1

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
The following is intended to outline our general product direction. It
is intended for information purposes only, and may ...
Innovación en Seguridad
de Base de Datos
Juan Carlos Díaz
Principal Sales Consultant
Agenda
 Introducción
 Problemáticas típicas
– Solución de Oracle

 Conclusiones

4

Copyright © 2012, Oracle and/or its...
Fugas de datos de servidores de BD
Cerca de 1B de registros comprometidos en los últimos 6 años

2/3 de la información sen...
¿Cómo es la seguridad de sus BB.DD.?
Resultados 2012 IOUG Enterprise Data Security Survey
68%
44%

No puede impedir el acc...
IT Security no prioriza la seguridad en BBDD
Solo el 20% tiene un plan

―Forrester estima que,
aunque el 70% de las empres...
Agenda
 Introducción
 Problemáticas típicas
– Solución de Oracle

 Conclusiones

8

Copyright © 2012, Oracle and/or its...
Soluciones de seguridad BB.DD. Oracle
Defensa en profundidad
PREVENTIVO

ADMINISTRACIÓN

Cifrado

Monitorización de activi...
Soluciones de seguridad BB.DD. Oracle
Detección y bloqueo de amenazas, alerta, auditoría e informes
PREVENTIVO

ADMINISTRA...
Problemáticas típicas
Usuarios privilegiados
Producción

DBA
SELECT * FROM clientes
WHERE name LIKE ‘%’;
ALTER TABLE clien...
Oracle Database Vault
Control de acceso y seguridad en base de datos
Responsable
de seguridad

Aplicación

Compras
RR.HH.
...
Oracle Database Vault
 Previene acceso a los datos por parte

de los DBAs
 Políticas predefinidas que incluyen
Realms y ...
Análisis de privilegios
Minimizar los privilegios de usuarios

• Permite saber qué privilegios y roles han sido usados rea...
Problemáticas típicas
Cifrado y redacción de datos
Producción

DBA

18

Copyright © 2012, Oracle and/or its affiliates. Al...
Oracle Advanced Security
Proteger datos sensibles de usuarios no autorizados
INSERT
Nombre: Juan Nadie
DNI: 12345678A

Ora...
Oracle Advanced Security
Transparent Data Encryption
 Cifra los datos de las aplicaciones
– Cifrado de columnas
– Cifrado...
Oracle Advanced Security
Data Redaction

 Censura de datos on-line basada en usuario, IP, contexto de aplicación

u otros...
Oracle Data Redaction
―Censura‖ de datos sensibles de aplicaciones

 Sólo se altera la visualización

22

Copyright © 201...
Oracle Data Redaction
Dato
Almacenado

Resultado Censurado

Completo

Parcial

RegExp

Aleatorio

• Incluye librería de fo...
Oracle Data Redaction

―Censura‖ de datos sensibles de aplicaciones

24

Copyright © 2012, Oracle and/or its affiliates. A...
Problemáticas típicas
Clonado de datos a entornos no productivos
Producción

DBA

Desarrollo = Producción
Desarrollo

26

...
Datos seguros en entornos de desarrollo
Pasos para obtener un subconjunto de datos seguro
Identificar datos
sensibles

1
I...
Oracle Data Discovery and Modeling (*)
Descubrimiento de columnas sensibles

 Patrones de búsquedas predefinidos (basados...
Oracle Data Subsetting (*)
Extracción de subconjuntos de datos
Fecha:
(año 2011)

Dimensión
(Región: Asia)

 Selección de...
Oracle Data Masking
Enmascaramiento irreversible de datos en entornos no productivos
Producción
NOMBRE
ANA PÉREZ

30

1234...
Oracle Data Masking
Funcionalidades básicas
 Librerías de máscaras de formatos
 Mantenimiento automático de la integrida...
Oracle Data Masking
Técnicas de enmascaramiento
 Máscaras compuestas
– Conjunto de columnas que deben ser

enmascaradas c...
Ciclo completo de enmascaramiento de datos

Crear Modelo de datos
de la aplicación
Recolección
de Metadatos

Crear definic...
Enmascaramiento y Subsetting integrados
Antes
Producción

Ahora
Test

Producción

Test
Masked Data
Pump File

010010110010...
Problemáticas típicas
Producción

DBA
SELECT nombre, nif, …
FROM clientes
WHERE id = ‗‘?
OR 1=1
Auditor

Desarrollo = Prod...
Oracle Audit Vault y Database Firewall
Control preventivo y detección para BBDD Oracle y no Oracle
Database Firewall

