Académique Documents
Professionnel Documents
Culture Documents
Après notre dernière discussion sur les menaces et les tendances en matière de sécurité,
examinons une solution complète de sécurité de base de données fournie par Oracle.
1
Fuite de plus d’ 1Md d’informations depuis des
serveurs Base de Données
97% des fuites peuvent être évitées avec des contrôles
basiques
98% records stolen
from databases
84% records breached
using stolen credentials
Selon Forrester seulement 20% des clients ont des politiques
71% fell within minutes
de sécurité pour les bases de données
92% discovered
by third party
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Page 2
Source: http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
Verizon est l'un des plus grands fournisseurs de services mobiles au monde. Chaque
année, ils émettent un rapport sur la sécurité informatique.
Faire valoir l'importance de la sécurité des bases de données:
• 98% des enregistrements volés provenaient directement de serveurs de bases de
données.
• 84% des enregistrements violés ont été réalisés à l'aide d'informations d'identification
volées, ce sont des attaquants qui ont pu mettre la main sur des noms d'utilisateur et des
mots de passe pour compromettre davantage des serveurs supplémentaires au sein
d'une organisation. Ce pour cela que nous aurons étudier au lab et dans la suivante
devoir l'utilisation de solutions de gestion des identités et leur evaluation.
• 71% sont tombés en quelques minutes - l'attaque courante consiste à utiliser des
injections SQL pour rapidement compromettre le niveau de l'application Web et extraire
directement les données de la base de données.
• Étonnamment, 92% des violations de données ont été découvertes par un tiers.
Intéressant de savoir que s'ils étaient compromis, comment le sauraient-ils?
2
Pourquoi les databases sont-elles si vulnérables ?
Seulement 20% des clients ont des politiques de sécurité Database
Sécurité
Forrester Research Internet
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Page 3
http://www.oracle.com/us/corporate/analystreports/infrastructure/forrester-thlp-db-security-1445564.pdf
En matière de sécurité réseau, Endpoint Security fait référence à une méthodologie de protection du réseau
d'entreprise en cas d'accès via des appareils distants tels que des ordinateurs portables ou d'autres appareils
sans fil et mobiles. Chaque appareil avec une connexion à distance au réseau crée un point d'entrée potentiel
pour les menaces de sécurité.
SIEM – (Security information and event management - Gestion des informations de sécurité et des événements),
SIEM est un terme désignant les produits et services logiciels combinant la gestion des informations de sécurité
(SIM) et la gestion des événements de sécurité (SEM). La technologie SIEM fournit une analyse en temps réel
des alertes de sécurité générées par le matériel et les applications du réseau. SIEM est vendu sous forme de
logiciel, d'appareil (appliance) ou de services gérés, et est également utilisé pour enregistrer données de sécurité
et générer des rapports à des fins de conformité. Les acronymes SEM, SIM et SIEM ont parfois été utilisés de
manière interchangeable. Le segment de la gestion de la sécurité qui traite de la surveillance en temps réel, de la
corrélation des événements, des notifications et les vues de console sont communément appelées gestion des
événements de sécurité (SEM). La deuxième zone fournit un stockage à long terme ainsi que l'analyse et la
création de rapports des données de journal, et est connue sous le nom de gestion des informations de sécurité
(SIM). Comme pour de nombreuses significations et définitions de capacités, les exigences évolutives façonnent
continuellement les dérivés des catégories de produits SIEM. Le besoin de visibilité centrée sur la voix ou vSIEM
(Voice Security Information and Event Management) est un exemple récent de cette évolution.
Le terme gestion des événements d'information de sécurité (SIEM), décrit les capacités du produit de collecte,
d'analyse et de présentation d'informations à partir du réseau et des dispositifs de sécurité; identité et
applications de gestion d'accès; outils de gestion des vulnérabilités et de conformité aux politiques; les journaux
du système d'exploitation, de la base de données et des applications; et les données sur les menaces externes.
Un objectif clé est de surveiller et d'aider gérer les privilèges des utilisateurs et des services, les services
d'annuaire et autres changements de configuration du système; ainsi que la vérification et l'examen des journaux
et la réponse aux incidents.
3
5/18/2023
Sécurité
Que de choses à faire !!
Audit et Sécuriser le poste client Administration
rapports Sécurité des documents locaux Authentification forte Anti-Phishing et surveillance
Gouvernance
Séparation des
Gestion des configurations Tableaux de bords (COBIT) Politiques de sécurité
responsabilités
4
4
Oracle Confidential 4
5/18/2023
5
5
Oracle Confidential 5
5/18/2023
Espionnage réseau
Data
Injection SQL
Attaques de fichiers et vols de sauvegardes
Réseau mal protégé
Accès aux données mal contrôlés
Applications (WEB) mal codées
6
6
Et voici les risques encourus si vos données ne sont pas très bien protégées.
