Database Security Com Oracle Enterprise

Database Security com
Oracle Enterprise
Maximum Security Architecture
Daniela Petruzalek
Sales Consultant
Indirect Sales
Junho, 2015
Copyright 2014, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement

The following is intended to outline our general product direction. It is
intended for information purposes only, and may not be incorporated
into any contract. It is not a commitment to deliver any material, code,
or functionality, and should not be relied upon in making purchasing
decisions. The development, release, and timing of any features or
functionality described for Oracles products remains at the sole
discretion of Oracle.
Agenda
1
Introduo
Requisitos de Software
Portflio de Produtos
Concluses
Introduo
Conceitos Bsicos de Segurana da Informao
Poltica de Segurana
A security policy is a formal statement of the rules by which
people who are given access to an organization's
technology and information assets must abide.
The main purpose of a security policy is to inform users,
staff and managers of their obligatory requirements for
protecting technology and information assets. The policy
should specify the mechanisms through which these
requirements can be met.
Fonte: RFC 2196 Site Security Handbook

Poltica de Segurana
What Makes a Good Security Policy?
The characteristics of a good security policy are: (1) It must be
implementable through system administration procedures,
publishing of acceptable use guidelines, or other appropriate
methods. (2) It must be enforcible with security tools,
where appropriate, and with sanctions, where actual prevention
is not technically feasible. (3) It must clearly define the areas
of responsibility for the users, administrators, and
management.
Fonte: RFC 2196 Site Security Handbook

Vale a pena investir em ferramentas de

segurana para...?
Obs.: Muito cuidado ao digitar o login e a senha

Aps cinco tentativas erradas, o sistema bloqueia o acesso
Padres Internacionais de Segurana

TheSarbanesOxley Act of 2002, more commonly
calledSarbanesOxley,SarboxorSOX, is a United States federal
lawthat set new or enhanced standards for all U.S.public
companyboards, management and public accounting firms.
Empresas brasileiras negociadas nos EUA tambm precisam aderir a lei
(ADRs, BDRs, etc)
Payment Card Industry (PCI) Security Standards:

PCI DSS: Padro de Segurana de Dados
PA-DSS: Padro de Segurana de Dados de Aplicativo de Pagamento
PED: Dispositivo de Entrada de Pin
Padres Internacionais de Segurana

ISO/IEC 27001:2005 um padro para sistema de gesto
dasegurana da informao(ISMS-Information Security
Management System) publicado em outubro de 2005 pelo
International Organization for Standardizatione
peloInternational Electrotechnical Commission. Mais
conhecido comoISO 27001
Princpios bsicos de segurana:
Confidencialidade, Integridade, Disponibilidade*
Autenticidade, Irretratabilidade ou no-repdio
Requisitos de Software
Segurana para Banco de Dados
ORACLE DATABASE SECURITY

Mxima Segurana para Infraestrutura Crtica de Dados
Preveno
Deteco
Criptografia
Monitorar Atividades
Mascaramento
Firewall para
Banco de Dados
Controle de
Privilgios
de Usurios
Auditoria e Relatrios
Administrao
Dados confidenciais
e Database Discovery
(BI)
Configurao e
Anlise de
Vulnerabilidades
Automao de
Patches
Controle da TI e Segurana do Banco de

Dados
necessrio minimizar os riscos associados com o
Desenvolvedores
acesso direto ao banco de dados. Controle
Preventivo
necessrio gravar as operaes realizadas,
possibilitando a descoberta e resposta a
fraudes Controle Reativo
Risco
Informaes de
processos de
Aplicaes Middleware
negcio
Usurio Final
IT application control
Histrico de
processos de
negcio
IT general control
Administradores
Banco de Dados
Recursos de Banco de Dados necessrios

