• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
 

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

on

  • 1,680 views

Apresentação utilizada por André Pretto sobre Auditoria de Banco de Dados SQL Server em Conformidade com a SoX.

Apresentação utilizada por André Pretto sobre Auditoria de Banco de Dados SQL Server em Conformidade com a SoX.

Statistics

Views

Total Views
1,680
Views on SlideShare
893
Embed Views
787

Actions

Likes
2
Downloads
0
Comments
0

2 Embeds 787

http://sqlserverrs.com.br 402
http://www.sqlserverrs.com.br 385

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox Presentation Transcript

    • SQLServerRSwww.sqlserverrs.com.br
    • Por: André Pretto
    •  A lei Sarbanes-Oxley SOX e segurança Auditoria Privacidade e proteção a dados
    •  Banco de dados SQL Server ◦ Endurecendo o ambiente do banco de dados. ◦ Segurança de banco de dados dentro de um cenário de segurança. ◦ O banco de dados e a rede ◦ Segurança nas comunicações entre bancos de dados ◦ Criptografia ◦ Categorias de auditoria ◦ Práticas de segurança para o ambiente de banco de dados
    •  Banco de dados SQL Server ◦ Análise de segurança e monitoramento – possíveis soluções. Procedimentos e documentação Checklist do Administrador Checklist do Desenvolvedor
    • Em 2002 surgiu a lei SOX com o objetivo deresponder a uma série de grandes escândaloscorporativos e contábeis e estabelecerpadrões de segurança novos e aprimorados, aSOX é uma lei federal dos Estados Unidos. Ela objetiva o fechamento de brechas desegurança, principalmente em dadosfinanceiros e contábeis e as camadas de bancode dados e aplicação.
    •  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
    •  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
    • A seção 404 define os requisitos para manter oscontroles de segurança adequados em relação aossistemas de tecnologia da informação, porémforja uma tarefa desafiadora e talvez um poucointimidante.Aspectos:  Autorização  Autenticação  Acesso
    • Define que a área de TI tem como obrigação odesenho da arquitetura e documentação de todosos processos usados na TI, os quais sãoconstituídos pelas disciplinas:  Dados (Data)  Sistema (System)  Tecnologia (Technology)  Rede (Network)
    • A seção 404 discorre sobre a compreensão dosconceitos básicos de privacidade e proteção dedados, definir e fazer cumprir arquitetura, combinarforças externas, influências internas, e ativos deTI, simplificar a matriz de segurança,desenvolvimento de estratégias baseadas nocontrole de acesso, integração dos elementoscríticos de proteção de privacidade em engenhariade sistemas e aplicações.
    •  SOX também permite que uma auditoria externa e análise de segurança de seja feita para avaliar qualquer manipulação de dados. Tem sido provado que a maioria dos problemas de segurança vêm de dentro da organização
    • Baseada nas melhores práticas de segurança a SOX impõe três regras, em relação a proteção a dados: Confidencialidade - proteção de informações sensíveis contra divulgação não autorizado ou interceptação inteligível. Integridade - salvaguarda da exatidão e integridade das informações e software. Disponibilidade - Assegurar que as soluções de informação estão disponíveis quando necessários.
    • Auditoria é a primeira atividade a ser realizada antes de qualquer outra iniciativa para aumentar a segurança de um banco de dados. (Ron Bem Natan, 2009 ).Auditoria em banco de dados divide-se em: Auditoria padrão Auditoria obrigatória e de administrador Auditoria minuciosa (Fine Grained Auditing ou FGA) Auditoria de valor
    • É umas das mais completas auditorias dentrodo banco de dados, ela permite a auditoria deatividades baseadas no tipo de atividade,objeto, privilégio, ou usuário.auditoria padrão é umas das mais completasauditorias dentro do banco de dados, elapermite a auditoria de atividades baseadas notipo de atividade, objeto, privilegio, ouusuário.
    • É de extrema importância e consiste emimplementar iniciativas de auditoria dousuário privilegiado do banco de dadosSA/DBA abrangendo até a inicialização edesligamento do SGBD
