Trabalho realizado pelos discentes Joel Vilela Neto, José Karlos Soares da Silva, Vitor da Cruz Brandão e Washington Luiz Vaz para obtenção de nota na disciplina Segurança e Auditoria de Banco de Dados Oracle, ministrada pelo professor Flavio Rocha
1. 1
CENTRO UNIVERSITÁRIO MAURICIO DE NASSAU
ESPECIALIZAÇÃO EM BANCO DE DADOS ORACLE
JOEL VILELA NETO
JOSÉ KARLOS SOARES DA SILVA
VITOR DA CRUZ BRANDÃO
WASHINGTON LUIZ VAZ
ORACLE ADVANCED SECURITY
Recife
2013
2. 2
JOEL VILELA NETO
JOSÉ KARLOS SOARES DA SILVA
VITOR DA CRUZ BRANDÃO
WASHINGTON LUIZ VAZ
ORACLE ADVANCED SECURITY
Trabalho realizado pelos discentes Joel Vilela Neto, José
Karlos Soares da Silva, Vitor da Cruz Brandão e
Washington Luiz Vaz para obtenção de nota na disciplina
Segurança e Auditoria de Banco de Dados Oracle,
ministrada pelo professor Flavio Rocha
Recife
2013
3. 3
INDICE
INTRODUÇÃO .................................................................................................... 4
1 ORACLE ADVANCED SECURITY ENCRYPTION .......................................... 5
2 CRIPTOGRAFIA DE DADOS TRANSPARENTES ......................................... 6
3 VISÃO GERAL DO PROCESSO DE CRIPTOGRAFIA ................................... 7
4 LABORATÓRIO .............................................................................................. 8
5 CONCLUSÃO ................................................................................................... 19
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................... 20
4. 4
INTRODUÇÃO
Invariavelmente nas organizações, por mais sistemas de segurança que esteja utilizando,
pode por ventura ocorrer incidentes de roubo de identidade e fraudes de dados legados que
podem resultar em diversos prejuízos para a Organização ou até mesmo para sua carteira
de clientes.
Visando esta problemática, várias Organizações, independente do ramo de atividade
possuem a ciência de como é primordial a disponibilidade de controles de segurança
eficazes em de dados confidenciais.
O Oracle Advanced Security proporciona uma segurança transparente, baseada em
padrões, que protege os dados por meio de criptografia rede , nos armazenamento e com
serviços de autenticação forte.
5. 1 ORACLE ADVANCED SECURITY ENCRYPTION
O Oracle Advanced Security Transparent Data Encryption (TDE), é a solução de criptografia
mais avançada no setor.
utilizando algoritmos de criptografia padrão no setor e um gerenciamento de chaves
integrado, municiando uma criptografia transparente
Comparando a tecnologia Oracle com os demais bancos de dados no mercado, o Oracle
Advanced Security não necessita de
alterações de aplicativos.
decodifica os dados antes deles serem retornados ao aplicativo.
de criptografia e decodificação é
Oracle Advanced Security
de conformidade regulamentar,
rede, em mídia de armazenamento e dados no banco de dados de divulgação não
autorizada. A criptografia de dados transparente é um componente
Advanced Security, no qual provê um
dados e resguardando informações confidencias sem qualquer
nos aplicativos.
ORACLE ADVANCED SECURITY ENCRYPTION
O Oracle Advanced Security Transparent Data Encryption (TDE), é a solução de criptografia
s avançada no setor. Sua tecnologia foi lançada na versão Oracle Database 10g,
algoritmos de criptografia padrão no setor e um gerenciamento de chaves
uma criptografia transparente de dados de aplicativos confidenciais.
Comparando a tecnologia Oracle com os demais bancos de dados no mercado, o Oracle
necessita de triggers de banco de dados, visualizações nem outras
alterações de aplicativos. Sua A TDE criptografa os dados de maneira automática
difica os dados antes deles serem retornados ao aplicativo. Em resumo, seu
de criptografia e decodificação é inteiramente transparente a aplicativos e usuários.