Caractersticas
Caractersticas aa Considerar
Considerar
Mecanismo
Mecanismopara
paraocultar
ocultar
informaes
informaessensveis
sensveis
Mecanismo
Mecanismopara
paralimitar
limitaroo
acesso
acessoao
aobanco
bancode
de
dados
dados
(Controle
(ControlePreventivo)
Preventivo)
Mecanismo
Mecanismopara
paraauditar
auditar
ooacesso
acessoao
aobanco
bancode
de
dados
dados
(Controle
(ControleReativo)
Reativo)
Usurios
Usuriosno
no
autorizados
autorizadosno
nodevem
devem
ter
teracesso
acessoaadados
dados
sensveis
sensveis
Controle
Controlede
deacesso
acesso
baseado
baseadoem
emneed
needto
to
know
know
Controle
Controlede
deacesso
acessode
de
usurios
usuriosprivilegiados
privilegiados
Dados
Dadosnecessrios
necessriospara
para
auditoria
so
propriamente
auditoria so propriamente
coletados
coletados
Log
Logde
deauditoria
auditoriaest
est
protegido
contra
destruio
protegido contra destruio
ou
oufalsificao
falsificao
Utilizar
Utilizaros
osdados
dados
efetivamente
para
efetivamente pararelatrios
relatrios
eeanlise
anlise
Funo
Funo Necessria
Necessria
Criptografia/mascarame
nto
ntode
dedados
dadossensveis
sensveis
(incluindo
informaes
(incluindo informaes
pessoais)
pessoais)
Execuo
Execuode
decontrole
controlede
de
acesso
pelo
principio
do
acesso pelo principio do
menor
menorprivilgio
privilgio
Separao
Separaode
deprivilgios
privilgios
dos
dosDBAs
DBAs
Coleta
Coletaprecisa
precisa(fina)
(fina)de
de
dados
de
auditoria
dados de auditoria
Integridade
Integridadedo
doLog
Logde
de
Auditoria
Auditoria
Repositrio
Repositriode
deAuditoria
Auditoria
centralizado
centralizado
Recursos de Banco de Dados necessrios

Caractersticas
Caractersticasaa
Considerar
Considerar
Mecanismo
Mecanismopara
paraocultar
ocultar
informaes
informaessensveis
sensveis
Mecanismo
Mecanismopara
paralimitar
limitaroo
acesso
acessoao
aobanco
bancode
de
dados
dados
(Controle
(ControlePreventivo)
Preventivo)
Mecanismo
Mecanismopara
paraauditar
auditar
ooacesso
acessoao
aobanco
bancode
de
dados
dados
(Controle
(ControleReativo)
Reativo)
Funo
Funo Necessria
Necessria
nto
ntode
dedados
dadossensveis
sensveis
(incluindo
informaes
(incluindo informaes
pessoais)
pessoais)
Execuo
Execuode
decontrole
controlede
de
acesso
pelo
principio
do
acesso pelo principio do
menor
menorprivilgio
privilgio
Separao
Separao de
de
privilgios
privilgios dos
dos DBAs
DBAs
Coleta
Coleta precisa
precisa (fina)
(fina)
de
de dados
dados de
de auditoria
auditoria
Integridade
Integridadedo
doLog
Logde
de
Auditoria
Auditoria
Repositrio
Repositrio de
de
Auditoria
Auditoria
centralizado
centralizado
Recursos
Recursos ee Produtos
Produtos
Oracle
Oracle Advanced
Advanced
Security
Security
Oracle
Oracle Data
Data Masking
Masking
Privilgios,
Privilgios, Virtual
Virtual
Private
Private Database
Database
(VPD),
Label
(VPD), Label Security
Security
Oracle
Oracle Database
Database
Vault
Vault
Fine Grained Auditing,
Fine Grained Auditing,

DBA
DBA Audit,
Audit, Redo
Redo Log
Log
(Log
(Log Miner)
Miner)
Oracle
Oracle Audit
Audit Vault
Vault
Portflio de Produtos
Database Security
Oracle Audit Vault
Consolida os dados de auditoria em um repositrio central seguro

Detecta e alerta atividades suspeitas, incluindo usurios
privilegiados
Relatrios prontos para regulamentaes como SOX, PCI, e outras
Ex., auditoria de usurios privilegiados, permisses, tentativas de logins,
mudanas de dados regulados
What Do You Need To Audit?