Oracle Confidential 6
5/18/2023
Processus d’extraction des données de production Masquage irréversible des données sensibles *
non sécurisés
7
7
Maintenant que nous connaissons les risques et leurs conséquences, nous pouvons
prendre des contre-mesures.
Oracle Confidential 7
Sécurité des données
Les acteurs et leurs responsabilités
Pôle sécurité
RSSI et adjoints, Risk Managers, experts
sécurité
Responsable de la définition des politiques de
sécurité et de leur mise en œuvre
Dans l'esprit de la théorie des réseaux d'acteurs (ANT), voici les acteurs impliqués
dans la sécurité des bases de données.
8
Solutions Oracle Database Security
“Defense-in-Depth” pour une Sécurité Maximum
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Page 9
9
Solutions Oracle Database Security
“Defense-in-Depth” pour une Sécurité Maximum
Page 10
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
La prévention est le premier pilier d'Oracle Defense en profondeur pour une sécurité
maximale. Les mesures sont:
• Chiffrement
• Masquage et anonymisation des données
• Contrôle du gestionnaire d'administration
10
Le Chiffrement comme Fondation
Contrôles de Prévention Oracle Database
Page 11
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
11
Masquage “à la volée” des données sensibles
Contrôles de Prévention Oracle Database 12c
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Page 12
Domaines d'utilisation: paiements, soins de santé et généralement tous les cas dans
lesquels des informations sensibles sont traitées.
12
Anonymisation des Données hors-Production
Contrôles de Prévention Oracle Database
Le masquage des données est une fonctionnalité permettant de protéger les données
elles-mêmes contre la visualisation par des personnes qui n'ont pas nécessairement de
raisons d'y accéder. Le cas d'utilisation typique aborde des problèmes tels que la
réplication d'une base de données de production dans un environnement de
développement pour des tests avec un ensemble de données du monde réel (comme
prendre et transformer des numéros de carte de sécurité qui ne seront pas réels).
13
Contrôle des Administrateurs
Contrôles de Prévention Oracle Database
Page 14
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
Database Vault s'appuie sur des technologies publiées plus tôt telles que le contrôle
étiqueté - une première dans l'industrie. Aujourd'hui, nous pouvons éviter que le DBA
ou les utilisateurs puissants voient les données de l'application (particulièrement
important pour la consolidation de la base de données dans un référentiel centralisé). Il
fournit également des politiques personnalisées avec une autorisation multifactorielle,
une fonctionnalité très puissante et populaire auprès des clients qui ont besoin de
contrôler fortement l'accès à la base de données à l'aide de politiques personnalisées
et en les combinant avec des facteurs environnementaux tels que l'adresse IP ou le
sous-réseau, etc., afin de créer des «chemins de confiance» allant du serveur
d'applications à la base de données principale ou appliquer des règles commerciales
qui peuvent correspondre à une conformité réglementaire spécifique ou à des mandats
internes du service informatique. Tous ceux-ci également disponibles depuis version
10g R2.
14
Solutions Oracle Database Security
“Defense-in-Depth” pour une Sécurité Maximum
Page 15
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
15
Monitoring SQL et Pare-feu de base de données
Contrôles de détection pour bases Oracle et non-Oracle
Page 16
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
Une liste blanche d'applications est une liste d'applications et de composants d'application
(bibliothèques, fichiers de configuration, etc.) qui sont autorisés à être présents ou actifs sur
un hôte selon une ligne de base bien définie.
Les technologies utilisées pour appliquer des listes blanches d'applications (pour contrôler
quelles applications sont autorisées à installer ou à exécuter sur un hôte) sont appelées
programmes de liste blanche, programmes de contrôle des applications ou technologies de
liste blanche pour les applications. Les technologies de liste blanche d'applications sont
destinées à arrêter l'exécution de logiciels malveillants et autres logiciels non autorisés.
Contrairement aux technologies de sécurité telles que les logiciels antivirus, qui bloquent les
mauvaises activités connues et autorisent toutes les autres, les technologies de liste blanche
d'applications sont conçues pour permettre une bonne activité connue et bloquer toutes les
autres. [Publication spéciale NIST 800-167].
L'approche de la liste noire consiste à définir quelles entités doivent être bloquées. Une liste
noire est une liste d'entités suspectes ou malveillantes auxquelles l'accès ou les droits
d'exécution doivent être refusés sur un réseau ou un système. Dans le monde de la sécurité
réseau, une liste noire se compose souvent de logiciels malveillants tels que des virus, des
logiciels espions, des chevaux de Troie, des vers et d'autres types de logiciels malveillants.
