Your SlideShare is downloading. ×
Db security vaba information age 2010 v6.ppt [compatibility m
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Db security vaba information age 2010 v6.ppt [compatibility m

517
views

Published on

Published in: Education

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
517
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Sigurnost na nivou baze podataka Nikola Pajnogač, VABA Morana Kobal Butković, Oracle Hrvatska
  • 2. Izazovi vezani uz sigurnost podataka • Što štititi? • Osjetljivi podaci: povjerljivi, osobni (PII), regulatorni zahtjevi • Podaci unutar aplikacija različitih proizvoñača • Sigurni životni ciklus: kreiranje, transport, pohranjivanje, backup, test • Kako zaštiti podatke u postojećim sustavima? • Transparentno? • Gubitak podataka, neodobreni pristup, segregacija dužnosti • Možemo li zadovoljiti poslovne zahtjeve? • Fleksibilno, transparentno, usklañeno s regulativom? • Osigurati aplikacije različitih proizvoñača? • Možemo li smanjiti operativne troškove? • Jednostavno upravljanje? • Performanse? 2
  • 3. anketa: Poslovni podaci i rizik The 2009 IOUG Data Security Report: Smanjivanje budžeta dovodi do povećanja rizika Samo 21% Samo 20% Samo 12% kriptira osobne kriptira promet kriptira backupe i eksporte podatke u svim prema bazama baza podataka bazama podataka 50% 48% 70% nije svjesno svih kaže da korisnici mogu koristi auditing, ali se baza s osjetljivim podatke dostupiti mimo samo 18% automatski podacima aplikacije monitorira 61% 67% Manje od 30% nemože spriječiti nemože otkriti je li monitorira čitanje/pisanje administratore da to rañeno osjetljivih podataka čitaju/mijenjaju osjetljive podatke
  • 4. Osiguranje podataka u bazi • Kriptiranje • Monitoriranje aktivnosti • Maskiranje • Praćenje promjena • Klasifikacija • Otkrivanje i • Kontrola pristupa procjena • Sigurne Detection konfiguracije
  • 5. Oracle Advanced Security Transparent Data Encryption Disk Backups Exports Application Off-Site Facilities • Kriptiranje podataka na mediju za pohranu • Transparentno za aplikacije • Efikasno kriptiranje svih aplikacijskih podataka • Ugrañeno upravljanje ključevima
  • 6. Oracle Advanced Security Kriptiranje mrežnog prometa i pojačana autentikacija • Na standardima bazirano kriptiranje podataka na prijenosnom putu • Autentikacija korisnika i servera korištenjem autentikacijskih rješenja drugih proizvoñača • Izmjene u infrastrukturi nisu potrebne • Jednostavnost implementacije
  • 7. Oracle Data Masking Nepovratna deidentifikacija podataka Production Non-Production LAST_NAME SSN SALARY LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 ANSKEKSL 111—23-1111 60,000 BENSON 323-22-2943 60,000 BKJHHEIEDK 222-34-1345 40,000 • Uklanjanje osjetljivih podataka iz ne-produkcijskih baza podataka • Očuvanje referencijalnog integriteta i kompatibilnosti aplikacija • Osjetljivi podaci nikada ne napuštaju baze podataka • Proširiva biblioteka uzoraka i pravila za automatizaciju maskiranja Oracle Confidential 7
  • 8. Oracle Database Vault Separacija dužnosti i kontrola privilegiranih korisnika Procurement DBA HR Application Finance select * from finance.customers • Separacija dužnosti administratora baze podataka • Limitiranje mogućnosti privilegiranih korisnika • Konsolidiranje podataka različitih aplikacija na siguran način • Nije potrebna prilagodba aplikacija
  • 9. Oracle Database Vault Više-faktorska kontrola pristupa Procurement HR Application Rebates • Zaštita aplikacijskih podataka i sprečavanje dostupa podacima zaobilaženjem aplikacija • Definiranje tko, gdje, kada i kako dostupa podatke korištenjem pravila i faktora • Predefinirana pravila pristupa za Oracle aplikacije kao i prilagodba pravila pristupa ovisno o pojedinim aplikacijama
  • 10. Oracle Audit Vault Automatizirano monitoriranje aktivnosti i izvještavanje HR Data ! Alerts Built-in CRM Data Reports Audit Data Custom ERP Data Reports Databases Policies Auditor • Konsolidiranje podataka o nadzoru u sigurni repozitorij • Detektiranje i uzbunjivanje o sumnjivim aktivnostima • Predefinirani izvještaji u skladu s regulativom • Centralizirano upravljanje postavkama nadzora
