SQLServerRSwww.sqlserverrs.com.br
Por: André Pretto
   A lei Sarbanes-Oxley   SOX e segurança   Auditoria   Privacidade e proteção a dados
   Banco de dados SQL Server    ◦ Endurecendo o ambiente do banco de dados.    ◦ Segurança de banco de dados dentro de um...
   Banco de dados SQL Server    ◦ Análise de segurança e monitoramento – possíveis      soluções.   Procedimentos e docu...
Em 2002 surgiu a lei SOX com o objetivo deresponder a uma série de grandes escândaloscorporativos e contábeis e estabelece...
   Sarbanes–Oxley Section 302: Disclosure controls   Sarbanes-Oxley Section 401: Disclosures in    periodic reports   S...
   Sarbanes–Oxley Section 302: Disclosure controls   Sarbanes-Oxley Section 401: Disclosures in periodic reports   Sarb...
A seção 404 define os requisitos para manter oscontroles de segurança adequados em relação aossistemas de tecnologia da in...
Define que a área de TI tem como obrigação odesenho da arquitetura e documentação de todosos processos usados na TI, os qu...
A seção 404 discorre sobre a compreensão dosconceitos básicos de privacidade e proteção dedados, definir e fazer cumprir a...
   SOX também permite que uma    auditoria externa e análise de segurança de    seja feita para avaliar qualquer manipula...
Baseada nas melhores práticas de    segurança a SOX impõe três regras, em    relação a proteção a dados:   Confidencialid...
Auditoria é a primeira atividade a ser realizada antes de    qualquer outra iniciativa para aumentar a segurança de um    ...
É umas das mais completas auditorias dentrodo banco de dados, ela permite a auditoria deatividades baseadas no tipo de ati...
É de extrema importância e consiste emimplementar iniciativas de auditoria dousuário privilegiado do banco de dadosSA/DBA ...
Permite que você especifique o que vocêquer auditar baseado em comandos DDL(SELECT, UPDATE, DELETE) e DML.
É um auditoria granular que objetiva terrespostas para:   Quem, O que, Quando, Onde   Com base em um conjunto de critérios...
A auditoria deve cumprir e avaliar todos osrequisitos regulatórios os quais a companhiaesta respondendo como o caso da SOX...
A auditoria externa geralmente éprestada por empresas de auditoriareconhecidas e homologadas a auditar asnormas regulatóri...
Os modernos sistemas de TI e controle desegurança são baseados elementos essenciaisos quais compõem uma matriz de segurança.
Sob um aspecto legal a legislação deproteção à privacidade de dados vem sealterando rapidamente nos Estados Unidos,Europa ...
Proteger a confidencialidade dasinformações de uma organização de formaprivada e protegida é o mesmo que dizer quea organi...
Esse aspecto será um aspecto constante dedesafios para a área de TI na construção desistemas e armazenamento de dados em B...
   O SQL Server de encontro aos requisitos da    SOX.
   Segurança física do servidor no qual reside o    SQL Server.   Aplicar todos os service packs e hot fixes    para o s...
   Usar baixo nível de privilégio para contas de    usuário para o serviço do SQL Server.    ◦ Não use LocalSystem ou Adm...
   Verificar se existem usuários com senhas    nulas.   Remova o usuário convidado de todos os    bancos, exceto de mast...
   Use a autenticação do Windows em vez da    autenticação mista.   Remova as bibliotecas de rede que não são    utiliza...
   Não instale extended procedures criadas    pelo usuário, pois podem abrir brechas de    segurança servidor.   Verific...
   Desabilitar o Microsoft Distributed    Transaction Coordinator a menos que seja    realmente necessário para alguma ap...
   Firewalls   Virtual private networks (VPNs)   A avaliação das vulnerabilidade e    gerenciamento de patches.   Anti...
   Proteger os usuário e senhas usados na    interligação de banco de dados.   Garantir mecanismos de replicação de dado...
   Proteger e monitorar bancos de dados móveis   Monitorar e limitar as comunicações de saída    (outbound).
   Criptografar os dados que trafegam    (Encrypting data-in-transit ).   Criptografar os dados que não trafegam e    ex...
   Auditar o logon/logoff no banco de dados   Auditar os consumidores do banco de dados    (Sistemas, ferramentas, Excel...
   Auditar as alterações de stored procedures,    triggers, alterações de privilégios de    usuário/login e outros atribu...
   Auditar as alterações feitas nas definições do    que é auditado.
A SOX para conformidade com os    procedimentos de segurança e documentação    para o SQL Server deve incluir o seguinte:...
   Um procedimento para criar uma nova conta,    quando chega um novo funcionário.   Um procedimento para    eliminar / ...
   Um procedimento para alterações de    senha (para logins do SQL Server).   Regras e regulamentos a seguir para um nov...
   Descrição de como as    aplicações devem criptografar arquivos de    senha ao usar SQLServer ou modo de    autenticaçã...
   Documentação para cada procedimento    manual e automatizado e as mudanças de    segurança.   Documentar a existência...
   Firewalls    ◦ Colocar um firewall entre o servidor e a Internet.    ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no ...
   Isolamento de serviços    ◦ Isolar serviços para reduzir o risco de que um      serviço comprometido poderiam ser usad...
Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento.           Conta...
   Use as ferramentas do SQL Server e Microsoft.    ◦   SQL Server Profiler.    ◦   SQL Server Audit feature    ◦   Activ...
   Ferramentas de terceiros.    ◦ Krell Software - http://www.krell-      software.com/omniaudit/    ◦ Imperva - http://w...
Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento.    http://www.mi...
SQLServerRSwww.sqlserverrs.com.br
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Upcoming SlideShare
Loading in...5
×