Usua...
Oracle Audit Vault and Database Firewall
Primera línea de defensa
Permitir
Log
Alertas
Sustitución
Bloqueo

Applications

...
Oracle Audit Vault and Database Firewall
Protección frente a SQL Injection. Modelo de seguridad positivo
SELECT * from sto...
Oracle Audit Vault and Database Firewall
Restricción de actividad. Modelo de seguridad negativo
SELECT * FROM
v$session
DB...
Oracle Audit Vault and Database Firewall
Sustitución de sentencias
Log

Applications

SELECT * FROM accounts
Allow
se camb...
Oracle Audit Vault y Database Firewall
Gestión centralizada de políticas de auditoría
 Definición de políticas
– Definici...
Auditoría empresarial extendida
 BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE
 Otras fuentes de auditoría
– Sistemas ...
Arquitecturas de depliegue flexibles
In-Line Blocking
and Monitoring
Remote Monitoring
Out-of-Band
Monitoring

Application...
Conclusiones
Defensa en profundidad
 Completa – único proveedor que cubre todos sus requerimientos
 Transparente – no re...
Oracle líder en Seguridad
en BBDD

Oracle Audit Vault
Oracle Database Vault
DB Security Evaluation #19
Transparent Data En...
Oracle líder en seguridad en BBDD
… sigue definiendo los estándares exigibles a BBDD
Runtime Privilege Analysis
Real Appli...
Conclusiones
Producción

DBA

Auditor

Desarrollo

47

Copyright © 2012, Oracle and/or its affiliates. All rights reserved...
48

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
www.oracle.com/database/security

www.facebook.com/OracleDatabase
www.twitter.com/OracleDatabase

blogs.oracle.com/OracleD...
50

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
Upcoming SlideShare
Loading in...5
×

02 database security

504

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
504
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
28
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • If you were not already aware, most breaches come directly from databases. In fact, over 1 Billion or 92% of the records exposed in data breaches over the past 6 years came from compromised database servers. This is according to the Verizon Data Breach Investigations Reports. Now, compare that 92% to the mere 1% of records that are breached as a result of compromised desktop computers. As indicated in IDC’s Effective Data Leak Prevention Programs whitepaper, we are seeing data growth rates doubling every two years. This equates to two-thirds of sensitive and regulated information now sitting in our databases. That’s a lot of sensitive data and a prime target for cybercriminals. They are targeting the greatest source of valuable information and this is obviously in our databases. If we dig in a little deeper here as to how successful attacks occur, nearly 50% of data breaches are caused by insiders, whether on purpose, accidentally, or because their credentials were stolen and used to penetrate systems to get to that data. Additionally, nearly 90% of records were stolen using SQL injection attacks. SQL injection is a technique for controlling responses from the database server through the web application. The reason they are so successful is that an organization can’t easily fix this issue by simply applying a patch, tweaking a setting or changing a single page. SQL injection vulnerabilities are endemic and in order to address them, you have to overhaul all your code.And then finally, 86% of all hacking was done using stolen credentials in some form or another.It’s a perfect storm: data doubling every couple of years, two-thirds of that data is sensitive and regulated and there are multiple methods by which this data is attacked. Let’s look at how are organizations are measuring up in the way of securing this information.
  • Before we head into the specific best practices we want to look at how many organizations are addressing Database Security as part of their overall IT security plans. Tom we discussed databases as the primary place that houses sensitive and regulated data. Are organizations making the database part of their IT security strategy? Quite frankly, no. According to Forrester 70% of enterprises have an information security plan in place, however, only 20% have a database security plan in place. This should be at the core of any IS team.IT Security has been focused on the perimeter that includes endpoint security, vulnerability management, network security and email protection for example. Although these technologies have their role to play in the IT security landscape, they do not offer the protection required at the database hosts themselves. As the Verizon Data Breach Investigations study showed, 92% of the records breached came directly from databases. The amount and quality of data in databases make the Database the obvious target for attackers, so organizations must implement database security best practices in order to protect data at it’s source, their databases.
  • Before: Production data had to be subsetted first and sensitive data then masked separatelyNow: Production data is subsetted and sensitive data masked in one step using On-the-Fly MaskingHow: As subsetted data is read from Production, Data Masking masks the sensitive data before it gets written to Data Pump file
  • Key point to communicate:This new product provides customers the operational flexibility to deploy the monitoring they need based on the sensitivity and security requirements of their databases.Key features includeMonitor and control database activity on the network. Firewall can allow, log, alert, substitute and block on SQL statements on the networkFirewall uses a SQL grammar analysis engine for high performance and accuracy, an approach that is superior to 1st generation database firewalls that relied on regular expressionsPrevent SQL injections, unauthorized database access, misuse of database privilegeCapture and log database interactions on the network for forensic analysis and compliance reportingConsolidate database audit data from Oracle and non-Oracle into secure centralized repositoryConsolidate audit data from MSFT Active directory and SolarisConsolidate application specific audit Detect and alert on suspicious activities, including privileged userOut-of-the box compliance reports for SOX, PCI, and other regulationsStreamline audits: report generation, notification, attestation, archiving
  • High performanceDecision time is not influenced by the number of rules in the policyMulti-device / multi-process / multi-core scalabilityMinimal maintenance impactDeployed independently of secured databases and their hosts
  • Join The Community
  • Consolida
  • Consolida
  • New Policy and Condition Based Syntax
  • Oracle Database AuditingPerformance 􀂃 Two ModesOptimizations– Queued Mode - Default mode􀂃 Audit records stored in SGA and flushed at 3 second intervals– Immediate Mode􀂃 Audit records written immediately for high assurance that audit data isrecorded, even in the event the database goes down􀂃 Integrated and efficient audit data management– Integrated with DBMS_AUDIT_MGMT package
  • Para aplicaciones nuevas. Sesiones más ligeras para controlar, ya que lee de la base de datos
  • 02 database security

