Exadata X4-2, 1 Million Rows


Data Subsetting• O que é?

–Um subconjunto de dados de produção relacionalmente intacto para finalidade de testes e desenvolvimento

• Por quê?–Reduzir a necessidade de storage para

múltiplas cópias de ambientes não-produtivos

–Permite desenvolvedores executarem testes com dados realistas (e, opcionalmente, mascarados)

Application metadataApplication data

Production

Test

Application dataApplication metadata

Subset criteria:REGION = ‘NORTH AMERICA’AND FISCAL_YEAR = 2009

* Incluso no licenciamento do Oracle Data Masking


Objetivo ou condições baseadas em Subsetting

100%25%

10%

1024 GB 256 GB 102 GB

100M Rows20M Rows

2M Rows

Linhas de subset do departamento 10

Table Rule

Employee ID Department ID Salary

Employees

245 10879 10

8475691234

Tamanho da Base de Dados Tamanho da Tabela

Baseado em condições

Employee IDDepartment IDSalaryEmployees

34566847566987491234

12125102451135210879


• Definir quais tabelas, tipos ou optar por todas as tabelas da Aplicação

• Opção “Table rules”– Fornecer subsetting para critérios

flexiveis

• Opção “Column Rules”– Executar mascaramento rápido para

algumas colunas

Sugestões ao definir critérios de Subsetting


Conclusões


Em resumo:

Aplicações

Monitoramento e bloqueio de SQL

Banco Encriptado

Mascaramento

Autorização multi-fatorial

Atividade DBA não autorizada

Varredura de Compliance Varredura de

VulnerabilidadesDescoberta de Dados

Auditoria de Atividades

Automação de Patches

Auditoria

Autorização

Autenticação

oracle database security

Technology