• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Webinar DataVault Datamasking
 

Webinar DataVault Datamasking

on

  • 916 views

Proteja la información sensible de su BBDD Oracle

Proteja la información sensible de su BBDD Oracle

Statistics

Views

Total Views
916
Views on SlideShare
916
Embed Views
0

Actions

Likes
0
Downloads
23
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Webinar DataVault Datamasking Webinar DataVault Datamasking Presentation Transcript

    • Proteja la informaciónsensible de su BBDD Oracle Olsen Morales Administrador de Sistemas Oracle 12-06-2012
    • Agenda1. Introducción2. Oracle Database Vault3. Oracle Data Masking4. Licenciamiento
    • Introducción3 avanttic Consultoría Tecnológica
    • Más datos que nunca… Dos terceras partes de los datos sensibles y regulados residen en bases de datos… Y se duplican cada año… 1,800 Exabytes 2006 2011 Fuente: IDC, 20114 avanttic Consultoría Tecnológica
    • Más regulaciones que nunca… 90% Compañías atrasadas en el cumplimiento Responsabilidad UK/PRO Enjuiciamiento civil criminal PIPEDA Directivas europeas GLBA Sanciones Sarbanes-Oxley sobre datos Basel II gubernamentales PCI 201CMR17 LOPD Euro SOX K SOX Breach Disclosure FISMA J SOX HIPAA ISO 17799 SAS 70 COBIT AUS/PRO Fuente: IT Policy Compliance Group5 avanttic Consultoría Tecnológica
    • Más fugas de información que nunca… En 2011 se detectaron empresas en 36 países que fueron víctimas de datos comprometidos6 avanttic Consultoría Tecnológica
    • Más amenazas que nunca…http://www.smh.com.au/technology/security/mobile-security-outrage-private-details-accessible-on-net-20110108-19j9j.htmlhttp://www.theage.com.au/national/vodafone-probes-its-security-20110109-19jv5.htmlhttp://www.infosecisland.com/blogview/12692-TripAdvisor-Member-Emails-Stolen-by-Hacker.htmlhttp://www.epsilon.com/news-events/press-releases/2011/epsilon-notifies-clients-unauthorized-entry-email-systemhttp://www.soe.com/securityupdate/pressrelease.vm7 avanttic Consultoría Tecnológica
    • ¿Cuál es la fuente de las fugas? 2011 Data Breach Investigations Report8 avanttic Consultoría Tecnológica
    • La seguridad en Oracle Seguridad de extremo a extremo Database Security • Encriptación y enmascaramiento • Control usuarios privilegiados • Autorización multifactor • Monitorización y auditoría • Configuración de seguridad • Database Firewall Identity Management • Aprovisionamiento usuarios • Gestión de roles • Gestión de permisos Information • Control basado en el riesgo • Directorio Virtual Infrastructure Databases Information Rights Management Applications • Control Acceso a nivel del Documento Content • Todas las copias independientemente de su ubicación (incluso mas allá del firewall) • Auditoría y Revocación9 avanttic Consultoría Tecnológica
    • Seguridad en BBDD Oracle Innovación continua Oracle Database 11g Data Masking TDE Tablespace Encryption Oracle Total Recall Oracle Database 10g Oracle Audit Vault Oracle Database Vault Transparent Data Encryption (TDE) Real Time Masking Oracle Database 9i Secure Config Scanning Fine Grained Auditing Oracle Label Security Oracle8i Enterprise User Security Virtual Private Database (VPD) Database Encryption API Strong AuthenticationOracle7 Native Network Encryption Database AuditingGovernment customer10 avanttic Consultoría Tecnológica
    • Defensa en profundidad de la BBDD Oracle Cifrado y enmascaramiento • Oracle Advanced Security • Oracle Secure Backup • Oracle Data Masking Control de acceso • Oracle Database Vault • Oracle Label Security • Virtual Private Database Auditoría y monitorización Cifrado y • Oracle Audit Vault enmascaramiento • Oracle Configuration Management Control de acceso • Oracle Total Recall Auditoría y monitorización Registro y bloqueo Registro y bloqueo • Oracle Database Firewall11 avanttic Consultoría Tecnológica