Database Audit Requirements
Accounts, Roles & Permissions
Do you have visibility of GRANT and REVOKE
activities?
Failed Logins
Do you have visibility of failed logins and other
exception activities?
Privileged User Activity

Do you have visibility of users activities?
SOX
PCI DSS
HIPAA
PII
FISMA
GLBA
Access to Sensitive Data

Can you have visibility into what information is being
queried (SELECTs)?
Schema Changes
Are you aware of CREATE, DROP and ALTER
Commands that are occurring on identified Tables /
Columns?
Data Changes
Do you have visibility into Insert, Update, Merge,
Delete commands?
Oracle Audit Vault - Heterogeneous Database

Support
Oracle Database 9i, 10g, 11g EE, SE1 and SE

Microsoft SQL Server 2000 2008 Server side trace, Windows event audit,
C2
IBM DB2 8.2 - 9.7 Trace file extracted from binary audit files
Sybase ASE 12.5.4. - 15.7 Audit tables
Oracle Database Firewall
Monitora atividade do banco e previne ataques e SQL Injections

Polticas de segurana baseadas em white-list, black-list, e
exception-list utilizando anlise gramtica de alta preciso para SQL
Bloqueio e monitoramento inline (serial) ou out-of-band (paralelo)
Exemplos de SQL Injection

SELECT * from stock where catalog-no = 'PHE8131' and location = 1
SELECT * from stock where catalog-no = ''--' and location = 1
SELECT * from stock where catalog-no = '' having 1=1 -- ' and location = 1
SELECT * from stock where catalog-no = '' order by 4--' and location = 1
SELECT * from stock where catalog-no = '' union select cardNo,customerId,0
from Orders where name = 'John Smith'--' and location = 1
SELECT * from stock where catalog-no = '' union select min(cardNo),1,0 from
Orders where cardNo > '0'--' and location = 1
Audit Vault and Database Firewall
Oracle Database Lifecycle Management
Descobre e classifica bancos em grupos de polticas de segurana

Varre os bancos para mais de 400 best practices e padres da indstria,
polticas personalizadas, e assegura o compliance com polticas de
segurana
Detecta e previne mudanas de configurao de banco no autorizadas
Patching automtico e provisionamento seguro
Oracle Advanced Security - Transparent Data

Encryption
5105-1051-05105100
Aplicaes
Reviso de
Dados
Dados
confidenciais
5105-1051-05105100
5454-5454-54545454
5500-0000-00000004
Gerenciamento
de Chaves
Criptografia de
Dados
transparente
Disk
Backups
Exports
Dados
Criptografad
os
Protege contra acessos de Sistema Operacional ou Rede

Encriptao eficiente para todos os dados
Gerenciamento de chaves embutido
No requer nenhuma mudana nas aplicaes
Off-Site
Facilities
Reviso e Exibio de Dados Sensveis

Oracle Advanced Security
Reviso em tempo real de dados
sensveis com base no contexto da
sesso do BD
Reviso e definio da biblioteca de
polticas point-and-click
Execuo coerente, e poltica
aplicada a Dados
Transparente para Aplicativos,
Usurios e Atividades Operacionais
Nmeros
Nmeros de
de
Cartes
Cartes de
de Crdito
Crdito
4451-2172-9841-4368
4451-2172-9841-4368
5106-8395-2095-5938
5106-8395-2095-5938
7830-0032-0294-1827
7830-0032-0294-1827
Redaction Policy
xxxx-xxxx-xxxxxxxx-xxxx-xxxx4368
4368
Aplicao Call
Center
4451-2172-98414451-2172-98414368
4368
Billing
Departme
nt
25
Data Redaction
Transformaes suportadas
Redacted Display
Stored Data
10/09/1992
01/01/2001
Partial
987-65-4328
XXX-XX-4328
RegExp
first.last@example.c
om
[hidden]@example.c
om
Rando
m
5105105105105100
5500000000000004
Full
Oracle Confidential Internal/Restricted/Highly

Restricted
26
Oracle Advanced Security

Transparent Data
Encryption (TDE)
Data Redaction
Transparently encrypts data-at-rest in Oracle databases and

securely manages the encryption keys
Protects against theft or loss of disks and backups
Prevents OS users from inspecting the tablespace files
On-the-fly redaction to limit exposure of sensitive data in

applications
Declarative policies centrally managed in the database
Business need to know decisions based on application and
database contexts
Multiple redaction transformations to choose from
Oracle Confidential Internal/Restricted/Highly