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

1,498

Published on

Apresentação utilizada por André Pretto sobre Auditoria de Banco de Dados SQL Server em Conformidade com a SoX.

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,498
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Transcript of "Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox"

  1. 1. SQLServerRSwww.sqlserverrs.com.br
  2. 2. Por: André Pretto
  3. 3.  A lei Sarbanes-Oxley SOX e segurança Auditoria Privacidade e proteção a dados
  4. 4.  Banco de dados SQL Server ◦ Endurecendo o ambiente do banco de dados. ◦ Segurança de banco de dados dentro de um cenário de segurança. ◦ O banco de dados e a rede ◦ Segurança nas comunicações entre bancos de dados ◦ Criptografia ◦ Categorias de auditoria ◦ Práticas de segurança para o ambiente de banco de dados
  5. 5.  Banco de dados SQL Server ◦ Análise de segurança e monitoramento – possíveis soluções. Procedimentos e documentação Checklist do Administrador Checklist do Desenvolvedor
  6. 6. Em 2002 surgiu a lei SOX com o objetivo deresponder a uma série de grandes escândaloscorporativos e contábeis e estabelecerpadrões de segurança novos e aprimorados, aSOX é uma lei federal dos Estados Unidos. Ela objetiva o fechamento de brechas desegurança, principalmente em dadosfinanceiros e contábeis e as camadas de bancode dados e aplicação.
  7. 7.  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  8. 8.  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  9. 9. A seção 404 define os requisitos para manter oscontroles de segurança adequados em relação aossistemas de tecnologia da informação, porémforja uma tarefa desafiadora e talvez um poucointimidante.Aspectos:  Autorização  Autenticação  Acesso
  10. 10. Define que a área de TI tem como obrigação odesenho da arquitetura e documentação de todosos processos usados na TI, os quais sãoconstituídos pelas disciplinas:  Dados (Data)  Sistema (System)  Tecnologia (Technology)  Rede (Network)
  11. 11. A seção 404 discorre sobre a compreensão dosconceitos básicos de privacidade e proteção dedados, definir e fazer cumprir arquitetura, combinarforças externas, influências internas, e ativos deTI, simplificar a matriz de segurança,desenvolvimento de estratégias baseadas nocontrole de acesso, integração dos elementoscríticos de proteção de privacidade em engenhariade sistemas e aplicações.
  12. 12.  SOX também permite que uma auditoria externa e análise de segurança de seja feita para avaliar qualquer manipulação de dados. Tem sido provado que a maioria dos problemas de segurança vêm de dentro da organização
  13. 13. Baseada nas melhores práticas de segurança a SOX impõe três regras, em relação a proteção a dados: Confidencialidade - proteção de informações sensíveis contra divulgação não autorizado ou interceptação inteligível. Integridade - salvaguarda da exatidão e integridade das informações e software. Disponibilidade - Assegurar que as soluções de informação estão disponíveis quando necessários.
  14. 14. Auditoria é a primeira atividade a ser realizada antes de qualquer outra iniciativa para aumentar a segurança de um banco de dados. (Ron Bem Natan, 2009 ).Auditoria em banco de dados divide-se em: Auditoria padrão Auditoria obrigatória e de administrador Auditoria minuciosa (Fine Grained Auditing ou FGA) Auditoria de valor
  15. 15. É umas das mais completas auditorias dentrodo banco de dados, ela permite a auditoria deatividades baseadas no tipo de atividade,objeto, privilégio, ou usuário.auditoria padrão é umas das mais completasauditorias dentro do banco de dados, elapermite a auditoria de atividades baseadas notipo de atividade, objeto, privilegio, ouusuário.
  16. 16. É de extrema importância e consiste emimplementar iniciativas de auditoria dousuário privilegiado do banco de dadosSA/DBA abrangendo até a inicialização edesligamento do SGBD
  17. 17. Permite que você especifique o que vocêquer auditar baseado em comandos DDL(SELECT, UPDATE, DELETE) e DML.