    1. 1. 1 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    2. 2. The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle‘s products remains at the sole discretion of Oracle. 2 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    3. 3. Innovación en Seguridad de Base de Datos Juan Carlos Díaz Principal Sales Consultant
    4. 4. Agenda  Introducción  Problemáticas típicas – Solución de Oracle  Conclusiones 4 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    5. 5. Fugas de datos de servidores de BD Cerca de 1B de registros comprometidos en los últimos 6 años 2/3 de la información sensible y regulada reside en bases de datos … y se dobla cada dos años 5 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 48% de fugas de origen interno 89% registros robados usando SQL Injection 86% Hacking usando credenciales robadas Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by Protecting Data at the Source — Your Databases", August 2011
    6. 6. ¿Cómo es la seguridad de sus BB.DD.? Resultados 2012 IOUG Enterprise Data Security Survey 68% 44% No puede impedir el acceso directo a la B.D. (application bypass) 32% Puede evitar que los DBAs accedan a datos o procedimientos 65% No disponen de medidas para prevenir ataques de SQL injection 61% No monitorizan la escritura de datos sensibles de aplicaciones 55% 6 Datos en ficheros de BD se pueden leer a nivel de S.O. Copian datos de producción a entornos de desarrollo y test Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    7. 7. IT Security no prioriza la seguridad en BBDD Solo el 20% tiene un plan ―Forrester estima que, aunque el 70% de las empresas tiene un plan de seguridad de la información, sólo el 20% de las empresas tiene un plan de seguridad de base de datos.‖ Endpoint Security Authentication and User Security Email Security 7 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Vulnerability Management Database Security Network Security
    8. 8. Agenda  Introducción  Problemáticas típicas – Solución de Oracle  Conclusiones 8 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    9. 9. Soluciones de seguridad BB.DD. Oracle Defensa en profundidad PREVENTIVO ADMINISTRACIÓN Cifrado Monitorización de actividad Análisis de privilegios Enmascaramiento Firewall de BB.DD. Descubrimiento de datos sensibles Control sobre usuarios privilegiados 9 MONITORIZACIÓN Auditoría e Informes Gestión de configuraciones Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    10. 10. Soluciones de seguridad BB.DD. Oracle Detección y bloqueo de amenazas, alerta, auditoría e informes PREVENTIVO ADMINISTRACIÓN Cifrado Monitorización de actividad Análisis de privilegios Enmascaramiento Firewall de BB.DD. Descubrimiento de datos sensibles Control sobre usuarios privilegiados 10 MONITORIZACIÓN Auditoría e Informes Gestión de configuraciones Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    11. 11. Problemáticas típicas Usuarios privilegiados Producción DBA SELECT * FROM clientes WHERE name LIKE ‘%’; ALTER TABLE clientes MODIFY name VARCHAR(60); 11 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    12. 12. Oracle Database Vault Control de acceso y seguridad en base de datos Responsable de seguridad Aplicación Compras RR.HH. Financiero Responsable de aplicación select * from finance.customers • Segregación de funciones y cotos de seguridad • Asegura quién, dónde, cuándo y cómo accede a la base de datos • Asegura los mínimos privilegios a los usuarios privilegiados • Evita el ―puenteo‖ de las aplicaciones y asegura el gobierno de los datos • Permite consolidar de forma segura los datos de aplicaciones multicompañía 12 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. DBA
    13. 13. Oracle Database Vault  Previene acceso a los datos por parte de los DBAs  Políticas predefinidas que incluyen Realms y Command rules  Complementa la seguridad de la aplicación  Transparente para aplicaciones existentes  Personalizable Oracle E-Business Suite 11i / R12 PeopleSoft Applications Siebel I-flex JD Edwards EnterpriseOne SAP Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP 13 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    14. 14. Análisis de privilegios Minimizar los privilegios de usuarios • Permite saber qué privilegios y roles han sido usados realmente • Eliminar privilegios innecesarios reduce el riesgo 15 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    15. 15. Problemáticas típicas Cifrado y redacción de datos Producción DBA 18 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    16. 16. Oracle Advanced Security Proteger datos sensibles de usuarios no autorizados INSERT Nombre: Juan Nadie DNI: 12345678A Oracle Advanced Security SELECT Reescritura del datoNombre: Juan Nadie DNI: ******** 12345678A Los datos se descifran de forma transparente y se devuelven en claro 19 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Los datos escritos a disco son cifrados automáticamente Oracle Advanced Security Cifrado de los datos en disco
