Seguridad en bases de datos Security Today Andalucia
Upcoming SlideShare
Loading in...5
×
 

Seguridad en bases de datos Security Today Andalucia

on

  • 551 views

#Security, #Andalucia, #Oracle

#Security, #Andalucia, #Oracle

Statistics

Views

Total Views
551
Views on SlideShare
551
Embed Views
0

Actions

Likes
0
Downloads
11
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Seguridad en bases de datos Security Today Andalucia Seguridad en bases de datos Security Today Andalucia Presentation Transcript

  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2 The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
  • Innovación en Seguridad de Base de Datos Juan Carlos Díaz Principal Sales Consultant
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4 Agenda  Introducción  Problemáticas típicas – Solución de Oracle  Conclusiones
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5 Fugas de datos de servidores de BD Cerca de 1B de registros comprometidos en los últimos 6 años 2/3 de la información sensible y regulada reside en bases de datos … y se dobla cada dos años Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by Protecting Data at the Source — Your Databases", August 2011 48% de fugas de origen interno 89% registros robados usando SQL Injection 86% Hacking usando credenciales robadas
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6 32% Puede evitar que los DBAs accedan a datos o procedimientos 61% No monitorizan la escritura de datos sensibles de aplicaciones 65% No disponen de medidas para prevenir ataques de SQL injection 55% Copian datos de producción a entornos de desarrollo y test 68% Datos en ficheros de BD se pueden leer a nivel de S.O. 44% No puede impedir el acceso directo a la B.D. (application bypass) ¿Cómo es la seguridad de sus BB.DD.? Resultados 2012 IOUG Enterprise Data Security Survey
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7 IT Security no prioriza la seguridad en BBDD Solo el 20% tiene un plan “Forrester estima que, aunque el 70% de las empresas tiene un plan de seguridad de la información, sólo el 20% de las empresas tiene un plan de seguridad de base de datos.” Endpoint Security Vulnerability Management Network Security Email Security Authentication and User Security Database Security
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8 Agenda  Introducción  Problemáticas típicas – Solución de Oracle  Conclusiones
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9 Soluciones de seguridad BB.DD. Oracle Defensa en profundidad Monitorización de actividad Firewall de BB.DD. Auditoría e Informes MONITORIZACIÓN Enmascaramiento Control sobre usuarios privilegiados Cifrado PREVENTIVO ADMINISTRACIÓN Descubrimiento de datos sensibles Gestión de configuraciones Análisis de privilegios
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.10 Soluciones de seguridad BB.DD. Oracle Detección y bloqueo de amenazas, alerta, auditoría e informes Monitorización de actividad Firewall de BB.DD. Auditoría e Informes MONITORIZACIÓN Enmascaramiento Control sobre usuarios privilegiados Cifrado PREVENTIVO ADMINISTRACIÓN Descubrimiento de datos sensibles Gestión de configuraciones Análisis de privilegios
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.11 Problemáticas típicas Usuarios privilegiados DBA Producción SELECT * FROM clientes WHERE name LIKE ‘%’; ALTER TABLE clientes MODIFY name VARCHAR(60);
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12 Oracle Database Vault Control de acceso y seguridad en base de datos • Segregación de funciones y cotos de seguridad • Asegura quién, dónde, cuándo y cómo accede a la base de datos • Asegura los mínimos privilegios a los usuarios privilegiados • Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos • Permite consolidar de forma segura los datos de aplicaciones multicompañía Compras RR.HH. Financiero Responsable de aplicación select * from finance.customers DBA Responsable de seguridad Aplicación
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13 Oracle Database Vault  Previene acceso a los datos por parte de los DBAs  Políticas predefinidas que incluyen Realms y Command rules  Complementa la seguridad de la aplicación  Transparente para aplicaciones existentes  Personalizable Oracle E-Business Suite 11i / R12 PeopleSoft Applications Siebel I-flex Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP JD Edwards EnterpriseOne SAP