Oracle Advanced Security fornece apoio aos clientes de modo a aprovar
de conformidade regulamentar, dando a proteção necessária para dados confidencias na
rede, em mídia de armazenamento e dados no banco de dados de divulgação não
autorizada. A criptografia de dados transparente é um componente
no qual provê uma solução de criptografia de ponta
resguardando informações confidencias sem qualquer necessidade de
5
O Oracle Advanced Security Transparent Data Encryption (TDE), é a solução de criptografia
Oracle Database 10g,
algoritmos de criptografia padrão no setor e um gerenciamento de chaves
de dados de aplicativos confidenciais.
Comparando a tecnologia Oracle com os demais bancos de dados no mercado, o Oracle
de banco de dados, visualizações nem outras
de maneira automática e
Em resumo, seu processo
transparente a aplicativos e usuários.
aprovar todos os requisitos
dados confidencias na
rede, em mídia de armazenamento e dados no banco de dados de divulgação não
autorizada. A criptografia de dados transparente é um componente primordial do Oracle
de ponta para banco de
necessidade de adulterações
6. 6
2 CRIPTOGRAFIA DE DADOS TRANSPARENTES
A proteção de um banco de dados pode ser realizada de diversas maneiras, seja a partir de
um sistema seguro, de criptografias de ativos confidenciais ou até mesmo a partir de um
firewall em volta do sistema operacional onde está instalado o de banco de dados,
entretanto, em um cenário onde é utilizado uma mídia física (como unidades ou fitas de
backup) , onde existe uma possibilidade de ser furtada, a solução viável é criptografar dados
confidenciais no banco de dados e proteger suas chaves para criptografar os dados com um
certificado. Agindo assim, impedimos que alguém sem as chaves use os dados.
A criptografia transparente de dados (TDE) executa criptografia de E/S em tempo real e a
descriptografia de dados e arquivos de log. A criptografia utiliza uma DEK (chave de
criptografia do banco de dados), que é armazenada no registro de inicialização do banco de
dados para disponibilidade durante a recuperação, que por sua vez, é uma chave simétrica
privada por um certificado armazenado no banco de dados mestre do servidor ou uma
chave assimétrica protegida por um módulo EKM.
A TDE resguarda os dados e arquivos de log, fornecendo a disposição de se adaptar a
muitas leis, regulamentos e diretrizes estabelecidos em vários setores e países. Isso permite
que os desenvolvedores de software criptografem dados usando algoritmos de criptografia
AES e 3DES, sem alterar os aplicativos utilizados.
7. 7
3 VISÃO GERAL DO PROCESSO DE CRIPTOGRAFIA
O Oracle Transparent Data Encryption (TDE) admite criptografar colunas individuais que
contêm dados confidenciais, ou tablespaces inteiros da aplicação.
O TDE de forma transparente criptografa dados quando estes são gravados no disco e os
descriptografa quando são lidos de volta ao usuário e/ou aplicação autorizada. As
aplicações não devem ser alteradas para aproveitar este recurso.
A partir da criptografia da coluna TDE, cada tabela com colunas criptografadas tem sua
própria chave de criptografia (chave da tabela), usada para todas as colunas criptografadas
nessa tabela, independentemente do número de colunas criptografadas. Essas chaves da
tabela são armazenadas no dicionário de dados e criptografadas com a chave mestra de
criptografia, armazenada fora do banco de dados Oracle, seja no arquivo Oracle Wallet ou
em um Módulo de Segurança de Hardware (HSM). Nenhuma chave é armazenada com
texto sem formatação.
A criptografia do Tablespace do TDE aceita criptografar tablespaces inteiros da aplicação.
Todos os objetos criados nos tablespaces criptografados são criptografados
automaticamente. A criptografia de tablespaces tem as seguintes vantagens sobre a
criptografia de colunas do TDE:
- Nenhum aumento nos requisitos de armazenamento
- Transparência verdadeira, nenhuma alteração nos planos de execução
- Não há necessidade de identificar colunas individuais para criptografia
- Suporte de todos os tipos de dados e tipos de índice.
Uma vez criada à chave mestra de criptografia (no Oracle Wallet ou no HSM), clique no link
'Tabelas' ou 'Tablespaces' em 'Links Relacionados' nesta página para criptografar seus
dados de aplicação, ou no link 'Importar e Exportar' para criptografar arquivos de
exportação.
