Db security vaba information age 2010 v5.ppt [compatibility m

586 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
586
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Db security vaba information age 2010 v5.ppt [compatibility m

  1. 1. Sigurnost na nivou baze podataka Nikola Pajnogač, VABA Morana Kobal Butković, Oracle Hrvatska
  2. 2. Izazovi vezani uz sigurnost podataka • Što štititi? • Osjetljivi podaci: povjerljivi, osobni (PII), regulatorni zahtjevi • Podaci unutar aplikacija različitih proizvoñača • Sigurni životni ciklus: kreiranje, transport, pohranjivanje, backup, test • Kako zaštiti podatke u postojećim sustavima? • Transparentno? • Gubitak podataka, neodobreni pristup, segregacija dužnosti • Možemo li zadovoljiti poslovne zahtjeve? • Fleksibilno, transparentno, usklañeno s regulativom? • Osigurati aplikacije različitih proizvoñača? • Možemo li smanjiti operativne troškove? • Jednostavno upravljanje? • Performanse? 2
  3. 3. anketa: Poslovni podaci i rizik The 2009 IOUG Data Security Report: Smanjivanje budžeta dovodi do povećanja rizika Samo 21% Samo 20% Samo 12% kriptira osobne kriptira promet kriptira backupe i eksporte podatke u svim prema bazama baza podataka bazama podataka 50% 48% 70% nije svjesno svih kaže da korisnici mogu koristi auditing, ali se baza s osjetljivim podatke dostupiti mimo samo 18% automatski podacima aplikacije monitorira 61% 67% Manje od 30% nemože spriječiti nemože otkriti je li monitorira čitanje/pisanje administratore da to rañeno osjetljivih podataka čitaju/mijenjaju osjetljive podatke
  4. 4. Osiguranje podataka u bazi • Kriptiranje • Monitoriranje aktivnosti • Maskiranje • Praćenje promjena • Klasifikacija • Otkrivanje i • Kontrola pristupa procjena • Sigurne Detection konfiguracije
  5. 5. Oracle Advanced Security Transparent Data Encryption Disk Backups Exports Application Off-Site Facilities • Kriptiranje podataka na mediju za pohranu • Transparentno za aplikacije • Efikasno kriptiranje svih aplikacijskih podataka • Ugrañeno upravljanje ključevima
  6. 6. Oracle Advanced Security Kriptiranje mrežnog prometa i pojačana autentikacija • Na standardima bazirano kriptiranje podataka na prijenosnom putu • Autentikacija korisnika i servera korištenjem autentikacijskih rješenja drugih proizvoñača • Izmjene u infrastrukturi nisu potrebne • Jednostavnost implementacije
  7. 7. Oracle Data Masking Nepovratna deidentifikacija podataka Production Non-Production LAST_NAME SSN SALARY LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 ANSKEKSL 111—23-1111 60,000 BENSON 323-22-2943 60,000 BKJHHEIEDK 222-34-1345 40,000 • Uklanjanje osjetljivih podataka iz ne-produkcijskih baza podataka • Očuvanje referencijalnog integriteta i kompatibilnosti aplikacija • Osjetljivi podaci nikada ne napuštaju baze podataka • Proširiva biblioteka uzoraka i pravila za automatizaciju maskiranja Oracle Confidential 7
  8. 8. Oracle Database Vault Separacija dužnosti i kontrola privilegiranih korisnika Procurement DBA HR Application Finance select * from finance.customers • Separacija dužnosti administratora baze podataka • Limitiranje mogućnosti privilegiranih korisnika • Konsolidiranje podataka različitih aplikacija na siguran način • Nije potrebna prilagodba aplikacija
  9. 9. Oracle Database Vault Više-faktorska kontrola pristupa Procurement HR Application Rebates • Zaštita aplikacijskih podataka i sprečavanje dostupa podacima zaobilaženjem aplikacija • Definiranje tko, gdje, kada i kako dostupa podatke korištenjem pravila i faktora • Predefinirana pravila pristupa za Oracle aplikacije kao i prilagodba pravila pristupa ovisno o pojedinim aplikacijama
  10. 10. Oracle Audit Vault Automatizirano monitoriranje aktivnosti i izvještavanje HR Data ! Alerts Built-in CRM Data Reports Audit Data Custom ERP Data Reports Databases Policies Auditor • Konsolidiranje podataka o nadzoru u sigurni repozitorij • Detektiranje i uzbunjivanje o sumnjivim aktivnostima • Predefinirani izvještaji u skladu s regulativom • Centralizirano upravljanje postavkama nadzora
