Securite FR

3/24/2016
Security Inside Out

Oracle Database 12c
Fuite de plus d’ 1Md d’informations depuis des

serveurs Base de Données
97% des fuites peuvent être évitées avec des contrôles
basiques
98% records stolen
from databases
84% records breached
using stolen credentials
Selon Forrester seulement 20% des clients ont des politiques
71% fell within minutes
de sécurité Database
92% discovered
by third party
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Page 2
1
3/24/2016
Pourquoi les databases sont-elles si vulnérables ?

Seulement 20% des clients ont des politiques de sécurité Database
Forrester Research Network

Security
“Enterprises are taking on risks Authentication

& User Security SIEM
that they may not even be aware
of. Especially as more and more
Email Security Endpoint
attacks against databases exploit Database Security
Security
legitimate access.”
Web
Application
Firewall
Sécurité
Que de choses à faire !!
Audit et Sécuriser le poste client Administration
rapports Sécurité des documents locaux Authentification forte Anti-Phishing et surveillance
Analyse des Gestion des identités Gestion des accès SLA

référentiels
d’identité Gestion des utilisateurs Authentification
Gestion des
Rapports et Synchronisation de référentiels Fédération patches
attestations
Modélisation des rôles Autorisations Performances
Données
d’audit Gestion des rôles Sécurité des WEB Services
Automatisation
Rapport sur
les risques Sécurité des bases de données
Chiffrement Anonymisation Firewall Contrôle d’accès
Classification Séparation des Audit Authentification
responsabilités forte
Gouvernance
Séparation des
Gestion des configurations Tableaux de bords (COBIT) Politiques de sécurité
responsabilités
4
4
2
3/24/2016
Sécurité des données

Les vulnérabilités
Réseau mal protégé

Applications (WEB) mal codées
Défaut de contrôle d’accès aux fichiers
Data Mauvaise gestion des utilisateurs et de leurs droits

Abus de privilèges
Audit des systèmes inexistant ou mal exploité
Processus d’extraction des données de production
non sécurisés
5
5

Les risques
Espionnage réseau
Data
Injection SQL
Attaques de fichiers et vols de sauvegardes
Accès aux données mal contrôlés
Applications (WEB) mal codées
Défaut de contrôle d’accès aux fichiers Accès aux données abusifs

Mauvaise gestion des utilisateurs et de leurs droits
Non détection d’attaques. Incapacité d’analyse
Abus de privilèges d’incident
Exposition de donnés sensibles dans des
Processus d’extraction des données de production
non sécurisés environnements peu ou non sécurisés
6
6
3
3/24/2016

Les contre-mesures
Chiffrement des flux

Data
Firewall SQL
Chiffrement des données sensibles
Applications (WEB) mal codées Centralisation des comptes utilisateurs

Défaut de contrôle d’accès aux fichiers
Contrôle des accès (SQL) utilisant des privilèges
Mauvaise gestion des utilisateurs et de leurs droits spéciaux
Abus de privilèges
Mise en œuvre d’une infrastructure d’audit
Processus d’extraction des données de production Masquage irréversible des données sensibles
non sécurisés
7
7

Les acteurs et leurs responsabilités
Pôle sécurité
RSSI et adjoints, Risk Managers, experts
sécurité
Responsable de la définition des politiques de
sécurité et de leur mise en œuvre
Pôle système Pôle applications, métier

Architectes, ingénieurs système, ingénieurs Directeur d’activité, responsables
réseau, DBA, experts produits,A d’applications, responsables données,
Responsable du maintien en conditions Data développeursA
opérationnelles (disponibilité, performances, Responsable des processus métier, des
fiabilité) des infrastructures du système données et des applications vitales pour
d’informations. l’activité de l’organisation
Doivent identifier et gérer les moyens Doivent cartographier les applications
techniques utilisés pour satisfaire aux détenant des données critiques.
exigences de sécurité. Pôle Audit & conformité Doivent déterminer quels traitements
Doivent avec les autres acteurs, définir les Auditeurs internes, externes sont appliqués, comment les données
procédures opérationnelles spécifiques à Responsable des contrôles de conformité sont archivées, leur durée de rétention
l’utilisation de mécanismes renforcés de aux politiques de sécurité et aux dans les systèmes, etc.
sécurité. réglementations applicables
Par exemple pour PCI-DSS : Les QSA *
Qualified Security Assessor 8