Restricted
27
Label Security
Sensivel
Transactions
Confidencial
Report Data
Pblica
Confidencial
Reports
Sensivel
Classifica usurios e dados baseados na necessidade do negcio

Aplica controle de acesso a nvel de registro
Classificao de usurios atravs do Oracle IDM Suite
Oracle Label Security
Controls on Sensitive Database Operations

ALTER TABLESPACE
Sensitive
ALTER SYSTEM
Confidential
CREATE DATABASE LINK
Confidential
Controla operaes sensveis no banco de dados baseadas no nvel de

acesso de segurana
Database Vault Command Controls verifica o nvel de acesso de segurana
Usurios com nvel baixo ou nenhum de segurana no estaro habilitados a
executar determinados comandos
Oracle Database Vault

Procurement
Application
HR
Finance
select * from
finance.customers
Limita os poderes padro de usurios privilegiados

Garante a aplicao de regras no banco de dados
Violaes so auditadas e enviadas para o Audit
Vault
No necessrio mudanas na aplicao
DBA
Oracle Data Masking
Mascara dados sensveis para ambientes de desenvolvimento

Biblioteca centralizada de polticas e templates extensveis para automao
Mascaramento sofisticado: condicional, composto, deterministico
Mascaramento integrado com clonagem
Novo no EM 12c: Modelos de dados de aplicaes
Novo no EM 12c: Descobrimento de dados sensveis
Heterogeneous Data Masking

Oracle Databases
manage
Non-Oracle Databases
Production
monitor
(non-Oracle)
Database
Gateway
manage
Staging
(Oracle)
Staging
(Oracle)
manage
Database
Gateway
manage
Test
Test
(Oracle)
monitor
Enterprise Manager Cloud

Control
with Data Masking
Enterprise Manager Cloud

Control
with Data Masking
Production
(Oracle)
(non-Oracle)
Available for IBM DB2, Microsoft SQLServer, Sybase

Exemplos de Mascaramento de dados

Registros aleatrios Gerar sada para determinados campos
Mascaramento com Base em condies
Countr
Identifier
y
226-956CA
324
610-02US
9191
JX 75 67
UK
44 C
Countr
Identifier
y
CA
US
UK
368-132576
829-374729
AI 80 56
31 D
Health
Record
s
HR
Health
Record
s
Emp ID
324
986
First
Name
Albert
Hussain
FIN
Emp ID
First
Name
324
986
Charlie
Murali
Emp ID
First
Name
324
986
Charlie
Murali
Gerar valores aleatrios preservando o formato

Mascara arquivos do SO armazenado como BLOBs
Compa Closing
ny
Price
IBFG $36.92
XKJU 789.8
Compa Closing
ny
Price
IBFG $89.57
XKJU 341.9
BLOB
317897345
6
650987674
5
Search : [09]{10}
Replace : *
BLOB
**********
**********
e outros
38
Sugestes ao definir critrios de Mascaramento

Qualquer atualizao de
estatsticas do DB destino,
ou verificao scan empty
rows durante processo
Grupo de colunas
relacionadas:
Melhora o desempenho
Reduz o tempo de
desenvolvimento
Preserva formatos
randmicos
Benchmarks de utilizao em Clientes

Custome Data
r
Result
Application
US
County
20 Million
rows
2 hrs to mask InDatabase
PeopleSoft
Financials
Media
35 Million
rows
PeopleSoft HRMS
8 core , 64 GB, x86_64
Financial
2 TB
Database
Custom
Exadata X4-2
Logistics
30 Million
rows
45 min to mask InDatabase

2 hrs to mask In-Export
Custom
Exadata X4-2
1.8 hrs to generate

200GB of subset
Custom
Exadata X2-2
Internal
1 TB
Customer
Hardware
IBM P570 (P6/11 core)
Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Oracle
|
Confidential Internal
Benchmarks por Formato de Mascaramento