  18. 18. É um auditoria granular que objetiva terrespostas para: Quem, O que, Quando, Onde Com base em um conjunto de critérios,os critérios podem ser um comando, umobjeto, um privilégio, uma combinação estes,ou mesma uma condição arbitrária altamentegranular.
  19. 19. A auditoria deve cumprir e avaliar todos osrequisitos regulatórios os quais a companhiaesta respondendo como o caso da SOX.Uma auditoria interna através de umdepartamento de auditoria não é suficiente, énecessário um conjunto de auditores internose externos sendo esses independentes.
  20. 20. A auditoria externa geralmente éprestada por empresas de auditoriareconhecidas e homologadas a auditar asnormas regulatórias.PricewaterhouseCoopers (PwC),Deloitte,KPMGErnest & Young (E & Y)
  21. 21. Os modernos sistemas de TI e controle desegurança são baseados elementos essenciaisos quais compõem uma matriz de segurança.
  22. 22. Sob um aspecto legal a legislação deproteção à privacidade de dados vem sealterando rapidamente nos Estados Unidos,Europa e Canadá, como por exemplo, aCalifórnia é considerada como a líder emlegislação destinada a proteção deprivacidade pessoal e roubo de identidade.
  23. 23. Proteger a confidencialidade dasinformações de uma organização de formaprivada e protegida é o mesmo que dizer quea organização mantém em segredo e comacesso controlado e monitorado o acesso àsinformações em qualquer forma dearmazenamento.
  24. 24. Esse aspecto será um aspecto constante dedesafios para a área de TI na construção desistemas e armazenamento de dados em Bancosde Dados, visando sempre atender as alteraçõesdas leis.Privacidade podem ser classificados como:◦ De domínio publico,◦ Protegido◦ Restrito.
  25. 25.  O SQL Server de encontro aos requisitos da SOX.
  26. 26.  Segurança física do servidor no qual reside o SQL Server. Aplicar todos os service packs e hot fixes para o sistema operacional do Windows Server e SQL Server. Certifique-se de todos os dados do SQL Server e arquivos do sistema são instalados em uma partição NTFS e que as permissões adequadas estão definidas para os arquivos.
  27. 27.  Usar baixo nível de privilégio para contas de usuário para o serviço do SQL Server. ◦ Não use LocalSystem ou Administrador. Apagar arquivos de instalação. ◦ Arquivos de instalação podem conter texto simples e sem criptografia, onde residem informações de configuração Proteger a conta SA com uma senha forte. Remova todos os usuários de exemplo e bancos de dados de aprendizado.
  28. 28.  Verificar se existem usuários com senhas nulas. Remova o usuário convidado de todos os bancos, exceto de master e tempdb. Analisar como os papéis são atribuídos a usuários em um nível de banco de dados e servidor. Crie um processo que lhe permita revisar periodicamente papel e membros do grupo criados no SQL Server.
  29. 29.  Use a autenticação do Windows em vez da autenticação mista. Remova as bibliotecas de rede que não são utilizados. Não permitir ou promover o acesso remoto ao sistema operacional e execução ferramentas locais. Remover ou restringir o acesso xp_stored procedures.
  30. 30.  Não instale extended procedures criadas pelo usuário, pois podem abrir brechas de segurança servidor. Verificar e limitar as stored procedures que são PUBLIC Desabilitar o SQL mail buscando alternativas para fazer métodos de notificação. Não install full-text search a menos que alguma aplicação em especifico necessite.
  31. 31.  Desabilitar o Microsoft Distributed Transaction Coordinator a menos que seja realmente necessário para alguma aplicação. Monitorar de perto todas as tentativas de login que falharam. Desenvolvedores não podem ter acesso a instancias de produção. Habilitar auditoria.
  32. 32.  Firewalls Virtual private networks (VPNs) A avaliação das vulnerabilidade e gerenciamento de patches. Antivirus Intrusion detection systems (IDS) Intrusion prevention systems (IPS)
