1   Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
The following is intended to outline our general product direction. It        is intended for information purposes only, a...
Seguridad en Base de DatosJuan Carlos DíazPrincipal Sales Consultant
Agenda         Introducción         Problemáticas típicas                    – Solución de Oracle         Conclusiones4...
Oracle: Seguridad desde el Interior                                                                                       ...
Oracle: Seguridad desde el Interior                                                                                      S...
Fugas de datos de servidores de BD     Cerca de 1B de registros comprometidos en los últimos 6 años    2/3 de la informaci...
Los datos no están sólo en Producción                                                                                     ...
¿Cómo es la seguridad de sus BB.DD.?    Resultados 2012 IOUG Enterprise Data Security Survey    68%                       ...
IT Security no prioriza la seguridad en BBDD       Sólo el 20% tiene un plan                                              ...
Fuentes de amenaza         Los ataques pueden venir de cualquier parte                Cuentas de                          ...
Agenda          Introducción          Problemáticas típicas                     – Solución de Oracle          Conclusio...
Usuarios privilegiados         Control de acceso y segregación de funciones                                               ...
Oracle Database Vault         Control de acceso y seguridad en base de datos                                              ...
Acceso indebido a los datos         Datos y comunicaciones en claro15   Copyright © 2012, Oracle and/or its affiliates. Al...
Oracle Advanced Security           Proteger datos sensibles de usuarios no autorizadosOracle Advanced Security            ...
Entornos no productivos         Pruebas funcionales y de rendimiento               HR:               Datos personales     ...
Oracle Data Masking         Enmascaramiento irreversible de datos en entornos no productivos                              ...
Ataques externos         Monitorización y protección frente a SQL Injections                                              ...
Oracle Database Firewall         Primera línea de defensa                                                                 ...
Configuración, auditoría y análisis forense                                                                            Aud...
Oracle Audit Vault         Auditoría de la actividad de BB.DD. en tiempo real                            Datos RR.HH.     ...
Conclusiones          Defensa en profundidad              Completa – único proveedor que cubre todos sus requerimientos  ...
www.oracle.com/database/security                                                                            www.facebook.c...
25   Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
26   Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
Upcoming SlideShare
Loading in …5
×

Seguridad en BBDD (Securityday Bilbao)

407 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
407
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad en BBDD (Securityday Bilbao)

