Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Db security vaba information age 2010 v6.ppt [compatibility m

696 views

Published on

Published in: Education
  • Be the first to comment

  • Be the first to like this

Db security vaba information age 2010 v6.ppt [compatibility m

  1. 1. Sigurnost na nivou baze podataka Nikola Pajnogač, VABA Morana Kobal Butković, Oracle Hrvatska
  2. 2. Izazovi vezani uz sigurnost podataka • Što štititi? • Osjetljivi podaci: povjerljivi, osobni (PII), regulatorni zahtjevi • Podaci unutar aplikacija različitih proizvoñača • Sigurni životni ciklus: kreiranje, transport, pohranjivanje, backup, test • Kako zaštiti podatke u postojećim sustavima? • Transparentno? • Gubitak podataka, neodobreni pristup, segregacija dužnosti • Možemo li zadovoljiti poslovne zahtjeve? • Fleksibilno, transparentno, usklañeno s regulativom? • Osigurati aplikacije različitih proizvoñača? • Možemo li smanjiti operativne troškove? • Jednostavno upravljanje? • Performanse? 2
  3. 3. anketa: Poslovni podaci i rizik The 2009 IOUG Data Security Report: Smanjivanje budžeta dovodi do povećanja rizika Samo 21% Samo 20% Samo 12% kriptira osobne kriptira promet kriptira backupe i eksporte podatke u svim prema bazama baza podataka bazama podataka 50% 48% 70% nije svjesno svih kaže da korisnici mogu koristi auditing, ali se baza s osjetljivim podatke dostupiti mimo samo 18% automatski podacima aplikacije monitorira 61% 67% Manje od 30% nemože spriječiti nemože otkriti je li monitorira čitanje/pisanje administratore da to rañeno osjetljivih podataka čitaju/mijenjaju osjetljive podatke
  4. 4. Osiguranje podataka u bazi • Kriptiranje • Monitoriranje aktivnosti • Maskiranje • Praćenje promjena • Klasifikacija • Otkrivanje i • Kontrola pristupa procjena • Sigurne Detection konfiguracije
  5. 5. Oracle Advanced Security Transparent Data Encryption Disk Backups Exports Application Off-Site Facilities • Kriptiranje podataka na mediju za pohranu • Transparentno za aplikacije • Efikasno kriptiranje svih aplikacijskih podataka • Ugrañeno upravljanje ključevima
  6. 6. Oracle Advanced Security Kriptiranje mrežnog prometa i pojačana autentikacija • Na standardima bazirano kriptiranje podataka na prijenosnom putu • Autentikacija korisnika i servera korištenjem autentikacijskih rješenja drugih proizvoñača • Izmjene u infrastrukturi nisu potrebne • Jednostavnost implementacije
  7. 7. Oracle Data Masking Nepovratna deidentifikacija podataka Production Non-Production LAST_NAME SSN SALARY LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 ANSKEKSL 111—23-1111 60,000 BENSON 323-22-2943 60,000 BKJHHEIEDK 222-34-1345 40,000 • Uklanjanje osjetljivih podataka iz ne-produkcijskih baza podataka • Očuvanje referencijalnog integriteta i kompatibilnosti aplikacija • Osjetljivi podaci nikada ne napuštaju baze podataka • Proširiva biblioteka uzoraka i pravila za automatizaciju maskiranja Oracle Confidential 7
  8. 8. Oracle Database Vault Separacija dužnosti i kontrola privilegiranih korisnika Procurement DBA HR Application Finance select * from finance.customers • Separacija dužnosti administratora baze podataka • Limitiranje mogućnosti privilegiranih korisnika • Konsolidiranje podataka različitih aplikacija na siguran način • Nije potrebna prilagodba aplikacija
  9. 9. Oracle Database Vault Više-faktorska kontrola pristupa Procurement HR Application Rebates • Zaštita aplikacijskih podataka i sprečavanje dostupa podacima zaobilaženjem aplikacija • Definiranje tko, gdje, kada i kako dostupa podatke korištenjem pravila i faktora • Predefinirana pravila pristupa za Oracle aplikacije kao i prilagodba pravila pristupa ovisno o pojedinim aplikacijama
  10. 10. Oracle Audit Vault Automatizirano monitoriranje aktivnosti i izvještavanje HR Data ! Alerts Built-in CRM Data Reports Audit Data Custom ERP Data Reports Databases Policies Auditor • Konsolidiranje podataka o nadzoru u sigurni repozitorij • Detektiranje i uzbunjivanje o sumnjivim aktivnostima • Predefinirani izvještaji u skladu s regulativom • Centralizirano upravljanje postavkama nadzora
