Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

SQLServerRSwww.sqlserverrs.com.br

Por: André Pretto

 A lei Sarbanes-Oxley SOX e segurança Auditoria Privacidade e proteção a dados

 Banco de dados SQL Server ◦ Endurecendo o ambiente do banco de dados. ◦ Segurança de banco de dados dentro de um cenário de segurança. ◦ O banco de dados e a rede ◦ Segurança nas comunicações entre bancos de dados ◦ Criptografia ◦ Categorias de auditoria ◦ Práticas de segurança para o ambiente de banco de dados

 Banco de dados SQL Server ◦ Análise de segurança e monitoramento – possíveis soluções. Procedimentos e documentação Checklist do Administrador Checklist do Desenvolvedor

Em 2002 surgiu a lei SOX com o objetivo deresponder a uma série de grandes escândaloscorporativos e contábeis e estabelecerpadrões de segurança novos e aprimorados, aSOX é uma lei federal dos Estados Unidos. Ela objetiva o fechamento de brechas desegurança, principalmente em dadosfinanceiros e contábeis e as camadas de bancode dados e aplicação.

 Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers

A seção 404 define os requisitos para manter oscontroles de segurança adequados em relação aossistemas de tecnologia da informação, porémforja uma tarefa desafiadora e talvez um poucointimidante.Aspectos:  Autorização  Autenticação  Acesso

Define que a área de TI tem como obrigação odesenho da arquitetura e documentação de todosos processos usados na TI, os quais sãoconstituídos pelas disciplinas:  Dados (Data)  Sistema (System)  Tecnologia (Technology)  Rede (Network)

A seção 404 discorre sobre a compreensão dosconceitos básicos de privacidade e proteção dedados, definir e fazer cumprir arquitetura, combinarforças externas, influências internas, e ativos deTI, simplificar a matriz de segurança,desenvolvimento de estratégias baseadas nocontrole de acesso, integração dos elementoscríticos de proteção de privacidade em engenhariade sistemas e aplicações.

 SOX também permite que uma auditoria externa e análise de segurança de seja feita para avaliar qualquer manipulação de dados. Tem sido provado que a maioria dos problemas de segurança vêm de dentro da organização

Baseada nas melhores práticas de segurança a SOX impõe três regras, em relação a proteção a dados: Confidencialidade - proteção de informações sensíveis contra divulgação não autorizado ou interceptação inteligível. Integridade - salvaguarda da exatidão e integridade das informações e software. Disponibilidade - Assegurar que as soluções de informação estão disponíveis quando necessários.

Auditoria é a primeira atividade a ser realizada antes de qualquer outra iniciativa para aumentar a segurança de um banco de dados. (Ron Bem Natan, 2009 ).Auditoria em banco de dados divide-se em: Auditoria padrão Auditoria obrigatória e de administrador Auditoria minuciosa (Fine Grained Auditing ou FGA) Auditoria de valor

É umas das mais completas auditorias dentrodo banco de dados, ela permite a auditoria deatividades baseadas no tipo de atividade,objeto, privilégio, ou usuário.auditoria padrão é umas das mais completasauditorias dentro do banco de dados, elapermite a auditoria de atividades baseadas notipo de atividade, objeto, privilegio, ouusuário.

É de extrema importância e consiste emimplementar iniciativas de auditoria dousuário privilegiado do banco de dadosSA/DBA abrangendo até a inicialização edesligamento do SGBD

Permite que você especifique o que vocêquer auditar baseado em comandos DDL(SELECT, UPDATE, DELETE) e DML.

É um auditoria granular que objetiva terrespostas para: Quem, O que, Quando, Onde Com base em um conjunto de critérios,os critérios podem ser um comando, umobjeto, um privilégio, uma combinação estes,ou mesma uma condição arbitrária altamentegranular.

A auditoria deve cumprir e avaliar todos osrequisitos regulatórios os quais a companhiaesta respondendo como o caso da SOX.Uma auditoria interna através de umdepartamento de auditoria não é suficiente, énecessário um conjunto de auditores internose externos sendo esses independentes.

A auditoria externa geralmente éprestada por empresas de auditoriareconhecidas e homologadas a auditar asnormas regulatórias.PricewaterhouseCoopers (PwC),Deloitte,KPMGErnest & Young (E & Y)

Os modernos sistemas de TI e controle desegurança são baseados elementos essenciaisos quais compõem uma matriz de segurança.

Sob um aspecto legal a legislação deproteção à privacidade de dados vem sealterando rapidamente nos Estados Unidos,Europa e Canadá, como por exemplo, aCalifórnia é considerada como a líder emlegislação destinada a proteção deprivacidade pessoal e roubo de identidade.

Proteger a confidencialidade dasinformações de uma organização de formaprivada e protegida é o mesmo que dizer quea organização mantém em segredo e comacesso controlado e monitorado o acesso àsinformações em qualquer forma dearmazenamento.

Esse aspecto será um aspecto constante dedesafios para a área de TI na construção desistemas e armazenamento de dados em Bancosde Dados, visando sempre atender as alteraçõesdas leis.Privacidade podem ser classificados como:◦ De domínio publico,◦ Protegido◦ Restrito.

 O SQL Server de encontro aos requisitos da SOX.

 Segurança física do servidor no qual reside o SQL Server. Aplicar todos os service packs e hot fixes para o sistema operacional do Windows Server e SQL Server. Certifique-se de todos os dados do SQL Server e arquivos do sistema são instalados em uma partição NTFS e que as permissões adequadas estão definidas para os arquivos.