    • Seguridad en BBDD Oracle Registro y bloqueo • Monitorizar y bloquear amenazas antes de llegar a la BBDD • Seguimiento de cambios y auditoría de la actividad de la BBDD • Controlar el acceso a los datos dentro de la BBDD • Impedir el acceso a usuarios externos a la BBDD • Cifrado de los datos • Eliminar datos sensibles de entornos no productivos Registro y Auditoría y Control de Cifrado y bloqueo monitorización acceso enmascaramiento• Database Firewall • Audit Vault • Database Vault • Advanced Security • Configuration • Label Security • Secure Backup Management • Virtual Private • Data Masking • Total Recall Database12 avanttic Consultoría Tecnológica
    • Seguridad en BBDD Oracle Auditoría y monitorización • Monitorizar y bloquear amenazas antes de llegar a la BBDD • Seguimiento de cambios y auditoría de la actividad de la BBDD • Controlar el acceso a los datos dentro de la BBDD • Impedir el acceso a usuarios externos a la BBDD • Cifrado de los datos • Eliminar datos sensibles de entornos no productivos Registro y Auditoría y Control de Cifrado y bloqueo monitorización acceso enmascaramiento• Database Firewall • Audit Vault • Database Vault • Advanced Security • Configuration • Label Security • Secure Backup Management • Virtual Private • Data Masking • Total Recall Database13 avanttic Consultoría Tecnológica
    • Seguridad en BBDD Oracle Control de acceso • Monitorizar y bloquear amenazas antes de llegar a la BBDD • Seguimiento de cambios y auditoría de la actividad de la BBDD • Controlar el acceso a los datos dentro de la BBDD • Impedir el acceso a usuarios externos a la BBDD • Cifrado de los datos • Eliminar datos sensibles de entornos no productivos Registro y Auditoría y Control de Cifrado y bloqueo monitorización acceso enmascaramiento• Database Firewall • Audit Vault • Database Vault • Advanced Security • Configuration • Label Security • Secure Backup Management • Virtual Private • Data Masking • Total Recall Database14 avanttic Consultoría Tecnológica
    • Seguridad en BBDD Oracle Cifrado y enmascaramiento • Monitorizar y bloquear amenazas antes de llegar a la BBDD • Seguimiento de cambios y auditoría de la actividad de la BBDD • Controlar el acceso a los datos dentro de la BBDD • Impedir el acceso a usuarios externos a la BBDD • Cifrado de los datos • Eliminar datos sensibles de entornos no productivos Registro y Auditoría y Control de Cifrado y bloqueo monitorización acceso enmascaramiento• Database Firewall • Audit Vault • Database Vault • Advanced Security • Configuration • Label Security • Secure Backup Management • Virtual Private • Data Masking • Total Recall Database15 avanttic Consultoría Tecnológica
    • Seguridad en BBDD Oracle Proteja la información sensible de su BBDD • Monitorizar y bloquear amenazas antes de llegar a la BBDD • Seguimiento de cambios y auditoría de la actividad de la BBDD • Controlar el acceso a los datos dentro de la BBDD (Database Vault) • Impedir el acceso a usuarios externos a la BBDD • Cifrado de los datos • Eliminar datos sensibles de entornos no productivos (Data Masking) Registro y Auditoría y Control de Cifrado y bloqueo monitorización acceso enmascaramiento• Database Firewall • Audit Vault • Database Vault • Advanced Security • Configuration • Label Security • Secure Backup Management • Virtual Private • Data Masking • Total Recall Database16 avanttic Consultoría Tecnológica
    • Control de acceso Oracle Database Vault17 avanttic Consultoría Tecnológica
    • Oracle Database Vault Control de acceso y seguridad en la base de datos “DBA” de seguridad Compras “DBA” de aplicación Aplicación RR.HH. Financiero select * from finance.customers DBA • Segregación de funciones y cotos de seguridad • Asegura quién, dónde, cuándo y cómo accede a la base de datos: • Asegura los mínimos privilegios a los usuarios privilegiados • Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos • Permite consolidar de forma segura los datos de aplicaciones multicompañía18 avanttic Consultoría Tecnológica
    • Oracle Database Vault Funcionalidades • Protege la Base de Datos con separación de funciones por Aplicación/Usuario/Objeto • Permite implementar controles de lectura/escritura de los datos de aplicación • Permite limitar a los DBA’s y súper usuarios el acceso a los datos sensibles • Permite administrar los objetos, aún cuando se limite el acceso a los datos • Proporciona un conjunto de informes de seguridad para control y seguimiento de las medidas implementadas • La protección se implementa con carácter selectivo para usuarios y objetos concretos19 avanttic Consultoría Tecnológica