  • 11. Zašto korisnici u regiji investiraju u sigurnosne opcije baze podataka? • Advanced Security za kriptiranje osobnih podataka zaposlenika • Advanced Security za usklañivanje s internacionalnom ili nacionalnom regulativom kroz kriptiranje povjerljivih podataka o korisnicima • DB Vault za separaciju dužnosti pri administraciji baza podataka • DB Vault za sprečavanje internih korisnika i administratora u dostupu do osjetljivih informacija i dostavljanju tih informacija konkurenciji • DB Vault, Advanced Security, Data Masking za sprečavanje sigurnosnih incidenata od strane vanjskih suradnika ili administratora koji rade unutar iste kompanije • Audit Vault kao infrastruktura za nadzor usklañena sa zahtjevima auditora • Audit Vault za dugotrajno pohranjivanje podataka o nadzoru prema zahtjevima nacionalnih banaka
  • 12. Studija slučaja Implementacija Oracle Audit Vaulta u VABA Banka Varaždin
  • 13. VABA d.d. Banka Varaždin • Osnovana 2005. godine • Regionalna banka, orijentirana na sjeverozapadnu Hrvatsku • Približno 190 zaposlenih • 11 poslovnica, 2 središnje lokacije • Vlastiti razvoj • Produkcijski sustav banke zasnovan na Oracle bazi podataka i Javi kao aplikacijskom sloju
  • 14. Poslovni zahtjevi • Osigurati nadzor aktivnosti nad produkcijskim okruženjem banke • Omogućiti neporecivost i dokazivost svih radnji nad bazom • dokumentiranje i bilježenje korisničke aktivnosti • preventivno odvraća korisnike od nedozvoljenih aktivnosti • Jednostavnost izvješćivanja • Mogućnost čuvanja audit podataka minimalno godinu dana • Posebna pažnja usmjerena na proces aplikativnog razvoja – povezivanje zahtjeva poslovne strane s radnjama na bazi
  • 15. Implementacija Audit Vaulta u sustav VABA banke • Auditing na bazi implementiran 1.1.2009. • Do travnja 2010. oko 25 GB podataka • Relativno jednostavna instalacija • Audit Vault servis radi malo opterećenje • Manji problemi tijekom korištenja (većinom poboljšani nakon patchiranja na najnoviju verziju Audit Vaulta 10.2.3.2)
  • 16. Infrastruktura • Hardver/OS: • Oracle Audit Vault Server: • Intel server, Xeon CPU, 4 GB RAM • Red Hat Linux 3.5 • Oracle Baza: • Intel server, Xeon CPU, 8 GB RAM • Windows 2003 klaster • Manualno prebacivanje Audit Vault servisa u slučaju pada dijela klastera
  • 17. Audit Vault - konzola Centralni pregled sustava • Pregled uzbuna po: • Mjestu nastanka • Vrsti dogañaja Pregled uzbuna • Popis posljednjih uzbuna • Najčešće pristupani objekti • Neuspjele prijave na bazu Oracle Confidential 17
  • 18. Postavke auditinga • Postavke auditinga (Audit Policy) su centralizirano definirane na jednaki način za sve korisničke i povlaštene (SYSDBA, SYSOPER, …) račune na bazi • Za ostale račune prati se prijava i odjava na bazu
  • 19. Izvještavanje Predefinirani izvještaji • Što je sve korisnik A radio na bazi podataka • Što je privilegirani korisnik radio u posljednja 24 sata • Pristup i mijenjanje podataka/procedura • Promjene strukture baze podataka • Akcije visoko privilegiranih korisnika/administratora • Dodavanje novih korisničkih računa te prava pristupa • Rana detekcija sumnjivih aktivnosti
  • 20. Primjer izvještaja • Promjene na spremljenim procedurama
  • 21. Primjer izvještaja • Primjer pogrešne prijave na sustav
  • 22. Primjer izvještaja • Dodavanje rola i privilegija Oracle Confidential 22
  • 23. Primjer izvještaja • Mogućnost proširivanja izvještaja Mogućnost proširivanja izvještaja raznim varijablama, čak do nivoa kompletnog SQL-a. Oracle Confidential 23
  • 24. Alerting sustav • Lako postavljanje uzbuna na odreñene dogañaje na sustavu
  • 25. Zaključak Što smo dobili: • Potpun nadzor nad svim radnjama provedenim nad produkcijskom bazom podataka • Nadzor i mogućnost mapiranja radnji u bazi s zahtjevima poslovne strane • Moguća rekonstrukcija svih radnji u slučaju potrebe ili incidentne situacije • Malo opterećenje produkcijskog okruženja • Nužnost kvalitetne uspostave procesa aplikativnog razvoja • Usklañenost s člankom 21. Odluke HNB-a(2007) Oracle Confidential 25