    17. 17. Oracle Advanced Security Transparent Data Encryption  Cifra los datos de las aplicaciones – Cifrado de columnas – Cifrado de tablespaces y sus ficheros Capa SQL Buffer Cache ―SSN = 987-65-..‖ – 3DES168, AES128, AES192, AES256  Altamente eficiente – Alto rendimiento (overhead ~ 5%) – Integrado con Oracle Advanced Compression  No se necesitan cambios en las aplicaciones – Cualquier tipo de dato – Se permiten índices sobre datos cifrados 20 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. data blocks ―*M$b@^s%&d7‖ undo blocks redo logs temp blocks flashback logs
    18. 18. Oracle Advanced Security Data Redaction  Censura de datos on-line basada en usuario, IP, contexto de aplicación u otros factores  Transparente. Impacto mínimo en cargas de producción 21 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    19. 19. Oracle Data Redaction ―Censura‖ de datos sensibles de aplicaciones  Sólo se altera la visualización 22 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    20. 20. Oracle Data Redaction Dato Almacenado Resultado Censurado Completo Parcial RegExp Aleatorio • Incluye librería de formatos para datos comunes de PCI y PII • Gestionable con Enterprise Manager ó API de línea de comando 23 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    21. 21. Oracle Data Redaction ―Censura‖ de datos sensibles de aplicaciones 24 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    22. 22. Problemáticas típicas Clonado de datos a entornos no productivos Producción DBA Desarrollo = Producción Desarrollo 26 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Desarrollador
    23. 23. Datos seguros en entornos de desarrollo Pasos para obtener un subconjunto de datos seguro Identificar datos sensibles 1 Identificar esquemas, tablas y columnas que contengan datos sensibles 27 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Enmascarar datos en desarrollo Aprovisionar entornos de desarrollo con una fracción de los datos de producción 2 3 Extraer datos de producción Reemplazar datos reales de producción por datos ficticios válidos para pruebas de desarrollo, rendimiento, …
    24. 24. Oracle Data Discovery and Modeling (*) Descubrimiento de columnas sensibles  Patrones de búsquedas predefinidos (basados en esquemas y datos)  Búsquedas en toda la aplicación de coincidencia con patrones  Clasificación basada en coincidencia con los patrones 28 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. (*) Componente de Test Data Management Pack
    25. 25. Oracle Data Subsetting (*) Extracción de subconjuntos de datos Fecha: (año 2011) Dimensión (Región: Asia)  Selección de tablas – Se seleccionan automáticamente las tablas necesarias para se incluidas en el subconjunto  Criterios de extracción – Se recorre la jerarquía relacional para identificar las filas a extraer  Parámetros de subconjunto Espacio (tamaño:10%) 29 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. – Analiza las estadísticas de las tablas para estimar el tamaño de los datos generados (*) Componente de Test Data Management Pack
    26. 26. Oracle Data Masking Enmascaramiento irreversible de datos en entornos no productivos Producción NOMBRE ANA PÉREZ 30 12345678-A PEDRO SÁNCHEZ • • • • DNI 48765432-Z Desarrollo NOMBRE DNI 30,000 ZFDGFAKJIJ JUAN CHACÓN 81331100-J 25,000 25,000 ASDTYHJUK MARTA RODRÍGUEZ 87766348-S 30,000 SALARIO SALARIO Transfiere datos de aplicación de forma segura a entornos no productivos Evita que desarrolladores de aplicaciones accedan a datos reales de producción Librerías y políticas extensibles para la automatización del enmascaramiento de datos Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando correctamente Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    27. 27. Oracle Data Masking Funcionalidades básicas  Librerías de máscaras de formatos  Mantenimiento automático de la integridad referencial cuando se enmascaran Primary keys Enmascarar – Implícita – definidas en BB.DD. – Explicita – aseguradas por aplicación  Previsualización de datos antes de enmascarar  Alto rendimiento  Define una vez – ejecuta varias 31 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. BB.DD. producción BB.DD. clonada