Vous pouvez également avoir une liste noire d'utilisateurs, d'adresses IP, d'applications,
d'adresses e-mail, de domaines, de processus ou d'organisations. Vous pouvez appliquer la
liste noire à pratiquement tous les aspects de votre réseau.
[https://consoltech.com/blog/blacklisting vs-whitelisting /]
16
Audit, Reporting et Alertes temps-réel
Contrôles de détection pour bases Oracle et non-Oracle
Policies Auditor
Edition de rapports multi-sources Databases
consolidés Custom
SoD détaillée intégrée
Security
Analyst
Page 17
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
Audit Data Vault élimine les silos d'audit existants dans l'espace de l'entreprise,
simplifiant ainsi le rapport d'audit et centralisant également le processus d'audit afin
d'avoir un processus d'audit cohérent dans toute l'entreprise. Également important pour
aider à détecter les traits d'initié, donnant ainsi un signal d'alerte précoce en cas
d'activité suspecte, aide également à détecter et à surveiller les modifications des
données. La dernière tendance est de s'orienter vers un audit unifié.
SOC (Security Operations Center) = Centre des opérations de sécurité
17
Solutions Oracle Database Security
“Defense-in-Depth” pour une Sécurité Maximum
Page 18
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
18
Analyse des Privilèges et des Rôles
Contrôles administratifs pour Oracle Database 12c
Page 19
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
L'analyse des privilèges et des rôles est effectuée avec Oracle Database Vault
19
Découverte des Bases et des Données sensibles
Contrôles administratifs pour Oracle Database 12c
Page 20
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
20
Solutions Oracle Database Security
“Defense-in-Depth” pour une Sécurité Maximum
Page 21
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
12c et cloud et donc 12c apporte des fonctionnalités complète pour la sécurité du
cloud.
De plus on va être dans un contexte consolidé avec le multitenant et donc requiert un
maximum de securité.
21
5/18/2023
Abus de privilèges
• Accès aux données abusif : Un utilisateur averti (souvent à profil technique) disposant de privilèges spéciaux sur les bases pourra accéder à des données
sensibles
• Contrôle des accès (SQL) utilisant des privilèges spéciaux : Des mécanismes de contrôles renforcés bloquent les tentatives d’accès aux données utilisant
des privilèges spéciaux
Page 22
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
22
Oracle Confidential 22
Conclusions:
Architecture de sécurité maximale de la base de données Oracle
Les trois types de contrôles de l'architecture sont : Contrôles préventifs, de détection et administratifs
Les Menaces et considérations concernant la sécurité:
1. Protection contre le contournement de la base de données - la majorité des pirates informatiques ciblent les
serveurs eux-mêmes, là où les bases de données résident et accèdent aux serveurs physiques eux-mêmes, ils
ont accès aux médias en contournant complètement la base de données
2. Protection contre le contournement d'application - en utilisant des outils pour contourner ce que nous
pouvons appeler le chemin de confiance de l'application à la base de données elle-même (tels que des outils
tiers ou même des outils de développement Oracle. Cela peut également se faire via un compte privilégié dans
la base de données elle-même - cela représente un moyen principal d"obtenir un accès non autorisé aux
données. Les initiés utilisent également ces comptes pour accéder aux données. Menaces d"injection SQL sur
les applications héritées - juste une autre façon de contourner efficacement les applications.
3. Protection contre l'exposition des données sensibles - cela peut se produire de diverses manières
– Transport de données sensibles hors de l'environnement de production vers un environnement de test
– Soyez simplement dans des applications héritées ou de nouvelles applications dans lesquelles des contrôles suffisants n'ont pas
été mis en place pour limiter qui a besoin de voir ces données
4. Détection des menaces internes et externes – Comment savez-vous qu'il y a eu une menace ? Cela
nécessite d'examiner les informations d'audit et d'événement qui sont menées à la fois à partir du système
d'exploitation, du réseau et de la base de données et même des répertoires.
Page 23
Copyright © 2013, Oracle and/or its affiliates. All rights reserved. Source: http://education.oracle.com/pls/web_prod-plq-dad/db_pages.getpage?page_id=721&get_params=streamId:21
23
Sécurité maximale de la base de données Oracle
Construire l'architecture
Il existe 4 zones différentes à protéger contre les menaces :
1. Le contournement de la base de données peut être empêché par le cryptage transparent des données (TDE) - il permet
de crypter de manière transparente des données d'application entières dans la base de données sur le disque.
2. Contournement d'application - cela peut se produire de plusieurs façons :
Grâce à des comptes provisionnés dans la base de données - nous avons ici une solution qui utilise:
DB Vault qui permet essentiellement de mettre une limite de protection autour de votre application qui empêche le DBA d'avoir accès aux données de
l'application elle-même.