  33. 33.  Proteger os usuário e senhas usados na interligação de banco de dados. Garantir mecanismos de replicação de dados. Segurança e monitoramento dos usuários e das conexões de replicação. Mapear e assegurar-se de conhecer todas as fontes de dados e repositórios. Garantir segurança e Monitorar os sistemas log shipping schemes.
  34. 34.  Proteger e monitorar bancos de dados móveis Monitorar e limitar as comunicações de saída (outbound).
  35. 35.  Criptografar os dados que trafegam (Encrypting data-in-transit ). Criptografar os dados que não trafegam e exigem alta segurança.
  36. 36.  Auditar o logon/logoff no banco de dados Auditar os consumidores do banco de dados (Sistemas, ferramentas, Excel, ODBC entre outros) Auditar a utilização do banco de dados fora do horário normal de expediente corporativo. Auditar as atividades DDL e DML Auditar os erros que o banco de dados apresentar.
  37. 37.  Auditar as alterações de stored procedures, triggers, alterações de privilégios de usuário/login e outros atributos de segurança. Auditar a criação, alteração e uso dos database links e replicação. Auditar a alteração de dados sensíveis (Ex. Salário)
  38. 38.  Auditar as alterações feitas nas definições do que é auditado.
  39. 39. A SOX para conformidade com os procedimentos de segurança e documentação para o SQL Server deve incluir o seguinte: Descrição do modelo de segurança (Active Directory, grupos de domínio, os papéisdo SQL Server, banco de dados de papéis, etc.)
  40. 40.  Um procedimento para criar uma nova conta, quando chega um novo funcionário. Um procedimento para eliminar / desativar uma conta quando um funcionário deixa a empresa. Um procedimento para pedir permissões - com uma data final desejada, se possível - especialmente para permissões especiais.
  41. 41.  Um procedimento para alterações de senha (para logins do SQL Server). Regras e regulamentos a seguir para um novo software ou uma nova aplicação usando um banco de dados SQL Server. Você também deve aplicá-las às aplicações existentes, tanto quanto possível.
  42. 42.  Descrição de como as aplicações devem criptografar arquivos de senha ao usar SQLServer ou modo de autenticação quando as senhas são codificadas. Descrição dos controles de segurança periódicas (automático / manual).
  43. 43.  Documentação para cada procedimento manual e automatizado e as mudanças de segurança. Documentar a existência de verificações e inspeções futuras.
  44. 44.  Firewalls ◦ Colocar um firewall entre o servidor e a Internet. ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no seu firewall de perímetro. Se as instâncias nomeadas estão escutando portas adicionais, bloquear os demais. ◦ Em um ambiente multi-camadas, use múltiplos firewalls para criar sub-redes selecionados.
  45. 45.  Isolamento de serviços ◦ Isolar serviços para reduzir o risco de que um serviço comprometido poderiam ser usadas para comprometer os outros. ◦ Nunca instale o SQL Server em um controlador de domínio. ◦ Executar serviços de servidor SQL separado em contas separadas Windows. ◦ Executar servidor de aplicação e banco de dados em servidores separados.
  46. 46. Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento.  Contas de serviço ◦ Criar contas do Windows com os privilégios mais baixo possível para a execução de serviços do SQL Server.  Sistema de arquivos ◦ Usar NTFS. ◦ Usar RAID para arquivos de dados críticos.
  47. 47.  Use as ferramentas do SQL Server e Microsoft. ◦ SQL Server Profiler. ◦ SQL Server Audit feature ◦ Activity Monitor ◦ Central Management Servers ◦ Data Collector and Management Data Warehouse ◦ SQL Server Policy-Based Management ◦ Resource Governor ◦ Transparent Data Encryption (TDE) ◦ Powershell ◦ Reporting Server
  48. 48.  Ferramentas de terceiros. ◦ Krell Software - http://www.krell- software.com/omniaudit/ ◦ Imperva - http://www.imperva.com/index.html ◦ ApexSQL - http://www.apexsql.com/sql_tools_audit.aspx
  49. 49. Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento. http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx
  50. 50. SQLServerRSwww.sqlserverrs.com.br

×