03 Gestión y protección de usuarios con privilegios
Upcoming SlideShare
Loading in...5
×
 

03 Gestión y protección de usuarios con privilegios

on

  • 409 views

 

Statistics

Views

Total Views
409
Views on SlideShare
409
Embed Views
0

Actions

Likes
0
Downloads
10
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • With Great Power Comes Great Risk Organizations are trying to drive greater productivity out of administrators. In optimal cases today organizations can get 1K to 2K users per administrator ratio. Increasing that ratio is important Most organizations have 100s of service accounts that execute software on servers and web-servers. These accounts if hijacked are a key entry point for fraud Excessive access is also the number one attack vector at the database level. (March 28 2012) http://educationinfree.wordpress.com/2012/03/28/top-10-database-attacks/These accounts are shared across multiple administrators and becomes difficult to monitor who is doing what. Analogous to this problem is the privileged elevation problem where someone uses a privileged account to elevate the privileges of another account, then logs in to the other account and performs malicious activity … very difficult to track.
  • OPAM supports a wide range of account types including:Generic UNIX Any UNIX/LINUX server with SSHGeneric DatabaseOracle 9-11Microsoft SQL ServerAnyGeneric LDAPAny LDAP
  • OPAM supports a wide range of account types including:Generic UNIX Any UNIX/LINUX server with SSHGeneric DatabaseOracle 9-11Microsoft SQL ServerAnyGeneric LDAPAny LDAP
  • Join The Community

03 Gestión y protección de usuarios con privilegios 03 Gestión y protección de usuarios con privilegios Presentation Transcript

  • 1 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. 2 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Gestión de usuarios privilegiados Juan Carlos Díaz Principal Sales Consultant
  • Agenda  Introducción  Gestión de conexiones con usuarios genéricos  Gestión de conexiones con usuarios personalizados  Control de acceso y segregación de funciones en BB.DD.  Resumen: soluciones complementarias 4 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Cuanto mayor privilegio, mayor riesgo Acceso como Root Bases de Datos Directorios Servidores Unix • Las cuentas privilegiadas son un punto de entrada clave para el fraude • Es difícil monitorizar cuentas compartidas entre diferentes administradores • Los privilegios de acceso excesivos son la causa principal en el ataque a bases de datos, directorios, sistemas operativos, … 5 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Problemáticas de cuentas privilegiadas SEGURIDAD BB.DD. Clientes TRAZABILIDAD CUSTOMERS Desarrollador 6 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Datos sensibles: Financieros Cuentas bancarias Facturación … SYS GESTIÓN DBA
  • <Insert Picture Here> Gestión de acceso de usuarios genéricos 7 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Oracle Privileged Account Manager • Usuario accede como DBA • Añade Tabla a BBDD • Falta de espacio en el sistema Base de Datos de Activa la password del DBA RRHH para la aplicación de RRHH basado en la política correspondiente Devuelve password de DBA Pide password de DBA Verifica si el usuario de OPAM tienen el rol de DBA en RRHH Devuelve password de unix Pide password de unix Usuario libera las passwords DBA • Usuario accede como superusuario • Añade espacio en disco Oracle Privileged Account Manager Servidor UNIX 8 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Directorio LDAP
  • Sistemas soportados Sistemas Unix Genéricos UNIX 9 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Bases de Datos Oracle 9i, 10g,11g MS SQLServer Sybase 15 LDAP
  • Problemáticas de cuentas privilegiadas SEGURIDAD BB.DD. Clientes TRAZABILIDAD CUSTOMERS Desarrollador 11 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Datos sensibles: Financieros Cuentas bancarias Facturación … SYS GESTIÓN DBA
  • <Insert Picture Here> Gestión centralizada de usuarios de BB.DD. 12 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Enterprise User Security Usuarios de base de datos centralizados Oracle Directory Services Cada persona tiene un usuario /password para TODAS las bases de datos. Las identidades del directorio se mapean a esquemas de base de datos. Los grupos del directorio se mapean a roles de base de datos. 13 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Proceso de autenticación con EUS (1) Conexión juan.perez/pwd (2) Validación credenciales de juan.perez (3) Respuesta de juan.perez (4) Petición de Enterprise BB.DD. Roles de juan.perez configurada para EUS (5) Enterprise Roles y mapeo de roles de juan.perez 14 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. ODS+
  • Problemáticas de cuentas privilegiadas SEGURIDAD BB.DD. Clientes TRAZABILIDAD CUSTOMERS Desarrollador 15 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Datos sensibles: Financieros Cuentas bancarias Facturación … SYS GESTIÓN DBA
  • <Insert Picture Here> Segregación de funciones en BB.DD. 16 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Oracle Database Vault Control de acceso y seguridad en base de datos Responsable de seguridad Aplicación Compras RR.HH. Financiero Responsable de aplicación select * from finance.customers • Segregación de funciones y cotos de seguridad • Asegura quién, dónde, cuándo y cómo accede a la base de datos • Asegura los mínimos privilegios a los usuarios privilegiados • Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos • Permite consolidar de forma segura los datos de aplicaciones multicompañía 17 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. DBA
  • Oracle Database Vault Protegiendo aplicaciones existentes • DBA ve datos de RRHH Protección contra accesos DBA select * from HR.emp • DBA de RRHH ve Finan. DBA RR.HH. Eliminando riesgos de seguridad por consolidación de DBA Financiero servidores Pueden ser fácilmente aplicados a aplicaciones existentes con mínimo impacto en el rendimiento 18 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. HR HR Realm Fin Fin Fin Realm
  • Problemáticas de cuentas privilegiadas SEGURIDAD BB.DD. Clientes TRAZABILIDAD CUSTOMERS Desarrollador 19 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Datos sensibles: Financieros Cuentas bancarias Facturación … SYS GESTIÓN DBA
  • Soluciones complementarias Oracle Privileged Account Manager Gestiona las passwords de usuarios privilegiados, incluido SYS, SYSTEM y cuentas de aplicaciones Enterprise User Security Permite a usuarios no privilegiados usar las passwords de sus LDAP/AD empresariales para conectarse a la base de datos Database Vault Facilita la segregación de funciones a todos los usuarios de la base de datos 20 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • Resumen OPAM, DBV, EUS Funcionalidad o servicio Solución Oracle Gestionar passwords de SYS o SYSTEM Gestionar passwords de usuarios privilegiados de aplicaciones OPAM Gestionar password de usuarios privilegiados de DB Vault (e.g. SEC_ADMIN) OPAM Gestionar passwords de Microsoft Active Directory (i.e. Servidores Windows que se autentican en un dominio AD) OPAM Gestión de cuentas privilegiadas de S.O. (root) o LDAP OPAM Control de acceso de usuarios privilegiados de BBDD para limitar el acceso a datos de aplicación y/o a operaciones de administración Database Vault Autorización multifactor para reforzar políticas empresariales de seguridad Database Vault Administración centralizada de los usuarios de la BD. Enterprise User Security Mapear usuarios de BBDD a usuarios LDAP y roles de BBDD a grupos LDAP 21 OPAM Enterprise User Security Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • 22 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • www.oracle.com/database/security www.facebook.com/OracleDatabase www.twitter.com/OracleDatabase blogs.oracle.com/OracleDatabase 23 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • 24 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  • 25 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.