    • Permite que você especifique o que vocêquer auditar baseado em comandos DDL(SELECT, UPDATE, DELETE) e DML.
    • É um auditoria granular que objetiva terrespostas para: Quem, O que, Quando, Onde Com base em um conjunto de critérios,os critérios podem ser um comando, umobjeto, um privilégio, uma combinação estes,ou mesma uma condição arbitrária altamentegranular.
    • A auditoria deve cumprir e avaliar todos osrequisitos regulatórios os quais a companhiaesta respondendo como o caso da SOX.Uma auditoria interna através de umdepartamento de auditoria não é suficiente, énecessário um conjunto de auditores internose externos sendo esses independentes.
    • A auditoria externa geralmente éprestada por empresas de auditoriareconhecidas e homologadas a auditar asnormas regulatórias.PricewaterhouseCoopers (PwC),Deloitte,KPMGErnest & Young (E & Y)
    • Os modernos sistemas de TI e controle desegurança são baseados elementos essenciaisos quais compõem uma matriz de segurança.
    • Sob um aspecto legal a legislação deproteção à privacidade de dados vem sealterando rapidamente nos Estados Unidos,Europa e Canadá, como por exemplo, aCalifórnia é considerada como a líder emlegislação destinada a proteção deprivacidade pessoal e roubo de identidade.
    • Proteger a confidencialidade dasinformações de uma organização de formaprivada e protegida é o mesmo que dizer quea organização mantém em segredo e comacesso controlado e monitorado o acesso àsinformações em qualquer forma dearmazenamento.
    • Esse aspecto será um aspecto constante dedesafios para a área de TI na construção desistemas e armazenamento de dados em Bancosde Dados, visando sempre atender as alteraçõesdas leis.Privacidade podem ser classificados como:◦ De domínio publico,◦ Protegido◦ Restrito.
    •  O SQL Server de encontro aos requisitos da SOX.
    •  Segurança física do servidor no qual reside o SQL Server. Aplicar todos os service packs e hot fixes para o sistema operacional do Windows Server e SQL Server. Certifique-se de todos os dados do SQL Server e arquivos do sistema são instalados em uma partição NTFS e que as permissões adequadas estão definidas para os arquivos.
    •  Usar baixo nível de privilégio para contas de usuário para o serviço do SQL Server. ◦ Não use LocalSystem ou Administrador. Apagar arquivos de instalação. ◦ Arquivos de instalação podem conter texto simples e sem criptografia, onde residem informações de configuração Proteger a conta SA com uma senha forte. Remova todos os usuários de exemplo e bancos de dados de aprendizado.
    •  Verificar se existem usuários com senhas nulas. Remova o usuário convidado de todos os bancos, exceto de master e tempdb. Analisar como os papéis são atribuídos a usuários em um nível de banco de dados e servidor. Crie um processo que lhe permita revisar periodicamente papel e membros do grupo criados no SQL Server.
    •  Use a autenticação do Windows em vez da autenticação mista. Remova as bibliotecas de rede que não são utilizados. Não permitir ou promover o acesso remoto ao sistema operacional e execução ferramentas locais. Remover ou restringir o acesso xp_stored procedures.
    •  Não instale extended procedures criadas pelo usuário, pois podem abrir brechas de segurança servidor. Verificar e limitar as stored procedures que são PUBLIC Desabilitar o SQL mail buscando alternativas para fazer métodos de notificação. Não install full-text search a menos que alguma aplicação em especifico necessite.
    •  Desabilitar o Microsoft Distributed Transaction Coordinator a menos que seja realmente necessário para alguma aplicação. Monitorar de perto todas as tentativas de login que falharam. Desenvolvedores não podem ter acesso a instancias de produção. Habilitar auditoria.
    •  Firewalls Virtual private networks (VPNs) A avaliação das vulnerabilidade e gerenciamento de patches. Antivirus Intrusion detection systems (IDS) Intrusion prevention systems (IPS)