9. Agora, será realizada a edição da tabela, para encriptar uma ou mais colunas. Para
exemplo, iremos utilizar a tabela EMP do
em Esquema | Tabelas, para localizá
Em seguida, ao editar a tabelas, serão apresentadas as tabelas do Schema SCOTT. Em
“selecionar”, marcamos a tabela EMP, em seguida, clicamos no botão “Editar”:
Agora, será realizada a edição da tabela, para encriptar uma ou mais colunas. Para
exemplo, iremos utilizar a tabela EMP do Schema SCOTT. No Enterprise Manager, iremos
em Esquema | Tabelas, para localizá-la:
Em seguida, ao editar a tabelas, serão apresentadas as tabelas do Schema SCOTT. Em
“selecionar”, marcamos a tabela EMP, em seguida, clicamos no botão “Editar”:
9
Agora, será realizada a edição da tabela, para encriptar uma ou mais colunas. Para
Schema SCOTT. No Enterprise Manager, iremos
Em seguida, ao editar a tabelas, serão apresentadas as tabelas do Schema SCOTT. Em
“selecionar”, marcamos a tabela EMP, em seguida, clicamos no botão “Editar”:
10. Em seguida, serão apresentadas
para criptografia. Para liberar esta opção, deve
Será apresentada uma tela questionando se deseja realmente ativar as opções de
criptografia da tabela, no qual será informado “Sim”, para prosseguir neste laboratório:
apresentadas todas as colunas da tabela EMP, entretanto, bloqueadas
para criptografia. Para liberar esta opção, deve-se clicar no botão “Opções de Criptografia”:
Será apresentada uma tela questionando se deseja realmente ativar as opções de
criptografia da tabela, no qual será informado “Sim”, para prosseguir neste laboratório:
10
todas as colunas da tabela EMP, entretanto, bloqueadas
se clicar no botão “Opções de Criptografia”:
Será apresentada uma tela questionando se deseja realmente ativar as opções de
criptografia da tabela, no qual será informado “Sim”, para prosseguir neste laboratório:
11. 11
No Enterprise Manager, a criação do Wallet fica no caminho “Servidor | Criptografia de
Dados Transparentes”, com o status da Wallet (ainda não criada) como CLOSED.
Ao criar uma Wallet, será solicitado o usuário e senha do Sistema Operacional e a
informação da senha do Wallet a ser criado, bem como sua confirmação:
12. Criado o Wallet, o Enterprise Manager irá apresentar o diretório do Wallet no Sistema
Operacional e seu status como OPEN.
Para criar um Wallet pelo pelo SQL*PLUS, crie um diretório no Sistema Operacional:
Em seguida, crie o Wallet e defina a chave mestra na instância de Banco de Dados em
execução, digitando o comando abaixo. Onde está “oracl
Criado o Wallet, o Enterprise Manager irá apresentar o diretório do Wallet no Sistema
l e seu status como OPEN.
Para criar um Wallet pelo pelo SQL*PLUS, crie um diretório no Sistema Operacional:
Em seguida, crie o Wallet e defina a chave mestra na instância de Banco de Dados em
execução, digitando o comando abaixo. Onde está “oracle13” é a senha do Wallet:
12
Criado o Wallet, o Enterprise Manager irá apresentar o diretório do Wallet no Sistema
Para criar um Wallet pelo pelo SQL*PLUS, crie um diretório no Sistema Operacional:
Em seguida, crie o Wallet e defina a chave mestra na instância de Banco de Dados em
e13” é a senha do Wallet:
13. Com o Wallet criado, agora poderemos criptografar os dados de uma ou mais colunas de
uma tabela, voltando novamente em Esquema |Tabelas. Ao localizar a tabela SCOTT.EMP,
decidimos criptografar a coluna SAL, marcando em “Cript
clicamos no botão “Opções de Criptografia”:
No SQL*PLUS, a criptografia desta coluna na tabela SCOTT.EMP seria da seguinte
maneira:
Com o Wallet criado, agora poderemos criptografar os dados de uma ou mais colunas de
uma tabela, voltando novamente em Esquema |Tabelas. Ao localizar a tabela SCOTT.EMP,
decidimos criptografar a coluna SAL, marcando em “Criptografado” esta coluna, em seguida,
clicamos no botão “Opções de Criptografia”:
No SQL*PLUS, a criptografia desta coluna na tabela SCOTT.EMP seria da seguinte
13
Com o Wallet criado, agora poderemos criptografar os dados de uma ou mais colunas de
uma tabela, voltando novamente em Esquema |Tabelas. Ao localizar a tabela SCOTT.EMP,
ografado” esta coluna, em seguida,
No SQL*PLUS, a criptografia desta coluna na tabela SCOTT.EMP seria da seguinte
14. Nesta tela do Enterprise Manager, será informado o algoritmo de criptografia. Não
informando o algoritmo desejado, o Oracle considera o AES192 como criptografia padrão.