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15 Análisis de privilegios • Permite saber qué privilegios y roles han sido usados realmente • Eliminar privilegios innecesarios reduce el riesgo Minimizar los privilegios de usuarios
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18 Problemáticas típicas Cifrado y redacción de datos DBA Producción
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19 Oracle Advanced Security Proteger datos sensibles de usuarios no autorizados Los datos escritos a disco son cifrados automáticamente Los datos se descifran de forma transparente y se devuelven en claro Oracle Advanced Security Cifrado de los datos en disco INSERT Nombre: Juan Nadie DNI: 12345678A SELECT Nombre: Juan Nadie DNI: 12345678A SELECT Nombre: Juan Nadie DNI: ******** Oracle Advanced Security Reescritura del dato
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20 Oracle Advanced Security  Cifra los datos de las aplicaciones – Cifrado de columnas – Cifrado de tablespaces y sus ficheros – 3DES168, AES128, AES192, AES256  Altamente eficiente – Alto rendimiento (overhead ~ 5%) – Integrado con Oracle Advanced Compression  No se necesitan cambios en las aplicaciones – Cualquier tipo de dato – Se permiten índices sobre datos cifrados Transparent Data Encryption Capa SQL data blocks “*M$b@^s%&d7” undo blocks temp blocks flashback logs redo logs Buffer Cache “SSN = 987-65-..”
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21 Oracle Advanced Security  Censura de datos on-line basada en usuario, IP, contexto de aplicación u otros factores  Transparente. Impacto mínimo en cargas de producción Data Redaction
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22 Oracle Data Redaction  Sólo se altera la visualización “Censura” de datos sensibles de aplicaciones
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23 Oracle Data Redaction • Incluye librería de formatos para datos comunes de PCI y PII • Gestionable con Enterprise Manager ó API de línea de comando Dato Almacenado Resultado Censurado Completo Parcial RegExp Aleatorio
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.24 Oracle Data Redaction “Censura” de datos sensibles de aplicaciones
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.26 Problemáticas típicas Clonado de datos a entornos no productivos Desarrollador DBA Producción DesarrolloDesarrollo = Producción
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.27 Datos seguros en entornos de desarrollo Pasos para obtener un subconjunto de datos seguro 1 2 3 Identificar datos sensibles Enmascarar datos en desarrollo Extraer datos de producción Reemplazar datos reales de producción por datos ficticios válidos para pruebas de desarrollo, rendimiento, … Aprovisionar entornos de desarrollo con una fracción de los datos de producción Identificar esquemas, tablas y columnas que contengan datos sensibles
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.28 Oracle Data Discovery and Modeling (*)  Patrones de búsquedas predefinidos (basados en esquemas y datos)  Búsquedas en toda la aplicación de coincidencia con patrones  Clasificación basada en coincidencia con los patrones Descubrimiento de columnas sensibles (*) Componente de Test Data Management Pack
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.29 Oracle Data Subsetting (*)  Selección de tablas – Se seleccionan automáticamente las tablas necesarias para se incluidas en el subconjunto  Criterios de extracción – Se recorre la jerarquía relacional para identificar las filas a extraer  Parámetros de subconjunto – Analiza las estadísticas de las tablas para estimar el tamaño de los datos generados Extracción de subconjuntos de datos Fecha: (año 2011) Dimensión (Región: Asia) Espacio (tamaño:10%) (*) Componente de Test Data Management Pack
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.30 Oracle Data Masking Enmascaramiento irreversible de datos en entornos no productivos • Transfiere datos de aplicación de forma segura a entornos no productivos • Evita que desarrolladores de aplicaciones accedan a datos reales de producción • Librerías y políticas extensibles para la automatización del enmascaramiento de datos • Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando correctamente NOMBRE DNI SALARIO ZFDGFAKJIJ 81331100-J 25,000 ASDTYHJUK 87766348-S 30,000 NOMBRE DNI SALARIO ANA PÉREZ 12345678-A 30,000 PEDRO SÁNCHEZ 48765432-Z 25,000 Producción Desarrollo JUAN CHACÓN MARTA RODRÍGUEZ