  11. 11. Zašto korisnici u regiji investiraju u sigurnosne opcije baze podataka? • Advanced Security za kriptiranje osobnih podataka zaposlenika • Advanced Security za usklañivanje s internacionalnom ili nacionalnom regulativom kroz kriptiranje povjerljivih podataka o korisnicima • DB Vault za separaciju dužnosti pri administraciji baza podataka • DB Vault za sprečavanje internih korisnika i administratora u dostupu do osjetljivih informacija i dostavljanju tih informacija konkurenciji • DB Vault, Advanced Security, Data Masking za sprečavanje sigurnosnih incidenata od strane vanjskih suradnika ili administratora koji rade unutar iste kompanije • Audit Vault kao infrastruktura za nadzor usklañena sa zahtjevima auditora • Audit Vault za dugotrajno pohranjivanje podataka o nadzoru prema zahtjevima nacionalnih banaka
  12. 12. Studija slučaja Implementacija Oracle Audit Vaulta u VABA Banka Varaždin
  13. 13. VABA d.d. Banka Varaždin • Osnovana 2005. godine • Regionalna banka, orijentirana na sjeverozapadnu Hrvatsku • Približno 190 zaposlenih • 11 poslovnica, 2 središnje lokacije • Vlastiti razvoj • Produkcijski sustav banke zasnovan na Oracle bazi podataka i Javi kao aplikacijskom sloju
  14. 14. Poslovni zahtjevi • Osigurati nadzor aktivnosti nad produkcijskim okruženjem banke • Omogućiti neporecivost i dokazivost svih radnji nad bazom • dokumentiranje i bilježenje korisničke aktivnosti • preventivno odvraća korisnike od nedozvoljenih aktivnosti • Jednostavnost izvješćivanja • Mogućnost čuvanja audit podataka minimalno godinu dana • Posebna pažnja usmjerena na proces aplikativnog razvoja – povezivanje zahtjeva poslovne strane s radnjama na bazi
  15. 15. Implementacija Audit Vaulta u sustav VABA banke • Auditing na bazi implementiran 1.1.2009. • Do travnja 2010. oko 25 GB podataka • Relativno jednostavna instalacija • Audit Vault servis radi malo opterećenje • Manji problemi tijekom korištenja (većinom poboljšani nakon patchiranja na najnoviju verziju Audit Vaulta 10.2.3.2)
  16. 16. Infrastruktura • Hardver/OS: • Oracle Audit Vault Server: • Intel server, Xeon CPU, 4 GB RAM • Red Hat Linux 3.5 • Oracle Baza: • Intel server, Xeon CPU, 8 GB RAM • Windows 2003 klaster • Manualno prebacivanje Audit Vault servisa u slučaju pada dijela klastera
  17. 17. Audit Vault - konzola Centralni pregled sustava • Pregled uzbuna po: • Mjestu nastanka • Vrsti dogañaja Pregled uzbuna • Popis posljednjih uzbuna • Najčešće pristupani objekti • Neuspjele prijave na bazu Oracle Confidential 17
  18. 18. Postavke auditinga • Postavke auditinga (Audit Policy) su centralizirano definirane na jednaki način za sve korisničke i povlaštene (SYSDBA, SYSOPER, …) račune na bazi • Za ostale račune prati se prijava i odjava na bazu
  19. 19. Izvještavanje Predefinirani izvještaji • Što je sve korisnik A radio na bazi podataka • Što je privilegirani korisnik radio u posljednja 24 sata • Pristup i mijenjanje podataka/procedura • Promjene strukture baze podataka • Akcije visoko privilegiranih korisnika/administratora • Dodavanje novih korisničkih računa te prava pristupa • Rana detekcija sumnjivih aktivnosti
  20. 20. Primjer izvještaja • Promjene na spremljenim procedurama
  21. 21. Primjer izvještaja • Primjer pogrešne prijave na sustav
  22. 22. Primjer izvještaja • Dodavanje rola i privilegija Oracle Confidential 22
  23. 23. Primjer izvještaja • Mogućnost proširivanja izvještaja Mogućnost proširivanja izvještaja raznim varijablama, čak do nivoa kompletnog SQL-a. Oracle Confidential 23
  24. 24. Alerting sustav • Lako postavljanje uzbuna na odreñene dogañaje na sustavu
  25. 25. Zaključak Što smo dobili: • Potpun nadzor nad svim radnjama provedenim nad produkcijskom bazom podataka • Nadzor i mogućnost mapiranja radnji u bazi s zahtjevima poslovne strane • Moguća rekonstrukcija svih radnji u slučaju potrebe ili incidentne situacije • Malo opterećenje produkcijskog okruženja • Nužnost kvalitetne uspostave procesa aplikativnog razvoja • Usklañenost s člankom 21. Odluke HNB-a(2007) Oracle Confidential 25

×