8
4
3/24/2016
Solutions Oracle Database Security

“Defense-in-Depth” pour une Sécurité Maximum
PRÉVENTION DÉTECTION ADMINISTRATION
Chiffrement Surveillance et Monitoring Analyse des Privilèges
Masquage et Recherche des Données

Firewall dédié DB
Anonymisation sensibles
Contrôles des Gestion de Configuration

Audit et Reporting
Administrateurs Bonnes Pratiques


Firewall dédié DB

Audit et Reporting
Page 10
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
5
3/24/2016
Le Chiffrement comme Fondation

Contrôles de Prévention Oracle Database
Oracle Advanced Security Disk
Transparent Data Encryption (TDE)

Backups
Protège du risque d’accès direct aux données
Pas de modification de l’application (déclaratif) Exports
Gestion de clés intégrée

Off-Site
Overhead « quasi nul » avec l’accélération Facilities
hardware (Intel® AES-NI, SPARC AES Crypto) Applications
Intégration avec les technologies Oracle
i.e. Exadata, Advanced Compression, ASM,

Golden Gate, Data Pump, etc.
Page 11
Masquage “à la volée” des données sensibles

Contrôles de Prévention Oracle Database 12c
Oracle Advanced Security

Data Redaction N° Cartes bancaires
4451-2172-9841-4368
Masquage temps-réel des données sensibles 5106-8395-2095-5938
en fonction du contexte de la session base de 7830-0032-0294-1827
données
Redaction Policy
Librairie de politiques de masquage et
définitions de politiques prédéfinies « point-
and-click »
Application cohérente des politiques de xxxx-xxxx-xxxx-4368 4451-2172-9841-4368
masquage
Transparent pour les applications,
utilisateurs, et les opérations d’administration
Département
Application
Facturation
Call Center
6
3/24/2016
Anonymisation des Données hors-Production

LAST_NAME SSN SALARY

Oracle Data Masking Pack
AGUILAR 203-33-3234 40,000
Anonymisation irréversible des données BENSON 323-22-2943 60,000

sensibles des applications
Production Non-Production
Librairie extensible de formats et règles
d’anonymisation Test
Modèles Applicatifs disponibles Dev
Détection/Préservation de l’intégrité
référentielle (Application Data Model)
Anonymisation et échantillonnage* à la source
Support de l’anonymisation des données LAST_NAME SSN SALARY
hébergées dans des bases non-Oracle
ANSKEKSL 323—23-1111 60,000
BKJHHEIEDK 252-34-1345 40,000

* nécessite l’utilisation d’Oracle Test Data Management Pack
Production
Page 13
Contrôle des Administrateurs

Oracle Database Vault Security

DBA
Confinement des possibilités des Procurement
administrateurs (accès aux données sensibles Application
et commandes SQL) HR DBA
Isolation sécurisée des données applicatives Finance
consolidées
select * from finance.customers
Renforcement de la gouvernance (Séparation Applications
des Droits, Principe du Moindre Privilège, K)
Politiques « Out of the box » pour les
applications DBA
Page 14
7
3/24/2016


Firewall dédié DB

Audit et Reporting
Page 15
Monitoring SQL et Firewall Base de Données

Contrôles de détection pour bases Oracle et non-Oracle
Oracle Audit Vault and

Database Firewall
Monitoring du trafic réseau, détection et blocage de
l’activité SQL non-autorisée Users Allow
Analyse grammaticale très efficace et pertinente du Log
SQL Alert
Apps Substitute
Permet de détecter/stopper les attaques de type Block
Injection SQL
Approche « Liste Blanche » pour l’activité standard
« Listes noires » pour la gestion des activités à SQL
haut risque Analysis Policy
Factors
Appliance Software : sécurisée, performante et Whitelist Blacklist
évolutive
Page 16
8
3/24/2016
Audit, Reporting et Alertes temps-réel