  1. 1. 1 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  2. 2. The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.2 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  3. 3. Seguridad en Base de DatosJuan Carlos DíazPrincipal Sales Consultant
  4. 4. Agenda  Introducción  Problemáticas típicas – Solución de Oracle  Conclusiones4 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  5. 5. Oracle: Seguridad desde el Interior Social Social BLOG BLOG Datos Aplicaciones Usuarios5 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Oracle Confidential 5
  6. 6. Oracle: Seguridad desde el Interior Social Social BLOG SEGURIDAD GESTION DE IDENTIDADES BLOG BASE DE DATOS Y ACCESOS Data Apps Users6 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Oracle Confidential 6
  7. 7. Fugas de datos de servidores de BD Cerca de 1B de registros comprometidos en los últimos 6 años 2/3 de la información sensible y regulada reside en bases de datos … y se dobla cada dos años 48% de fugas de origen interno 89% registros robados usando SQL Injection 86% Hacking usando credenciales robadas7 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by Protecting Data at the Source — Your Databases", August 2011
  8. 8. Los datos no están sólo en Producción Datos Sensibles Partners Temp Reports DW/Analytics Stand By Test Dev 8 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8
  9. 9. ¿Cómo es la seguridad de sus BB.DD.? Resultados 2012 IOUG Enterprise Data Security Survey 68% Datos en ficheros de BD se pueden leer a nivel de S.O. 44% No puede impedir el acceso directo a la B.D. (application bypass) 32% Puede evitar que los DBAs accedan a datos o procedimientos 65% No disponen de medidas para prevenir ataques de SQL injection 61% No monitorizan la escritura de datos sensibles de aplicaciones 55% Copian datos de producción a entornos de desarrollo y test9 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  10. 10. IT Security no prioriza la seguridad en BBDD Sólo el 20% tiene un plan Endpoint Security“Forrester estima que,aunque el 70% de las empresas Authentication Vulnerabilitytiene un plan de seguridad de la and User Management Securityinformación, sólo el 20% de lasempresas tiene un plan deseguridad de base de datos.” Database Security Network Email Security Security 10 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  11. 11. Fuentes de amenaza Los ataques pueden venir de cualquier parte Cuentas de • System admin, DBA, Administrador de Aplicaciones • Credenciales robadas, uso malicioso, errores Administracion • SQL Injection Aplicaciones • Bypass de aplicaciones • Acceso a datos de producción en entornos no seguros Test & Dev • Acceso a datos en producción para resolución de problemas • Acceso directo OS y Red Operaciones • Backups perdidos/robados11 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  12. 12. Agenda  Introducción  Problemáticas típicas – Solución de Oracle  Conclusiones12 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  13. 13. Usuarios privilegiados Control de acceso y segregación de funciones Sábado Martes 11:30 am 1:00 am SELECT * FROM clientes WHERE name LIKE ‘%’; ALTER TABLE clientes MODIFY name VARCHAR(60); Desarrollador DBA13 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  14. 14. Oracle Database Vault Control de acceso y seguridad en base de datos Responsable de seguridad Compras Responsable de aplicación Aplicación RR.HH. Financiero select * from finance.customers DBA• Segregación de funciones y cotos de seguridad• Asegura quién, dónde, cuándo y cómo accede a la base de datos • Asegura los mínimos privilegios a los usuarios privilegiados • Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos• Permite consolidar de forma segura los datos de aplicaciones multicompañía14 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  15. 15. Acceso indebido a los datos Datos y comunicaciones en claro15 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  16. 16. Oracle Advanced Security Proteger datos sensibles de usuarios no autorizadosOracle Advanced Security INSERT Nombre: Juan NadieAutenticación fuerte DNI: 12345678A Oracle Advanced Security Cifrado de red SELECT Nombre: Juan Nadie DNI: 12345678A Los datos se Los datos Oracle Advanced descifran de forma escritos a disco Security transparente y se son cifrados Cifrado de los datos devuelven en claro automáticamente en disco 16 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  17. 17. Entornos no productivos Pruebas funcionales y de rendimiento HR: Datos personales Datos sindicales Datos … Desarrollo = Producción Desarrollador Producción Desarrollo17 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  18. 18. Oracle Data Masking Enmascaramiento irreversible de datos en entornos no productivos Producción Desarrollo NOMBRE DNI SALARIO NOMBRE DNI SALARIO ANA PÉREZ 12345678-A 30,000 ZFDGFAKJIJ 81331100-J 25,000 PEDRO SÁNCHEZ 48765432-Z 25,000 ASDTYHJUK 87766348-S 30,000• Transfiere datos de aplicación de forma segura a entornos no productivos• Evita que desarrolladores de aplicaciones accedan a datos reales de producción• Librerías y políticas extensibles para la automatización del enmascaramiento de datos• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando correctamente18 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  19. 19. Ataques externos Monitorización y protección frente a SQL Injections SELECT nombre, nif, … Datos del FROM clientes cliente AB345 WHERE id = ‘AB345’ ? SELECT nombre, nif, … FROM clientes WHERE id = ‘’?OR 1=119 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  20. 20. Oracle Database Firewall Primera línea de defensa Permitir Log Alertas Sustitución Applications Bloqueo Alertas Informes Informes Políticas OOTB custom• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections, escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos• Políticas flexibles basadas en listas blancas y negras• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones20 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  21. 21. Configuración, auditoría y análisis forense Auditor21 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  22. 22. Oracle Audit Vault Auditoría de la actividad de BB.DD. en tiempo real Datos RR.HH. ! Alertas Informes Datos CRM OOTB Auditoría del dato Informes Datos ERP Custom Databases Políticas Auditor• Consolida los registros de auditorías en un repositorio centralizado y seguro• Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados• Informes predefinidos y personalizados de auditoría de usuarios privilegiados, permisos, logins fallidos, acceso a datos sensibles, cambios de esquema, …• Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc.• Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sybase, DB222 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  23. 23. Conclusiones Defensa en profundidad  Completa – único proveedor que cubre todos sus requerimientos  Transparente – no requiere ningún cambio en las aplicaciones existentes  Fácil de desplegar – consolas que facilitan el despliegue en pocas horas  Rentable – soluciones integradas que reducen el riesgo con un bajo TCO  Probado – #1 en BB.DD. con más de 30 años innovando en seguridad! Monitorización Control de Encriptación y Auditoría y bloqueo acceso enmascaramiento• Database Firewall • Database Vault • Advanced Security • Audit Vault • Data Masking 23 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  24. 24. www.oracle.com/database/security www.facebook.com/OracleDatabase www.twitter.com/OracleDatabase blogs.oracle.com/OracleDatabase24 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  25. 25. 25 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
  26. 26. 26 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.

×