    • Oracle Database Vault Protegiendo aplicaciones existentes • DBA intenta acceder a datos de HR select * from HR.emp Protección contra accesos DBA • DBA RRHH intenta acceder a datos de Fin HR Eliminando riesgos de seguridad DBA RR.HH. HR Realm por consolidación de servidores Fin DBA Financiero Fin Realm20 avanttic Consultoría Tecnológica
    • Oracle Database Vault Forzando Políticas de Acceso • Un usuario intenta acceder Select …. desde una IP no autorizada Fin Regla basada en IP bloquea la acción Usuario • El usuario realiza una tarea no Create, Alter … autorizada en hora productiva HR Regla basada en fecha y hora Lunes 3 pm HR Realm Desarrollador bloquea la acción21 avanttic Consultoría Tecnológica
    • Oracle Database Vault Conceptos Realms • Firewall de Protección desde dentro de la propia B.D. • Limita el ámbito de Privilegios del Sistema a aplicar Factors • Controles de Acceso de carácter obligatorio • Posibilidad de Autorizaciones multi-factor • Posibilidad de Factores a medida (PL/SQL) Rules / Rule sets • Asociados a Comandos de BBDD • Motor de Reglas para manejar eventos de Exito/Fallo Command Rules • Reglas globales para controlar el uso de sentencias de BBDD, DDL, DML, …22 avanttic Consultoría Tecnológica
    • Oracle Database Vault Realms - Segregación de funciones (ejemplo) 1 SALES_DBA posee el role DBA y puede borrar tablas de HR SQL> CONNECT sales_dba/password SQL> DROP TABLE hr.bonus_it; Table dropped. 2 El administrador de Database Vault crea un realm para asegurar las tablas de HR HR schema 3 SALES_DBA intenta borrar la tabla restaurada bonus_it SQL> DROP TABLE hr.bonus_it; ORA-20401: Realm Violation for drop table on HR.BONUS_IT23 avanttic Consultoría Tecnológica
    • Oracle Database Vault Realms - Acceso del propio esquema (ejemplo) 4 HR no puede borrar una tabla de HR dentro del realm SQL> DROP TABLE bonus_exec; ORA-20401: Realm Violation for drop table on HR.BONUS_EXEC El administrador de Database Vault permite HR 5 como participante dentro del realm HR schema 6 HR es ahora capaz de borrar su propia tabla SQL> DROP TABLE bonus_exec; Table dropped.24 avanttic Consultoría Tecnológica
    • Oracle Database Vault Factors (ejemplo) Domain = INTERNET SELECT * FROM hr.employees Externo WorkHours = FINdeSEMANA UPDATE hr.employees RR.HH. Domain = SEGURO INSERT … INTO sh.sales BSANCHEZ25 avanttic Consultoría Tecnológica
    • Oracle Database Vault Rule Sets Rule 1 TRUE or FALSE AND / OR Rule 2 TRUE or FALSE AND / OR AND / OR Rule n TRUE or FALSE Rule Set Result TRUE or FALSE26 avanttic Consultoría Tecnológica
    • Oracle Database Vault Rule Sets (ejemplo) Is machine local? TRUE or FALSE AND / OR Is it a weekend? TRUE or FALSE AND / OR AND / OR APP.STATUS column > 0? TRUE or FALSE Rule Set Result TRUE or FALSE27 avanttic Consultoría Tecnológica
    • Oracle Database Vault Command Rules (ejemplo) Crear una regla de comando que permita a los usuarios (incluyendo DBAs) crear vistas sobre objetos del esquema OE fuera del horario habitual.28 avanttic Consultoría Tecnológica
    • Oracle Database Vault Command Rules (ejemplo)29 avanttic Consultoría Tecnológica
    • Oracle Database Vault Informes30 avanttic Consultoría Tecnológica
    • Cifrado y Enmascaramiento Oracle Data Masking31 avanttic Consultoría Tecnológica
    • Oracle Enterprise Manager 12c Utilidades para popular entornos no productivos Data Subsetting (subconjunto de datos) Application Data Masking Data Modeling (enmascaramiento (identificación de de datos) datos sensibles) Entornos no productivos32 avanttic Consultoría Tecnológica
    • Oracle Data Masking Anonimización irreversible de datos en entornos no productivos Producción Desarrollo NOMBRE DNI SALARIO NOMBRE DNI SALARIO ANA PÉREZ 12345678-A 30,000 ZFDGFAKJIJ 81331100-J 25,000 PEDRO SÁNCHEZ 98765432-Z 25,000 ASDTYHJUK 87766348-S 30,000 • Transfiere datos de aplicación de forma segura a entornos no productivos • Evita que desarrolladores de aplicaciones accedan a datos reales de producción • Librerías y políticas extensibles para la automatización del enmascaramiento de datos • Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando correctamente33 avanttic Consultoría Tecnológica