L'analyse des Privilèges du Vault permet de réduire le nombre de privilèges dont disposent les applications existantes, car l'une des choses communes que
nous avons constatées est que les applications créées au cours des 10 à 15 dernières années sont généralement très privilégiées.
Injection SQL – nous avons ici une solution qui utilise le Audit Vault et DB Firewall.
4. Détection des menaces internes/externes - le problème est de savoir comment on détecte qu'il y a eu une tentative
d'effectuer réellement ses activités - Audit Vault
Page 24
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
DB Bypass : Dynamic Transparent Encription empêche toute personne extérieure à la base de données d'avoir accès aux fichiers physiques qui composent la base
de données. Lorsqu'ils accèdent à ces fichiers, ils ne voient que des données cryptées. Les données restent cryptées également lorsque nous effectuons une
sauvegarde, ce qui élimine efficacement le problème de contournement de la base de données.
Contournement d'application : grâce à la consolidation, une application peut regarder par-dessus la clôture vers une autre application. Il existe une solution appelée
Vault Privilege Analysis afin de réduire la possibilité qu'une certaine application soit utilisée pour contourner une autre application ou le contrôle DB lui-même.
Injection SQL : nous considérons le pare-feu comme une première ligne de défense contre les menaces, en particulier appelées menaces d'injection SQL, qui
exploitent essentiellement les vulnérabilités des applications, en particulier celles qui ne valident pas les entrées. Par exemple, un formulaire d'application à l'écran
peut autoriser des variables d'entrée illicites. à mettre dans ces champs et une instruction SQL est alors comprise dans l'application et la valeur dans ce champ se
trouve dans toute la base de données. Ainsi, par exemple, au lieu de mettre 1 égal à 1. ou de mettre un numéro de commande, quelqu'un pourrait mettre 1 égal à 1,
ce qui obligerait l'application à récupérer toutes les données. Avec le pare-feu de données Oracle, nous pouvons réellement apprendre les instructions SQL et
appliquer un moteur d'analyse de grammaire SQL très puissant qui permet d'examiner l'intention du SQL et de décider s'il faut autoriser le passage du SQL, ou
l'alerter, ou remplacer réellement le Instruction SQL pour une instruction inerte.
Détection des menaces internes/externes – Audit Vault sert de référentiel pour les événements que le pare-feu DB voit. Il peut signaler une alerte sur ces
événements, il peut signaler ces évents et peut également gérer les politiques sur le pare-feu lui-même. De plus, nous pouvons consolider les données d'audit des
bases de données, du système d'exploitation, des répertoires et des sources personnalisées eve (tables d'application personnalisées), les pousser dans le même
référentiel - le coffre-fort d'audit, où les données du pare-feu sont également allées avoir des rapports complets qui couvrent les événements du système d'exploitation
réseau, base de données d'annuaire ainsi que sources d'audit personnalisées.
24
Architecture de sécurité maximale de la base de données Oracle
Activation de l'audit dans la base de données
25
Architecture de sécurité maximale d'Oracle
Meilleures pratiques recommandées
Regardez cette vidéo montrant certaines des fonctionnalités de sécurité de la base de données Oracle:
(281) Complete database security in 4 simple steps I Oracle Database World - YouTube
Page 26
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
The best practices are documented in the Oracle database security manual, and the
two-day security guide that’s published.
Another key thing is to limit Use named DBA Accounts – do not share and limit log in as
SYS DBA. In version 12c there have been introduced some additional rules for
database such as SYS RAC, SYS BACKUP, SYS DG, which allows us to really reduce
the number of times or the requirement to log on as SYS DBA to begin with –
segregation of duties.
Proxy authentication is a very powerful technology and this is enabled on the command
line in order to authorize a user to log on as themselves to the database, but specify
another account they want proxy into, so you have accountability for individual user
authenticated into the database, but then say after they authenticate properly using
their own private credentials, they can then proxy into – their given credentials - say an
application account in order to make, modify or maintain the application.
26
Solutions Oracle Database Security
Plus d’information …
http://www.oracle.com/database/security
Sites Web
http://www.oracle.com/technetwork/database/security
Customer
http://www.oracle.com/goto/database/security-customers
Successes
Newsletters Security Inside Out
Database Insider
LindkedIn Group: Database Insider
Social Media
Twitter: Oracle Database
Blogs http://blogs.oracle.com/securityinsideout
http://blogs.oracle.com/databaseinsider
Page 27
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.
Pour plus d'informations sur la sécurité de la base de données, vous pouvez consulter
les différents liens sur Oracle.com
27