Security inside out oracle database 12c Marcin Kozak

520 views
404 views

Published on

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
520
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Security inside out oracle database 12c Marcin Kozak

  1. 1. Bezpieczeństwo Informacji Oracle Database 12c Marcin Kozak Security Architect
  2. 2. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.2 Breached using weak or stolen credentials Preventable with basic controls 76% 97% Records breached from servers67% Over 1.1Billion Served Discovered by an external party69%
  3. 3. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.3  Podejście do bezpieczeństwa  Przegląd wybranych mechanizmów  Co dalej? Agenda
  4. 4. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.4 Podejście do bezpieczeństwa
  5. 5. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.5 Żródło: Kuppinger Cole Proste bezpieczeństwo już nie jest takie proste Social Engineering Sophisticated Attacks Business Data Theft Reputation Loss • Privilege Abuse • Curiosity • Data Leakage • Accidents • Disclosures
  6. 6. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.6 Słabości w bazie danych? 80% IT nie identyfikuje słabości... Sieć Uprawnienia KontaAudyt Nośnik danych Baza danych
  7. 7. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.7  Wartość informacji się zmienia  Tracimy kontrolę nad informacją przekazaną  Nie rozumiemy wszystkich zagrożeń  Nowe regulacje Bezpieczeństwo w Nowym IT Konsolidacja, Chmura, Outsourcing, Partnerzy, …
  8. 8. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.8 DATABASE GOVERNANCE Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8 PREWENCJA ADMINISTRACJA DETEKCJA
  9. 9. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.9 Przegląd wybranych mechanizmów
  10. 10. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.10 Sposób myślenia Security and Compliance Auditing Activity Monitoring Database Firewall DETECTIVE Data Masking Privileged User Controls Encryption and Redaction PREVENTIVE ADMINISTRATIVE Sensitive Data Discovery Configuration Management Privilege Analysis Activity Monitoring
  11. 11. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.11 Sposób myślenia Security and Compliance Auditing Activity Monitoring Database Firewall DETECTIVE Data Masking Privileged User Controls Encryption and Redaction PREVENTIVE ADMINISTRATIVE Sensitive Data Discovery Configuration Management Privilege Analysis Activity Monitoring
  12. 12. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.12  Szyfrowanie kolumn lub przestrzeni tabel dla danych w spoczynku  Wbudowane zarządzanie kluczami  Bez zmian po stronie aplikacji  Małe wymagania mocy obliczeniowej  Zintegrowane z mechanizmami bazy – RMAN, Compression, ASM, DataPump Advanced Security Transparent Data Encryption (TDE) Prewencja w obszarze ochrony poufności informacji Disk Backups Exports Off-Site Facilities Applications
  13. 13. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.13
  14. 14. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.14 Thurs 11:00 – 12:00 CON8409 – Moscone South 252
  15. 15. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.16  Polityki oparte o użytkowika, IP, kontekst, identyfikatory sesji itd  Stosowane do kolumn dla tabel i widoków  Rózne możliwości (pełna, częściowa)  Przeźroczyste dla aplikacji Advanced Security Redakcja wyświetlanych informacji Prewencja w Oracle Database 12c i 11g (11.2.0.4) Credit Card Numbers 4451-2172-9841-4368 5106-8395-2095-5938 7830-0032-0294-1827 Redaction Policy xxxx-xxxx-xxxx-4368 4451-2172-9841-4368 Billing DepartmentCall Center Application
  16. 16. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.17 Application Screens Before/After Redacting
  17. 17. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.18 Wed 5:00 – 6:00 CON8407 – Moscone South 252
  18. 18. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.19  Zastępuje wrażliwe dane aplikacji  Zachowuje integralność danych  Gotowe biblioteki formatów anonimizacji  Anonimizacja środowisk IBM, Microsoft  Integracja z subsetingiem oraz opcją RAT (Real Application Testing) Oracle Data Masking Anonimizacja/Maskowanie Prewencja dla środowisk bazodanowych (nie tylko Oracle!) LAST_NAME SSN SALARY AGUILAR 203-33-3234 60,000 BENSON 323-22-2943 40,000 Non-production Test Production LAST_NAME SSN SALARY ANSKEKSL 323-23-1111 60,000 BKJHHEIEDK 252-34-1345 40,000 Dev
  19. 19. Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 12 of the corporate presentation template20 Wed 3:30 – 4:30 CON8768 – Moscone West 2024
  20. 20. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.21  Realm – ochrona obiektów wrażliwych  Ograniczenie mocy uprawnień systemowych  Segregacja uprawnień  Blokowanie dostępu za wyjątkiem wskazanych użytkowików  Monitorowanie naruszeń Oracle Database Vault Kontrola uprawnień systemowych Prewencja w obszarze uprawnień Finance HR Procurement select * from procurement.bids HR Admin Applications Security DBA DBA
  21. 21. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.22 Thurs 12:30 – 1:30 CON8424 – Moscone South 252