  11. 11. Zašto korisnici u regiji investiraju u sigurnosne opcije baze podataka? • Advanced Security za kriptiranje osobnih podataka zaposlenika • Advanced Security za usklañivanje s internacionalnom ili nacionalnom regulativom kroz kriptiranje povjerljivih podataka o korisnicima • DB Vault za separaciju dužnosti pri administraciji baza podataka • DB Vault za sprečavanje internih korisnika i administratora u dostupu do osjetljivih informacija i dostavljanju tih informacija konkurenciji • DB Vault, Advanced Security, Data Masking za sprečavanje sigurnosnih incidenata od strane vanjskih suradnika ili administratora koji rade unutar iste kompanije • Audit Vault kao infrastruktura za nadzor usklañena sa zahtjevima auditora • Audit Vault za dugotrajno pohranjivanje podataka o nadzoru prema zahtjevima nacionalnih banaka
  12. 12. Studija slučaja Implementacija Oracle Audit Vaulta u VABA Banka Varaždin
  13. 13. VABA d.d. Banka Varaždin • Osnovana 2005. godine • Regionalna banka, orijentirana na sjeverozapadnu Hrvatsku • Približno190 zaposlenih • 11 poslovnica, 2 središnje lokacije • Vlastiti razvoj • Informacijski sustav banke zasnovan na Oracle bazi podataka i IBM Websphere-u na aplikacijskom sloju
  14. 14. Poslovni zahtjevi • Osigurati nadzor aktivnosti nad produkcijskim okruženjem banke • Omogućiti neporecivost i dokazivost svih radnji nad bazom • dokumentiranje i bilježenje korisničke aktivnosti • preventivno odvraća korisnike od nedozvoljenih aktivnosti • Jednostavnost izvješćivanja • Mogućnost čuvanja audit podataka minimalno godinu dana • Posebna pažnja usmjerena na proces aplikativnog razvoja – povezivanje zahtjeva poslovne strane s radnjama na bazi
  15. 15. Implementacija Audit Vaulta u sustav VABA banke • Auditing na bazi implementiran 1.1.2009. • Do travnja 2010. oko 25 GB podataka • Relativno jednostavna instalacija • Audit Vault servis radi malo opterećenje • Manji problemi tijekom korištenja (većinom poboljšani nakon patchiranja na najnoviju verziju Audit Vaulta 10.2.3.2)
  16. 16. Hardverska infrastruktura • Hardver: • Oracle Audit Vault Server: • Intel server, Xeon CPU, 4 GB RAM • Red Hat Linux 3.5 • Oracle Baza: • Intel server, Xeon CPU, 8 GB RAM • Windows 2003 klaster • Manualno prebacivanje Audit Vault servisa u slučaju pada dijela klastera
  17. 17. Audit Vault - konzola •Pregled uzbuna po: •Mjestu nastanka •Vrsti dogañaja •Popis posljednjih uzbuna Pregled uzbuna •Najčešće pristupani objekti •Neuspjele prijave na bazu Oracle Confidential 17
  18. 18. Postavke auditinga • Postavke auditinga (Audit Policy) su centralizirano definirane na jednaki način za sve korisničke i povlaštene (SYSDBA, SYSOPER, …) račune na bazi • Za ostale račune prati se prijava i odjava na bazu
  19. 19. Izvještavanje Predefinirani izvještaji • Što je sve korisnik A radio na bazi podataka • Što je privilegirani korisnik radio u posljednja 24 sata • Pristup i mijenjanje podataka/procedura • Promjene strukture baze podataka • Akcije visoko privilegiranih korisnika/administratora • Dodavanje novih korisničkih računa te prava pristupa • Rana detekcija sumnjivih aktivnosti
  20. 20. Primjer izvještaja • Promjene na spremljenim procedurama
  21. 21. Primjer izvještaja • Primjer pogrešne prijave na sustav
  22. 22. Primjer izvještaja • Dodavanje rola i privilegija Oracle Confidential 22
  23. 23. Primjer izvještaja • Mogućnost proširivanja izvještaja Mogućnost proširivanja izvještaja raznim varijablama, čak do nivoa kompletnog SQL-a. Oracle Confidential 23
  24. 24. Alerting sustav • Lako postavljanje uzbuna na odreñene dogañaje na sustavu
  25. 25. Zaključak Što smo dobili: • Potpun nadzor nad svim radnjama provedenim nad produkcijskom bazom podataka • Nadzor i mogućnost mapiranja radnji u bazi s zahtjevima poslovne strane • Moguća rekonstrukcija svih radnji u slučaju potrebe ili incidentne situacije • Malo opterećenje produkcijskog okruženja • Nužnost kvalitetne uspostave procesa aplikativnog razvoja Oracle Confidential 25

×