    28. 28. Oracle Data Masking Técnicas de enmascaramiento  Máscaras compuestas – Conjunto de columnas que deben ser enmascaradas conjuntamente p.ej. Dirección, Ciudad, Provincia, CP, …  Máscaras basadas en condiciones – Formatos de máscaras específicas para cada condición, p.ej. documentos de identidad de países diferentes  Enmascaramiento determinístico – Enmascaramiento consistente, p.ej. Pedro siempre se cambia por Alberto en múltiples BB.DD. 32 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    29. 29. Ciclo completo de enmascaramiento de datos Crear Modelo de datos de la aplicación Recolección de Metadatos Crear definición de Enmascaramiento Crear definición de Subsetting Ejecutar Enmascaramiento Actualización de datos Recoger datos a incluir 33 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Inserción/borrado Ejecutar de datos Subsetting
    30. 30. Enmascaramiento y Subsetting integrados Antes Producción Ahora Test Producción Test Masked Data Pump File 0100101100101010010010010010010010010010010010001 0010101001001001001110010010010010010010000100100 1011100100101010010010101010011010100101010010 Subconjunto de datos Clonar y enmascarar Los datos de producción tenían que se extraídos primero y enmascarados después en pasos separados. 34 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 0100101100101010010010010010010010010010010010001 0010101001001001001110010010010010010010000100100 1011100100101010010010101010011010100101010010 Subconjunto y enmascarado en un solo paso Los datos de producción son extraídos (un subconjunto) y enmascarados en un solo paso utilizando ―At-source Masking‖
    31. 31. Problemáticas típicas Producción DBA SELECT nombre, nif, … FROM clientes WHERE id = ‗‘? OR 1=1 Auditor Desarrollo = Producción 35 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Desarrollador
    32. 32. Oracle Audit Vault y Database Firewall Control preventivo y detección para BBDD Oracle y no Oracle Database Firewall Usuarios Permitir Log Alertar Sustituir Aplicaciones Bloquear Eventos Firewall Auditores Informes Alertas Responsible Seguridad Audit Data ! Políticas Audit Vault 36 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. OS, Directory Services, File system & Custom Audit Logs
    33. 33. Oracle Audit Vault and Database Firewall Primera línea de defensa Permitir Log Alertas Sustitución Bloqueo Applications Alertas Informes OOTB Informes custom Políticas • Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections, escalado de roles o privilegios, accesos ilegales a datos sensibles, etc. • Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos • Políticas flexibles basadas en listas blancas y negras • Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue • Informes preconstruidos y a medida para PCI, SOX y otras regulaciones 37 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    34. 34. Oracle Audit Vault and Database Firewall Protección frente a SQL Injection. Modelo de seguridad positivo SELECT * from stock where catalog-no='PHE8131' Applications SELECT * from stock where catalog-no=‘ ' union select cardNo,0,0 from Orders --’ White List Allow Block Databases • El modo ―Allowed‖ puede ser definido para cualquier usuario o aplicación • Las ―listas blancas‖ pueden tener en cuenta factores predefinidos como hora, día de la semana, red, aplicación, etc. • Automáticamente se pueden generar ―listas blancas‖ para cualquier aplicación • Las transacciones que no cumplen las políticas son instantáneamente rechazadas • La BB.DD. sólo procesará datos tal y como se esperan 38 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    35. 35. Oracle Audit Vault and Database Firewall Restricción de actividad. Modelo de seguridad negativo SELECT * FROM v$session DBA activity via Applications DBA activity via Approved Workstation Black List Block SELECT * FROM v$session Allow + Log • Para comandos SQL, usuarios o accesos a esquemas específicos • Previene escalado de roles o privilegios y acceso no autorizado a datos sensibles • Las ―listas negras‖ pueden tener en cuenta factores predefinidos como hora, día de la semana, red, aplicación, etc. • Bloquea selectivamente cualquier parte de una transacción según las necesidades de seguridad y del negocio 39 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    36. 