Oracle database security voor het voetlicht

392 views

Published on

De presentatie is gegeven op het 14 november 2012, tijdens Cyber Security Congres door André van Winssen, Principle Oracle consultant bij AMIS.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
392
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
1
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Oracle database security voor het voetlicht

  1. 1. Cyber Security Congres 14 november 2012ORACLE SECURITY VOOR HET VOETLICHT
  2. 2. “WHO AM I”Andre van Winssengeboren en getogen in Maastricht• 22+ jaar in de weer met Oracle software• Principal Oracle Consultant bij Amis• Oracle • Database • Weblogic, Identity & Access Management• Oracle Certified Professional 7.3 .. 11g• Oracle Certified Master 10g, 11g• CISA, CISSP, CEH
  3. 3. BEDRIJF • Actief vanaf 1991 • 90 medewerkers • + 100 projecten succesvol • + 1000 jr Oracle en Java kennis • 3 Ace directors, 2 Aces, 1 OCM • Kennispartner in Database, Weblogic, SOA en ADF zaken • Oók voor CIP (Centrum Informatiebeveiliging en Privacybescherming) • Sinds 2012 onderdeel van Conclusion
  4. 4. MODERNE THEMA’S• Cyberterrorisme, inbraak, fraude• Opkomst van de Cloud• Mobiele toegang• Audits, voorschriften en compliance• Gegevens delen, snelle provisioning• Budget keuze
  5. 5. THEMA VAN DEZE PRESENTATIE• Database toegangscontrole• Bescherming bij de bron (de data)• Weten met wie je van doen hebt
  6. 6. TWEE KANTEN VAN IDENTITY & ACCESS MANAGEMENT• Technische implementatie • IT afdeling • Daadwerkelijk provisionen van rechten, rollen, gebruikers, tijdelijke toegang etc• Governance • Bedrijfsnivo, voldoen aan regelgeving • Ontwerp/beheer systeembrede • Rollen, functies • Risico analyse
  7. 7. TOEGANGSCONTROLEOok wel BIV codering genoemd (Engels: CIA)Classificatie aanduiding 1. Wenselijk 2. Belangrijk 3. Essentieel Voor deze dimensies 1. Beschikbaarheid 2. Integriteit 3. VertrouwelijkheidOok toepassen op gegevens in database • Hoogste waarde bepaalt classificering van database als geheel.
  8. 8. BIV DIMENSIESBeschikbaarheid • Altijd en overal waar nodig beschikbaarIntegriteit Beschermen tegen ongewenste mutaties • Opzettelijk • Per ongelukVertrouwelijkheid • Toegang tot wat je moet weten voor je functieuitoefening • Geclassificeerd (publiek, beetje geheim, geheim, zeer geheim) • Encryptie toegepastExtra: Verantwoordelijkheid • Moet duidelijk zijn wie eindverantwoordelijk is voor CIA
  9. 9. VERTAALSLAG MAKENBIV codering moet worden vertaaldHoe implementeer je BIV = (3,3,3)?In deze presentatie vooral de Oracleoplossingen
  10. 10. DATABASE VAULT• Vanaf 2007 in Oracle Database 10gR2• Backport naar Oracle Database 9i• Std beschikbaar in Oracle Database 11g• Helpt tegen lezen en wijzigen van business data in productie door ‘superusers’• Separation of Duty in de database • DBA’s • Business users• Géén encryptie !
  11. 11. DATA ENCRYPTIE• Plaintext -> ciphertext -> plaintext• Data at rest • Gebruik DBMS_CRYPTO of extern • Transparent Data Encryption • Database kolom of tablespace • Backups• Data in geheugen • TDE column encryptie• Data in transit • ssh tunneling • Netwerk encryptie à la Oracle • SSL/TLS encryptie gratis voor RAC klanten (EE, OneNode, SE) i.v.m. Security Alert CVE-2012- 1675 a.k.a “TNS Listener Poison Attack”
  12. 12. DATA MASKING/DATA REDACTION• Maskeer gevoelige data bij kopie van productie naar test of acceptatie• Vervang liefst met realistische data en bijna identieke eigenschappen als origineel zoals: • Breedte • Datatype • Formaat • Waardenverdeling (histogram)• Maskeren moet onomkeerbaar proces zijn• Veel nieuwe mogelijkheden in db 12 • DBMS_REDACT package, lijkt op Fine Grained Access Control package DBMS_FGA
  13. 13. DATABASE FIREWALL• Applicatie level firewall• Realtime monitoren• Voorkomt toegang indien ‘verdacht’• SQL grammar-based technologie
  14. 14. DATABASE AUTHENTICATIE WETEN MET WIE JE VAN DOEN HEBT• Via password • Password regels • Laat authenticatie over aan OS• Strong authentication • Certificaten, Public Key Infrastructure • RADIUS, token, smart cards • Kerberos, Directory Services • Biometrics
  15. 15. DATABASE AUDITING WETEN WAT ER GEBEURT IN DE DATABASE• Statement auditing• Privilege auditing• Database object auditing • Do It Yourself database triggers • Flashback data archive, Logminer• Fine-grained auditing (FGA)• Output naar DB, OS files, syslog
  16. 16. TRAINING EN CONSULTANCYMasterclasses Oracle security• Databases• WeblogicConsultancy• implementeren oracle security oplossingen• ‘advanced’ klussen: clustering, hoge beschikbaarheid• Security scans, audits, penetration tests
  17. 17. Q&AVraag aan u:1. Zou u uw database willen hebben draaien bij een Amerikaanse cloud provider, gelet op de Patriot act die Amerikaanse regering wettelijk toestaat om toegang te krijgen tot uw gegevens? Zelfs Larry Ellison, CEO van Oracle Corp., had daar als staatsburger moeite mee2. Mocht u een Europese cloud provider gebruiken, heeft u dan een plan klaar als deze zou worden overgenomen door een Amerikaanse partij (in verband met punt 1)?
  18. 18. LINKS EN REFERENTIEShttp://it.toolbox.com/blogs/oracle-guide/data-masking-and-data-redaction-in-oracle-12c-53318

×