    •  Proteger os usuário e senhas usados na interligação de banco de dados. Garantir mecanismos de replicação de dados. Segurança e monitoramento dos usuários e das conexões de replicação. Mapear e assegurar-se de conhecer todas as fontes de dados e repositórios. Garantir segurança e Monitorar os sistemas log shipping schemes.
    •  Proteger e monitorar bancos de dados móveis Monitorar e limitar as comunicações de saída (outbound).
    •  Criptografar os dados que trafegam (Encrypting data-in-transit ). Criptografar os dados que não trafegam e exigem alta segurança.
    •  Auditar o logon/logoff no banco de dados Auditar os consumidores do banco de dados (Sistemas, ferramentas, Excel, ODBC entre outros) Auditar a utilização do banco de dados fora do horário normal de expediente corporativo. Auditar as atividades DDL e DML Auditar os erros que o banco de dados apresentar.
    •  Auditar as alterações de stored procedures, triggers, alterações de privilégios de usuário/login e outros atributos de segurança. Auditar a criação, alteração e uso dos database links e replicação. Auditar a alteração de dados sensíveis (Ex. Salário)
    •  Auditar as alterações feitas nas definições do que é auditado.
    • A SOX para conformidade com os procedimentos de segurança e documentação para o SQL Server deve incluir o seguinte: Descrição do modelo de segurança (Active Directory, grupos de domínio, os papéisdo SQL Server, banco de dados de papéis, etc.)
    •  Um procedimento para criar uma nova conta, quando chega um novo funcionário. Um procedimento para eliminar / desativar uma conta quando um funcionário deixa a empresa. Um procedimento para pedir permissões - com uma data final desejada, se possível - especialmente para permissões especiais.
    •  Um procedimento para alterações de senha (para logins do SQL Server). Regras e regulamentos a seguir para um novo software ou uma nova aplicação usando um banco de dados SQL Server. Você também deve aplicá-las às aplicações existentes, tanto quanto possível.
    •  Descrição de como as aplicações devem criptografar arquivos de senha ao usar SQLServer ou modo de autenticação quando as senhas são codificadas. Descrição dos controles de segurança periódicas (automático / manual).
    •  Documentação para cada procedimento manual e automatizado e as mudanças de segurança. Documentar a existência de verificações e inspeções futuras.
    •  Firewalls ◦ Colocar um firewall entre o servidor e a Internet. ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no seu firewall de perímetro. Se as instâncias nomeadas estão escutando portas adicionais, bloquear os demais. ◦ Em um ambiente multi-camadas, use múltiplos firewalls para criar sub-redes selecionados.
    •  Isolamento de serviços ◦ Isolar serviços para reduzir o risco de que um serviço comprometido poderiam ser usadas para comprometer os outros. ◦ Nunca instale o SQL Server em um controlador de domínio. ◦ Executar serviços de servidor SQL separado em contas separadas Windows. ◦ Executar servidor de aplicação e banco de dados em servidores separados.
    • Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento.  Contas de serviço ◦ Criar contas do Windows com os privilégios mais baixo possível para a execução de serviços do SQL Server.  Sistema de arquivos ◦ Usar NTFS. ◦ Usar RAID para arquivos de dados críticos.
    •  Use as ferramentas do SQL Server e Microsoft. ◦ SQL Server Profiler. ◦ SQL Server Audit feature ◦ Activity Monitor ◦ Central Management Servers ◦ Data Collector and Management Data Warehouse ◦ SQL Server Policy-Based Management ◦ Resource Governor ◦ Transparent Data Encryption (TDE) ◦ Powershell ◦ Reporting Server
    •  Ferramentas de terceiros. ◦ Krell Software - http://www.krell- software.com/omniaudit/ ◦ Imperva - http://www.imperva.com/index.html ◦ ApexSQL - http://www.apexsql.com/sql_tools_audit.aspx
    • Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento. http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx
    • SQLServerRSwww.sqlserverrs.com.br