36. Oracle Audit Vault and Database Firewall Sustitución de sentencias Log Applications SELECT * FROM accounts Allow se cambia porAlert Substitute SELECT * FROM dual Block where 1=0 • Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño número de conjuntos de sentencias agrupadas por su significado (clusters). O • No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías ineficientes e inexactas. • Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log • Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos. 40 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    37. 37. Oracle Audit Vault y Database Firewall Gestión centralizada de políticas de auditoría  Definición de políticas – Definición, gestión centralizada, recolección de configuraciones de auditoría  Configuraciones de auditoría – Las configuraciones se pueden extraer de BB.DD. existentes con auditorías previamente configuradas – También se permiten configuraciones manuales  Aprovisionamiento de políticas – Las políticas se pueden aplicar centralizadamente desde la consola de AVDF  Mantenimiento de políticas – Compara las políticas aprobadas con la configuración actual Oracle AVDF Privilege User Audit Settings HR Database 41 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. LOPD Audit Settings Financial Database Privacy Audit Settings Customer Database
    38. 38. Auditoría empresarial extendida  BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE  Otras fuentes de auditoría – Sistemas Operativos: Microsoft Windows, Solaris – Servicios de Directorio: Active Directory – Sistemas de ficheros: Oracle ACFS  Plugins de recolección de auditoría para fuentes personalizadas – Fichero XML mapea elementos de auditoría personalizados a auditoría canónica – Recolecta y mapea datos de fichero de auditoría XML y tablas de base de datos 42 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    39. 39. Arquitecturas de depliegue flexibles In-Line Blocking and Monitoring Remote Monitoring Out-of-Band Monitoring Applications and Users HA Mode Audit Vault Standby Audit Vault Primary Soft appliance 43 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Audit Data Audit Agents
    40. 40. Conclusiones Defensa en profundidad  Completa – único proveedor que cubre todos sus requerimientos  Transparente – no requiere ningún cambio en las aplicaciones existentes  Fácil de desplegar – consolas que facilitan el despliegue en poco horas  Rentable – soluciones integradas que reducen el riesgo con un bajo TCO  Probado – #1 en BB.DD. con más de 30 años innovando en seguridad! Monitorización y bloqueo • Audit Vault & Database Firewall 44 Control de acceso • Database Vault Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Encriptación y enmascaramiento • Advanced Security • Data Masking Auditoría • Audit Vault & Database Firewall
    41. 41. Oracle líder en Seguridad en BBDD Oracle Audit Vault Oracle Database Vault DB Security Evaluation #19 Transparent Data Encryption 35 años de Innovación continua y EM Configuration Scanning certificaciones de seguridad Fine Grained Auditing (9i) Secure application roles Client Identifier / Identity propagation Oracle Label Security Proxy authentication Enterprise User Security Global roles Virtual Private Database (8i) Database Encryption API Strong authentication (PKI, Kerberos, RADIUS) Native Network Encryption (Oracle7) Database Auditing Government customer 45 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    42. 42. Oracle líder en seguridad en BBDD … sigue definiendo los estándares exigibles a BBDD Runtime Privilege Analysis Real Application Security Conditional Auditing Code Based Access Control New Separation of Duty Roles Secure by Default Enhancements Database on Windows as a Service SHA-512 Support for Certificates and Authentication FIPS 140 Certified Library for Assurance Expanded Hardware Cryptographic Acceleration Strong Authentication generalized Network Encryption generalized 46 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    43. 43. Conclusiones Producción DBA Auditor Desarrollo 47 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Desarrollador
    44. 44. 48 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    45. 45. www.oracle.com/database/security www.facebook.com/OracleDatabase www.twitter.com/OracleDatabase blogs.oracle.com/OracleDatabase 49 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    46. 46. 50 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×