Contrôles de détection pour bases Oracle et non-Oracle
Oracle Audit Vault and

Database Firewall Audit Data &
Event Logs SOC
Référentiel centralisé et sécurisé sous Oracle
Database !
forme de Software Appliance sécurisée Firewall
Alerts
et évolutif Built-in
OS &
Reports
Alertes pertinentes et temps-réel Storage
Custom
Rapports prédéfinis et personnalisables Directories Reports
Policies Auditor
Edition de rapports multi-sources Databases
consolidés Custom
SoD détaillée intégrée
Security
Analyst
Page 17


Firewall dédié DB

Audit et Reporting
Page 18
9
3/24/2016
Analyse des Privilèges et des Rôles

Contrôles administratifs pour Oracle Database 12c
Oracle Database Vault

Privilege Analysis CreateK
DropK
Activer le mode capture des privilèges
ModifyK
Rapport sur privilèges et rôles utilisés DBA role
dans la base APPADMIN role
Aide pour la suppression des privilèges

inutiles
Forcer le « Principe du Moindre Analyse des
Privilège » et réduire les risques privilèges
Renforcer la sécurité dans la continuité
Page 19
Découverte des Bases et des Données sensibles

Contrôles administratifs pour Oracle Database 12c
Oracle Enterprise Manager 12c

Data Discovery
Parcours des bases Oracle à la
recherche de données sensibles
Modèles prédéfinis, définitions
extensibles
Découverte des modèles de données
applicatifs
Protection des données sensibles de
façon appropriée : chiffrement,
masquage, anonymisation, auditK
Page 20
10
3/24/2016


Firewall dédié DB

Audit et Reporting
Page 21
Synthèse : Vulnérabilité, risque, contre-mesure

Oracle Advanced Security Oracle Database Firewall
Réseau mal protégé Application WEB mal codée
• Espionnage : Il est facile d’écouter les communications entre les • Injection SQL : C’est le risque N° 1 identifié cette année pour ces applications. Son
applications et les bases de données et d’en extraire des principe est de conduire cette dernière à exécuter des requêtes d’accès pour lesquelles
informations sensibles elle n’a pas été programmée
• Chiffrement des flux réseau : Il interdit l’analyse des • Firewall SQL : Il permet de classifier les requêtes valides et connues de celles qui ne
communications et garantit également leur intégrité sont pas répertoriées, et peut donc les bloquer et/ou émettre des alertes
Oracle Data Masking Pack Oracle Advanced Security
Processus d’extraction des données de production non sécurisés Faille dans le contrôle d’accès aux fichiers
• Exposition de données sensibles dans des environnements hors production : Le • Attaques de fichiers et/ou vols de sauvegardes : Les fichiers des bases de
manque de temps conduit parfois à extraire des données sans les transformer, ce qui données peuvent être copiés ou exploités (sans se connecter à la base) s’ils sont
les expose à de nombreux risques mal protégés. Des sauvegardes peuvent également être subtilisées, ce qui permet
• Masquage irréversible des données sensibles: La transformation irréversible des de démarrer la base de données sur un autre serveur
données sensibles, en continuant d’assurer l’intégrité fonctionnelle de la base évite • Chiffrement des données sur disque : Il interdit la consultation directe des
leur diffusion vers des environnements ouverts données (chiffrées) dans les fichiers ou l’utilisation d’une sauvegarde sur un autre
Data serveur ,car les clés de chiffrement n’y sont pas accessibles
Oracle Audit Vault
Oracle Label Security & Oracle Directory Services
Mauvaise gestion des utilisateurs et de leurs droits
• Non détection d’attaques. Incapacité d’analyse d’incident : Un défaut d’audit
• Accès aux données mal contrôlés : Gérer de nombreux comptes (techniques, utilisateurs,
empêche la détection rapide d’actions suspectes et l’identification de leurs auteurs
applications) et leur droits d’accès sur de nombreuses bases est difficile. Le risque est grand de
• Mise en œuvre d’une infrastructure d’audit : Le paramétrage et le stockage sécurisé
donner trop de privilèges à certains utilisateurs, ou de perdre la maitrise de ces référentiels
des évènements audités permet de répondre aux questions : QUI, QUAND, QUOI,
lorsqu’ils sont dispersés
OU, COMMENT ?
• Centralisation des comptes utilisateurs : La centralisation du référentiel des utilisateurs et de
leurs privilèges améliore la sécurité en facilitant la gestion des comptes et des droits en un seul
Oracle Database Vault endroit
Abus de privilèges
• Accès aux données abusif : Un utilisateur averti (souvent à profil technique) disposant de privilèges spéciaux sur les bases pourra accéder à des données
sensibles
• Contrôle des accès (SQL) utilisant des privilèges spéciaux : Des mécanismes de contrôles renforcés bloquent les tentatives d’accès aux données utilisant
des privilèges spéciaux
Page 22
22
11
3/24/2016