Ao clicar no botão “Continuar”, ilustrada na janela anterior, será apresentada a tela abaixo,
confirmando que a criptografia da tabela SCOTT.EMP foi realizada com su
visualizar o status do job criado para esta criptografia, o Enterprise Manager disponibiliza um
link, com o nome do Job.
Nesta tela do Enterprise Manager, será informado o algoritmo de criptografia. Não
informando o algoritmo desejado, o Oracle considera o AES192 como criptografia padrão.
Ao clicar no botão “Continuar”, ilustrada na janela anterior, será apresentada a tela abaixo,
confirmando que a criptografia da tabela SCOTT.EMP foi realizada com su
visualizar o status do job criado para esta criptografia, o Enterprise Manager disponibiliza um
14
Nesta tela do Enterprise Manager, será informado o algoritmo de criptografia. Não
informando o algoritmo desejado, o Oracle considera o AES192 como criptografia padrão.
Ao clicar no botão “Continuar”, ilustrada na janela anterior, será apresentada a tela abaixo,
confirmando que a criptografia da tabela SCOTT.EMP foi realizada com sucesso. Para
visualizar o status do job criado para esta criptografia, o Enterprise Manager disponibiliza um
17. Com a tabela criptografada, o usuário só irá conseguir inserir nesta tabela se o wallet estiver
aberto.
Para reabrir o Wallet, o deve ser realizado a utilização do comando abaixo, no SQL*PLUS:
Com a tabela criptografada, o usuário só irá conseguir inserir nesta tabela se o wallet estiver
Para reabrir o Wallet, o deve ser realizado a utilização do comando abaixo, no SQL*PLUS:
17
Com a tabela criptografada, o usuário só irá conseguir inserir nesta tabela se o wallet estiver
Para reabrir o Wallet, o deve ser realizado a utilização do comando abaixo, no SQL*PLUS:
18. Por fim, iremos forçar a geração dos archivelogs:
A criptografia também pode ser verificada no arquivo USERS01.DBF:
Para listar todas as tabelas criptografas,
Por fim, iremos forçar a geração dos archivelogs:
A criptografia também pode ser verificada no arquivo USERS01.DBF:
Para listar todas as tabelas criptografas, utilize o comando da imagem abaixo:
18
utilize o comando da imagem abaixo:
19. 19
CONCLUSÃO
A criptografia de dados e a autenticação forte são os principais componentes do princípio de
defesa em profundidade.
O Oracle Advanced Security para atender todos os requisitos de DSS do PCI, atendendo
deste modo a requisitos confidenciais em um banco de dados, para proteção números de
CPF, contas de bancos, endereços e outras informações a qual seja interessante
criptografar. A proteção de dados confidenciais por meio de unidades de disco e mídias de
backup contra acesso não autorizado, reduz consideravelmente o impacto de mídias
perdidas ou roubadas.
A criptografia em rede do Oracle Advanced Security obtém um papel consideravelmente
formidável na segurança dos dados em trânsito, evitando o acesso não autorizado de dados
confidenciais circulando na intranet. Os serviços de autenticação forte, como Kerberos e
PKI, estão ficando mais conhecidos na identificação de usuários com grau elevado de
certeza.