 Usar baixo nível de privilégio para contas de usuário para o serviço do SQL Server. ◦ Não use LocalSystem ou Administrador. Apagar arquivos de instalação. ◦ Arquivos de instalação podem conter texto simples e sem criptografia, onde residem informações de configuração Proteger a conta SA com uma senha forte. Remova todos os usuários de exemplo e bancos de dados de aprendizado.

 Verificar se existem usuários com senhas nulas. Remova o usuário convidado de todos os bancos, exceto de master e tempdb. Analisar como os papéis são atribuídos a usuários em um nível de banco de dados e servidor. Crie um processo que lhe permita revisar periodicamente papel e membros do grupo criados no SQL Server.

 Use a autenticação do Windows em vez da autenticação mista. Remova as bibliotecas de rede que não são utilizados. Não permitir ou promover o acesso remoto ao sistema operacional e execução ferramentas locais. Remover ou restringir o acesso xp_stored procedures.

 Não instale extended procedures criadas pelo usuário, pois podem abrir brechas de segurança servidor. Verificar e limitar as stored procedures que são PUBLIC Desabilitar o SQL mail buscando alternativas para fazer métodos de notificação. Não install full-text search a menos que alguma aplicação em especifico necessite.

 Desabilitar o Microsoft Distributed Transaction Coordinator a menos que seja realmente necessário para alguma aplicação. Monitorar de perto todas as tentativas de login que falharam. Desenvolvedores não podem ter acesso a instancias de produção. Habilitar auditoria.

 Firewalls Virtual private networks (VPNs) A avaliação das vulnerabilidade e gerenciamento de patches. Antivirus Intrusion detection systems (IDS) Intrusion prevention systems (IPS)

 Proteger os usuário e senhas usados na interligação de banco de dados. Garantir mecanismos de replicação de dados. Segurança e monitoramento dos usuários e das conexões de replicação. Mapear e assegurar-se de conhecer todas as fontes de dados e repositórios. Garantir segurança e Monitorar os sistemas log shipping schemes.

 Proteger e monitorar bancos de dados móveis Monitorar e limitar as comunicações de saída (outbound).

 Criptografar os dados que trafegam (Encrypting data-in-transit ). Criptografar os dados que não trafegam e exigem alta segurança.

 Auditar o logon/logoff no banco de dados Auditar os consumidores do banco de dados (Sistemas, ferramentas, Excel, ODBC entre outros) Auditar a utilização do banco de dados fora do horário normal de expediente corporativo. Auditar as atividades DDL e DML Auditar os erros que o banco de dados apresentar.

 Auditar as alterações de stored procedures, triggers, alterações de privilégios de usuário/login e outros atributos de segurança. Auditar a criação, alteração e uso dos database links e replicação. Auditar a alteração de dados sensíveis (Ex. Salário)

 Auditar as alterações feitas nas definições do que é auditado.

A SOX para conformidade com os procedimentos de segurança e documentação para o SQL Server deve incluir o seguinte: Descrição do modelo de segurança (Active Directory, grupos de domínio, os papéisdo SQL Server, banco de dados de papéis, etc.)

 Um procedimento para criar uma nova conta, quando chega um novo funcionário. Um procedimento para eliminar / desativar uma conta quando um funcionário deixa a empresa. Um procedimento para pedir permissões - com uma data final desejada, se possível - especialmente para permissões especiais.

 Um procedimento para alterações de senha (para logins do SQL Server). Regras e regulamentos a seguir para um novo software ou uma nova aplicação usando um banco de dados SQL Server. Você também deve aplicá-las às aplicações existentes, tanto quanto possível.

 Descrição de como as aplicações devem criptografar arquivos de senha ao usar SQLServer ou modo de autenticação quando as senhas são codificadas. Descrição dos controles de segurança periódicas (automático / manual).

 Documentação para cada procedimento manual e automatizado e as mudanças de segurança. Documentar a existência de verificações e inspeções futuras.

 Firewalls ◦ Colocar um firewall entre o servidor e a Internet. ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no seu firewall de perímetro. Se as instâncias nomeadas estão escutando portas adicionais, bloquear os demais. ◦ Em um ambiente multi-camadas, use múltiplos firewalls para criar sub-redes selecionados.

 Isolamento de serviços ◦ Isolar serviços para reduzir o risco de que um serviço comprometido poderiam ser usadas para comprometer os outros. ◦ Nunca instale o SQL Server em um controlador de domínio. ◦ Executar serviços de servidor SQL separado em contas separadas Windows. ◦ Executar servidor de aplicação e banco de dados em servidores separados.

Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento.  Contas de serviço ◦ Criar contas do Windows com os privilégios mais baixo possível para a execução de serviços do SQL Server.  Sistema de arquivos ◦ Usar NTFS. ◦ Usar RAID para arquivos de dados críticos.

 Use as ferramentas do SQL Server e Microsoft. ◦ SQL Server Profiler. ◦ SQL Server Audit feature ◦ Activity Monitor ◦ Central Management Servers ◦ Data Collector and Management Data Warehouse ◦ SQL Server Policy-Based Management ◦ Resource Governor ◦ Transparent Data Encryption (TDE) ◦ Powershell ◦ Reporting Server

 Ferramentas de terceiros. ◦ Krell Software - http://www.krell- software.com/omniaudit/ ◦ Imperva - http://www.imperva.com/index.html ◦ ApexSQL - http://www.apexsql.com/sql_tools_audit.aspx

Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento. http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx

SQLServerRSwww.sqlserverrs.com.br

http://www.sqlserverrs.com.br	352
http://sqlserverrs.com.br	322

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

by SQLServerRS on Nov 19, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 674

Statistics

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox — Presentation Transcript