  22. 22. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.23 Klasyfikacja informacji Prewencja w obszarze dostępu do informacji Confidential Sensitive Sensitive Confidential Public  Wielopoziomowa kontrola dostępu do informacji  Klasyfikacja użytkowików i danych  Kontrola dostępu na poziomie wiersza  Wirtualne partycjonowanie informacji (Chmura)  Oznaczenia informacji mogą być wykorzystane w innych rozwiązaniach Oracle Label Security
  23. 23. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.24 Sposób myślenia Security and Compliance Auditing Activity Monitoring Database Firewall DETECTIVE Data Masking Privileged User Controls Encryption and Redaction PREVENTIVE ADMINISTRATIVE Sensitive Data Discovery Configuration Management Privilege Analysis Activity Monitoring
  24. 24. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.25 Nowe cechy audytu Detekcja w Oracle Database 12c  Nowa składnia  What: CREATE, ALTER, ALL, …  Where: Set of Privileges, Roles, objects  When: IP_ADDRESS !=“10.288.241.88”  Exceptions: Except HR  Grupowanie ustawień audytu  OOTB Polityki audytowe  Nowe role: Audit Viewer and Audit Admin  Jeden audyt Database Auditing
  25. 25. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.26 Tue 3:45 – 4:45 CON8496 – Moscone North 131
  26. 26. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.27 Oracle Audit Vault and Database Firewall Audyt i Raportowanie w czasie rzeczywistym Mechanizm detekcji w bazach danych Audit Data & Event Logs OS & Storage Directories Databases Oracle Database Firewall Custom  Gromadzenie i analiza  Konsolidacja  OOTB Raportowanie (HIPPA, PCI-DSS)  Oprogramowanie  Wsparcie dla AD, LDAP, Systemów Operacyjnych, Baz Danych Policies Reports Alerts! Security Analyst Auditor SOC
  27. 27. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.28 Oracle Audit Vault and Database Firewall Monitorowanie i Firewall Ochrona wielu baz  Monitorowanie ruchu  Blokowanie ruchu nieautoryzowanego  Gramatyka SQL  Biała lista Block Log Allow Alert Substitute Whitelist Blacklist SQL Analysis Policy Factors
  28. 28. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.29 Built-in Reports Alerts Custom Reports ! Policies Oracle Audit Vault and Database Firewall AUDIT DATA AUDIT VAULT Firewall Events Database Firewall Bazy danych, Systemy operacyjne, Usługi katalogowe Custom
  29. 29. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.30 Report with Data from Multiple Source Types Mon 1:45 - 2:45 CON8594 – Moscone North 131
  30. 30. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.31 Sposób myślenia Security and Compliance Auditing Activity Monitoring Database Firewall DETECTIVE Data Masking Privileged User Controls Encryption and Redaction PREVENTIVE ADMINISTRATIVE Sensitive Data Discovery Configuration Management Privilege Analysis Activity Monitoring
  31. 31. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.32 Oracle Database Vault Wykrywanie użycia uprawnień i ról Oracle Database 12c Create… Drop… Update… DBA role APPADMIN role  Wykrywanie użycia w sesji  Raportowanie uprawnień używanych (nie używanych) Unused Update APPADMIN Privilege Analysis
  32. 32. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.33 Thurs 12:30 – 1:30 CON8424 – Moscone South 252
  33. 33. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.34  Skanowanie w poszukiwaniu wrażliwych informacji  OOTB Definicje wraźliwych danych  Wykrywanie modelu aplikacji (ADM)  Ochrona adekwatnie do wartości informacji Oracle Enterprise Manager 12c Wykrywanie wrażliwych informacji Oracle Database 12c
  34. 34. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.35 Oracle Database Lifecycle Management Zarządzanie konfiguracją Administracja bazami danych Oracle Discover Scan & Monitor Patch  Wykrywanie i klasyfikacja  Skanowanie konfiguracji  Standard CIS (parametry)  Wykrywanie nieautoryzowanych zmian  Patching (CPU Advisor)
  35. 35. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.37 Bezpieczeństwo w Oracle DB 12c  Performance and Management – 2x-25x Performance: Label Security, Database Vault, Audit, Encryption – Hardware Cryptographic Acceleration – EM Security Console – Revamped UI  Additions to All DB Editions – Strong Authentication – SSL/TLS and native network encryption – Conditional Auditing – New Separation of Duty Roles – Updated Kerberos and Cryptography stack – Secure DB configuration on Windows  Additions to DB Enterprise Edition – Real Application Security [CON 8567] – Transparent Sensitive Data Protection  Additions to DB Security Options – Data Redaction (Advanced Security) – Privilege Analysis (Database Vault) – Mandatory Realms (Database Vault) – EM Sensitive Data Discovery (for all DB Security Options)
  36. 36. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.38
  37. 37. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.39 Sposób myślenia Defense-in-Depth Auditing Activity Monitoring Database Firewall DETECTIVE Data Masking Privileged User Controls Encryption and Redaction PREVENTIVE ADMINISTRATIVE Sensitive Data Discovery Configuration Management Privilege Analysis Activity Monitoring
  38. 38. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.40 Co dalej?
  39. 39. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.41 Oracle Database Security Regulacje, Programy, Kontrakty Ryzyka IT Standaryzacja Ryzyka Biznesowe
  40. 40. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.42

×