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.31 Oracle Data Masking  Librerías de máscaras de formatos  Mantenimiento automático de la integridad referencial cuando se enmascaran Primary keys – Implícita – definidas en BB.DD. – Explicita – aseguradas por aplicación  Previsualización de datos antes de enmascarar  Alto rendimiento  Define una vez – ejecuta varias Funcionalidades básicas BB.DD. clonada Enmascarar BB.DD. producción
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.32 Oracle Data Masking  Máscaras compuestas – Conjunto de columnas que deben ser enmascaradas conjuntamente p.ej. Dirección, Ciudad, Provincia, CP, …  Máscaras basadas en condiciones – Formatos de máscaras específicas para cada condición, p.ej. documentos de identidad de países diferentes  Enmascaramiento determinístico – Enmascaramiento consistente, p.ej. Pedro siempre se cambia por Alberto en múltiples BB.DD. Técnicas de enmascaramiento
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.33 Ciclo completo de enmascaramiento de datos Recolección de Metadatos Crear Modelo de datos de la aplicación Recoger datos a incluir Ejecutar Subsetting Inserción/borrado de datos Actualización de datos Ejecutar Enmascaramiento Crear definición de Enmascaramiento Crear definición de Subsetting
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.34 Enmascaramiento y Subsetting integrados Los datos de producción tenían que se extraídos primero y enmascarados después en pasos separados. Antes Ahora 0100101100101010010010010010010010010010010010001 0010101001001001001110010010010010010010000100100 1011100100101010010010101010011010100101010010 Producción Test Subconjunto de datos Clonar y enmascarar 0100101100101010010010010010010010010010010010001 0010101001001001001110010010010010010010000100100 1011100100101010010010101010011010100101010010 Test Masked Data Pump File Producción Subconjunto y enmascarado en un solo paso Los datos de producción son extraídos (un subconjunto) y enmascarados en un solo paso utilizando “At-source Masking”
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.35 Problemáticas típicas Desarrollador DBA Producción Desarrollo = Producción Auditor SELECT nombre, nif, … FROM clientes WHERE id = ?‘’ OR 1=1
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.36 Oracle Audit Vault y Database Firewall Control preventivo y detección para BBDD Oracle y no Oracle OS, Directory Services, File system & Custom Audit Logs Eventos Firewall Usuarios Aplicaciones Database Firewall Permitir Log Alertar Sustituir Bloquear Audit Data Audit Vault Informes !Alertas Políticas Auditores Responsible Seguridad
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.37 PolíticasInformes OOTB Alertas Informes custom Applications Bloqueo Log Permitir Alertas Sustitución • Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections, escalado de roles o privilegios, accesos ilegales a datos sensibles, etc. • Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos • Políticas flexibles basadas en listas blancas y negras • Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue • Informes preconstruidos y a medida para PCI, SOX y otras regulaciones Oracle Audit Vault and Database Firewall Primera línea de defensa
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.38 • El modo “Allowed” puede ser definido para cualquier usuario o aplicación • Las “listas blancas” pueden tener en cuenta factores predefinidos como hora, día de la semana, red, aplicación, etc. • Automáticamente se pueden generar “listas blancas” para cualquier aplicación • Las transacciones que no cumplen las políticas son instantáneamente rechazadas • La BB.DD. sólo procesará datos tal y como se esperan Oracle Audit Vault and Database Firewall Protección frente a SQL Injection. Modelo de seguridad positivo White List Applications Block Allow SELECT * from stock where catalog-no='PHE8131' SELECT * from stock where catalog-no=‘ ' union select cardNo,0,0 from Orders --’ Databases
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.39 • Para comandos SQL, usuarios o accesos a esquemas específicos • Previene escalado de roles o privilegios y acceso no autorizado a datos sensibles • Las “listas negras” pueden tener en cuenta factores predefinidos como hora, día de la semana, red, aplicación, etc. • Bloquea selectivamente cualquier parte de una transacción según las necesidades de seguridad y del negocio Oracle Audit Vault and Database Firewall Restricción de actividad. Modelo de seguridad negativo SELECT * FROM v$session Block Allow + Log Black List DBA activity via Applications SELECT * FROM v$session DBA activity via Approved Workstation