Plus d’information A
http://www.oracle.com/database/security
Sites Web
http://www.oracle.com/technetwork/database/security
Customer
http://www.oracle.com/goto/database/security-customers
Successes
Newsletters Security Inside Out
Database Insider
LindkedIn Group: Database Insider
Social Media
Twitter: Oracle Database
Blogs http://blogs.oracle.com/securityinsideout
http://blogs.oracle.com/databaseinsider
Page 23
12

Securite FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite FR

Transféré par

Droits d'auteur :

Formats disponibles

3/24/2016

Security Inside Out

Fuite de plus d’ 1Md d’informations depuis des

Pourquoi les databases sont-elles si vulnérables ?

Forrester Research Network

“Enterprises are taking on risks Authentication

Analyse des Gestion des identités Gestion des accès SLA

Sécurité des données

Réseau mal protégé

Data Mauvaise gestion des utilisateurs et de leurs droits

Sécurité des données

Défaut de contrôle d’accès aux fichiers Accès aux données abusifs

Sécurité des données

Chiffrement des flux

Applications (WEB) mal codées Centralisation des comptes utilisateurs

Sécurité des données

Pôle système Pôle applications, métier

Qualified Security Assessor 8

Solutions Oracle Database Security

PRÉVENTION DÉTECTION ADMINISTRATION

Chiffrement Surveillance et Monitoring Analyse des Privilèges

Masquage et Recherche des Données

Contrôles des Gestion de Configuration

Solutions Oracle Database Security

PRÉVENTION DÉTECTION ADMINISTRATION

Chiffrement Surveillance et Monitoring Analyse des Privilèges

Masquage et Recherche des Données

Contrôles des Gestion de Configuration

Le Chiffrement comme Fondation

Oracle Advanced Security Disk

Transparent Data Encryption (TDE)

Gestion de clés intégrée

i.e. Exadata, Advanced Compression, ASM,

Masquage “à la volée” des données sensibles

Oracle Advanced Security

Anonymisation des Données hors-Production

LAST_NAME SSN SALARY

Anonymisation irréversible des données BENSON 323-22-2943 60,000

BKJHHEIEDK 252-34-1345 40,000

Contrôle des Administrateurs

Oracle Database Vault Security

Solutions Oracle Database Security

PRÉVENTION DÉTECTION ADMINISTRATION

Chiffrement Surveillance et Monitoring Analyse des Privilèges

Masquage et Recherche des Données

Contrôles des Gestion de Configuration

Monitoring SQL et Firewall Base de Données

Oracle Audit Vault and

Audit, Reporting et Alertes temps-réel

Oracle Audit Vault and

Solutions Oracle Database Security

PRÉVENTION DÉTECTION ADMINISTRATION

Chiffrement Surveillance et Monitoring Analyse des Privilèges

Masquage et Recherche des Données

Contrôles des Gestion de Configuration

Analyse des Privilèges et des Rôles

Oracle Database Vault

Aide pour la suppression des privilèges

Renforcer la sécurité dans la continuité

Découverte des Bases et des Données sensibles

Oracle Enterprise Manager 12c

Solutions Oracle Database Security

PRÉVENTION DÉTECTION ADMINISTRATION