    • Oracle Data Masking Proceso de enmascaramiento Mask Test Clonado Clonado Desarrollo Produccion Staging34 avanttic Consultoría Tecnológica
    • Oracle Data Masking Datos nuevos y legibles con las propiedades de los datos reales (tipo, tamaño, formato) LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 BENSON 323-22-2943 60,000 D’SOUZA 989-22-2403 80,000 FIORANO 093-44-3823 45,000 LAST_NAME SSN SALARY ANSKEKSL 111-23-1111 40,000 BKJHHEIEDK 111-34-1345 60,000 KDDEHLHESA 111-97-2749 80,000 FPENZXIEK 111-49-3849 45,00035 avanttic Consultoría Tecnológica
    • Oracle Data Masking Características principales • Detección automática de integridad referencial al enmascarar claves primarias: • Implícita – forzada por DB • Explícita – forzada por la aplicación • Cambios agrupados en columnas dependientes • Librería de formatos de enmascaramiento • Visualización de ejemplo “pre-view” • Templates • Define una vez, ejecuta múltiples veces • Incremental • Código generado eficiente para grandes volúmenes de datos36 avanttic Consultoría Tecnológica
    • Oracle Data Masking Referential Integrity Enforcement Database enforced Application enforced37 avanttic Consultoría Tecnológica
    • Oracle Data Masking Librería de formatos de enmascaramiento Random Number/String/Date, Shuffle, Substring, Table Column38 avanttic Consultoría Tecnológica
    • Oracle Data Masking Librería de formatos de enmascaramiento Formatos para tipos comunes de datos sensibles, como números de tarjetas de crédito, de teléfono, códigos de seguro social, etc.39 avanttic Consultoría Tecnológica
    • Oracle Data Masking Formatos definidos por el usuario40 avanttic Consultoría Tecnológica
    • Oracle Data Masking Técnicas sofisticadas de ocultación • Basada en condiciones: Formatos de máscara diferentes sobre el mismo conjunto de datos en función de las filas que cumplen las condiciones  Ejemplo: Código identificación personal basada en el país de origen • Compuesta: Asegura que un conjunto de columnas relacionadas se enmascara como un grupo, para garantizar que se mantiene la coherencia y relación después de enmascarar  Ejemplo: Ciudad + estado + código postal como un grupo • Determinista: Permite repetir valores ocultados después de ejecutar el proceso de enmascaramiento  Ejemplo: Número cliente ocultado con mismo valor en varias BBDD41 avanttic Consultoría Tecnológica
    • Oracle Data Masking Validación previa • Valida la unicidad de las claves • Coherencia de los formatos con los tipos de las columnas • Espacio disponible • Restricciones de constraints • Que existan particiones por defecto42 avanttic Consultoría Tecnológica
    • Oracle Data Masking Ejecución • Import/Export XML con definiciones de enmascaramiento • Generación de script de enmascaramiento en PL/SQL (friendly) • Post-Mask SQL para LOBs, attachments, valores acumulados, … • Generación de REDO para permitir FLASHBACK al estado previo en test Optimizaciones:  Recolección de estadísticas antes y después del proceso  Una operación bulk para todas las columnas de una tabla  CTAS para recrear las tablas enmascaradas  Sentencias con NOLOGGING  Paralelismo43 avanttic Consultoría Tecnológica
    • Licenciamiento44 avanttic Consultoría Tecnológica
    • Licenciamiento Oracle Database Vault y Oracle Data Masking • Ambas son opciones de BBDD Enterprise Edition • Se licencian del mismo modo que la BBDD asociada: • Por NUP o por Processors • Igual número de licencias • Data Masking no es necesario licenciarlo en las BBDD de destino Mask Test Clonado Clonado Desarrollo Produccion Staging45 avanttic Consultoría Tecnológica
    • Preguntas46 avanttic Consultoría Tecnológica
    • olsen.morales@avanttic.comPara más información contacte con nosotros a través de comercial@avanttic.com BARCELONA MADRID Aragó 182, 4º planta Orense 85 08011 Barcelona 28020 Madrid Tel. 93 151 84 51 Tel. 91 116 17 89