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.40 Block Log Allow Alert Substitute SELECT * FROM accounts se cambia por SELECT * FROM dual where 1=0 Applications Oracle Audit Vault and Database Firewall Sustitución de sentencias O • Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño número de conjuntos de sentencias agrupadas por su significado (clusters). • No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías ineficientes e inexactas. • Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log • Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos.
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.41 Oracle Audit Vault y Database Firewall Gestión centralizada de políticas de auditoría  Definición de políticas – Definición, gestión centralizada, recolección de configuraciones de auditoría  Configuraciones de auditoría – Las configuraciones se pueden extraer de BB.DD. existentes con auditorías previamente configuradas – También se permiten configuraciones manuales  Aprovisionamiento de políticas – Las políticas se pueden aplicar centralizadamente desde la consola de AVDF  Mantenimiento de políticas – Compara las políticas aprobadas con la configuración actual LOPD Audit Settings Privilege User Audit Settings Privacy Audit Settings Financial Database Customer Database HR Database Oracle AVDF
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.42 Auditoría empresarial extendida  BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE  Otras fuentes de auditoría – Sistemas Operativos: Microsoft Windows, Solaris – Servicios de Directorio: Active Directory – Sistemas de ficheros: Oracle ACFS  Plugins de recolección de auditoría para fuentes personalizadas – Fichero XML mapea elementos de auditoría personalizados a auditoría canónica – Recolecta y mapea datos de fichero de auditoría XML y tablas de base de datos
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.43 Audit Vault Standby Arquitecturas de depliegue flexibles In-Line Blocking and Monitoring HA Mode Out-of-Band Monitoring Audit Vault Primary Applications and Users Remote Monitoring Soft appliance Audit Data Audit Agents
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.44  Completa – único proveedor que cubre todos sus requerimientos  Transparente – no requiere ningún cambio en las aplicaciones existentes  Fácil de desplegar – consolas que facilitan el despliegue en poco horas  Rentable – soluciones integradas que reducen el riesgo con un bajo TCO  Probado – #1 en BB.DD. con más de 30 años innovando en seguridad! • Database Vault • Advanced Security • Data Masking • Audit Vault & Database Firewall Encriptación y enmascaramiento Control de acceso Auditoría • Audit Vault & Database Firewall Monitorización y bloqueo Conclusiones Defensa en profundidad
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.45 Oracle Audit Vault Oracle Database Vault DB Security Evaluation #19 Transparent Data Encryption EM Configuration Scanning Fine Grained Auditing (9i) Secure application roles Client Identifier / Identity propagation Oracle Label Security Proxy authentication Enterprise User Security Global roles Virtual Private Database (8i) Database Encryption API Strong authentication (PKI, Kerberos, RADIUS) Native Network Encryption (Oracle7) Database Auditing Government customer Oracle líder en Seguridad en BBDD 35 años de Innovación continua y certificaciones de seguridad
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.46 Runtime Privilege Analysis Real Application Security Conditional Auditing Code Based Access Control New Separation of Duty Roles Secure by Default Enhancements Database on Windows as a Service SHA-512 Support for Certificates and Authentication FIPS 140 Certified Library for Assurance Expanded Hardware Cryptographic Acceleration Strong Authentication generalized Network Encryption generalized Oracle líder en seguridad en BBDD … sigue definiendo los estándares exigibles a BBDD
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.47 Conclusiones Desarrollador DBA Producción Desarrollo Auditor
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.48
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.49 www.facebook.com/OracleDatabase www.twitter.com/OracleDatabase blogs.oracle.com/OracleDatabase www.oracle.com/database/security
  • Copyright © 2012, Oracle and/or its affiliates. All rights reserved.50