Exadata X4-2, 1 Million Rows
Masking Format
Masking Time
Random Number
28 sec
Table Column
37 sec
Random Digits
40 sec
User Defined Function
41 sec
Random Strings
2min 19sec
Encrypt
5min 53sec
Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Oracle
|
Confidential Internal
Data Subsetting
Production
O que ?
Um subconjunto de dados de
produo relacionalmente intacto
para finalidade de testes e
desenvolvimento
Por qu?
Application data
Application
metadata
Subset criteria:
REGION = NORTH AMERICA
AND FISCAL_YEAR = 2009
Test
Reduzir a necessidade de storage

para mltiplas cpias de
ambientes no-produtivos
Application
Application data
metadata
Permite desenvolvedores
* Incluso no licenciamento do Oracle Data Maskin
executarem testes com dados
Objetivo ou condies baseadas em Subsetting

100
%
Tamanho da
Tabela
Tamanho da Base
de Dados
1024
GB
25%
256
GB
100M
Rows
10%
102
GB
20M
Rows
2M
Rows
Baseado em
condies
Table
Rule
Employees
Employee
Department
ID
Salary
ID
125
12
34566
245
10
84756
352
11
69874
879
10
91234
Employees
Employee
Department
ID
ID
Salary
245
879
10
10
Linhas de subset
do departamento
10
84756
91234
43
Sugestes ao definir critrios de Subsetting

Definir quais tabelas, tipos
ou optar por todas as
tabelas da Aplicao
Opo Table rules
Fornecer subsetting para
critrios flexiveis
Opo Column Rules

Executar mascaramento rpido
para algumas colunas
Concluses
Em resumo:
Auditoria de
Atividades
Descoberta
de Dados
Varredura de Varredura de
Compliance Vulnerabilidad
es
Automao
de Patches
Auditoria
Autorizao
Aplicaes
Monitoramento e
bloqueio de SQL
Autenticao
Atividade
DBA no
autorizada
Autoriza
o multifatorial
Banco Encriptado
Mascaramento

Database Security Com Oracle Enterprise

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Database Security Com Oracle Enterprise

Transféré par

Droits d'auteur :

Formats disponibles

Database Security com

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Safe Harbor Statement

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Fonte: RFC 2196 Site Security Handbook

Fonte: RFC 2196 Site Security Handbook

Vale a pena investir em ferramentas de

Obs.: Muito cuidado ao digitar o login e a senha

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Padres Internacionais de Segurana

Payment Card Industry (PCI) Security Standards:

Padres Internacionais de Segurana

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

ORACLE DATABASE SECURITY

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Controle da TI e Segurana do Banco de

Recursos de Banco de Dados necessrios

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Recursos de Banco de Dados necessrios

Fine Grained Auditing,

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Oracle Audit Vault

Consolida os dados de auditoria em um repositrio central seguro

What Do You Need To Audit?

Privileged User Activity

Access to Sensitive Data

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Oracle Audit Vault - Heterogeneous Database

Oracle Database 9i, 10g, 11g EE, SE1 and SE

Oracle Database Firewall

Monitora atividade do banco e previne ataques e SQL Injections

Exemplos de SQL Injection

Audit Vault and Database Firewall

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Oracle Database Lifecycle Management

Descobre e classifica bancos em grupos de polticas de segurana

Oracle Advanced Security - Transparent Data

Protege contra acessos de Sistema Operacional ou Rede

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Reviso e Exibio de Dados Sensveis

Oracle Confidential Internal/Restricted/Highly

Oracle Advanced Security

Transparently encrypts data-at-rest in Oracle databases and

On-the-fly redaction to limit exposure of sensitive data in

Oracle Confidential Internal/Restricted/Highly

Classifica usurios e dados baseados na necessidade do negcio

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Oracle Label Security

Controls on Sensitive Database Operations

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Oracle Label Security

Controls on Sensitive Database Operations

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Oracle Label Security

CREATE DATABASE LINK

Controla operaes sensveis no banco de dados baseadas no nvel de

Copyright 2014, Oracle and/or its affiliates. All rights reserved. |

Oracle Label Security

Controls on Sensitive Database Operations