a cloud védelme (szolgáltatás orientált) biztonsági ... · 32 copyright © 2011, oracle and/or...
Post on 29-Jul-2020
0 Views
Preview:
TRANSCRIPT
1 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
A Cloud védelme (szolgáltatás orientált) biztonsági
szolgáltatásokkal
Fábián Péter Security Solution Architect Eastern Europe Enterprise Security
Nov 8 2011
Budapest
2 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle‘s products remains at the sole discretion of Oracle.
3 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
<Insert Picture Here>
Agenda
• Cloud és biztonsági kockázatai
• Releváns Oracle megoldások
– Adatbázis téren
– Egyéb területeken
• Szolgáltatás orientált biztonsági platform
4 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Cloud computing is a model for enabling ubiquitous, convenient, on-
demand network access to a shared pool of configurable computing
resources (e.g., networks, servers, storage, applications, and services)
that can be rapidly provisioned and released with minimal
management effort or service provider interaction.
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
Cloud Computing??
5 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Cloud architektúrák jellemzői
• Instant skálázhatóság és rugalmasság
• Majdnem azonnali provisioning
• Megosztott erőforrások (hardware, adatbázis, memória,
stb)
• ‗service on demand‘, önkiszolgálás
• ‗pay as you go‘
• Management/provisioning APIk
6 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Cloud és Kontroll
Cloud
szolgáltató
Cloud
szolgáltató
Cloud
szolgáltató
Cloud ügyfél
Cloud ügyfél
Cloud ügyfél
Infrastruktúra (IaaS) pl. Amazon EC2
Platform (PaaS) pl Google App Engine
Alkalmazás (SaaS) pl Oracle On Demand
Control
+
-
7 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Cloud biztonsági kockázatai
Megosztott erőforrások használata
Rosszindulatú cloud használat
Nem biztonságos interface-ek
Rosszindulatú alkalmazottak
Adatvesztés/szivárgás
Hozzáférések, szolgáltatások, forgalom „eltérítése‖
Ismeretlen kockázati profil
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
8 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
8
Oracle Cloud Computing Stratégia
IaaS
PaaS
SaaS
Nyilvános Cloud
IaaS
PaaS
SaaS
Privát Cloud
felhasználók
Oracle mint SaaS
szolgáltató http://cloud.oracle.com
1 2 Technológia
biztosítása más cloud
szolgáltatóknak
Ügyfeleink számára
lehetőségadás Oracle
technológiák cloud-ba
történő telepítésére
3
9 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Adatbázis és cloud
• Nincs rendszer adatbázis nélkül
• Legértékesebb támadási pont
• Az eltulajdonított rekordok 92%-át adatbázisokból nyerik
• ―A Forrester becslése szerint ugyan a cégek 70%-a rendelkezik
információ biztonsági tervvel, de csak 20%-uk készít adatbázis
biztonsági tervet.‖
10 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
• SQL Injection támadás
• Alkalmazás megkerülése Alkalmazások
• Hozzáférés éles adatokhoz egy nem megfelelően védett környezetben
• Hozzáférés éles rendszerhez hibaelhárítási céllal Tesztelés és fejlesztés
• Rendszer admin, DBA, Alkalmazás admin
• Ellopott azonosítók, hiányos képzés, rossz szándékú belsősök
Visszaélés az admin felhasználókkal
• Elveszett / ellopott mentések
• Közvetlen operációs rendszer hozzáférés Üzemeltetés
Sérülékenység forrásai
A támadások bárhonnan érkezhetnek
11 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Üzemeltetés
• Az adatfájlok operációs rendszerből közvetlenül elérhetők, kihagyva minden adatbázis védelmet Mi
• Hozzáférés az operációs rendszer root felhasználójához, Oracle szoftver felhasználójához, Oracle DBA felhasználóhoz
• Nyers adatbázis fájlok másolása és megnyitása olvasásra Hogyan
• Adatbázis fájlok titkosítása
• Operációs rendszer szintű auditálás
• Az éles környezet felhasználóinak korlátozása
Védelmi stratégia
12 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Diszk
Mentések
Export
Külső
tárolás
• Megvéd a jogosulatlan operációs rendszer vagy
hálózat szintű hozzáférésektől
• Minden alkalmazás adat hatékony titkosítása
• Beépített kulcs életciklus menedzsment
• Nincs szükség alkalmazás módosításra
Alkalmazás
Transparent Data Encryption
Oracle Advanced Security
13 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Sérülékenység forrásai Visszaélés az admin felhasználókkal
• SQL Injection támadás
• Alkalmazás megkerülése Alkalmazások
• Hozzáférés éles adatokhoz egy nem megfelelően védett környezetben
• Hozzáférés éles rendszerhez hibaelhárítási céllal
Tesztelés és fejlesztés
• Rendszer admin, DBA, Alkalmazás admin
• Ellopott azonosítók, hiányoz képzés, rossz szándékú belsősök
Visszaélés az admin felhasználókkal
• Elveszett / ellopott mentések
• Közvetlen operációs rendszer hozzáférés Üzemeltetés
14 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Visszaélés az admin felhasználókkal
• Privilégizált felhasználók a támadás célpontjai Mi
• Privilégizált felhasználók korlátlan hozzáféréssel rendelkeznek Hogyan
• Korlátozzuk az adminisztrátorok adatbázis hozzáférését
• Auditáljuk a privilégizált felhasználók aktivitását
• Alkalmazás adatok körül preventív szabályozás
Védelmi stratégia
15 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Procurement
HR
Finance
Adatbázis üzemeltetés szabályozása
Oracle Database Vault
• Privilégizált felhasználók erejének korlátozása, SoD kikényszerítése
• Alkalmazás adatok védelme és alkalmazás megkerülés megelőzése
• Szabályozza ki, hol, mikor és hogyan dolgozhat
• Biztonságos alkalmazás adat konszolidáció
• Nincs szükség alkalmazás változtatásra
Application select * from
finance.customers
DBA
16 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Audit konszolidáció és riportálás
Oracle Audit Vault
• Audit adatok konszolidálása biztonságos adatbázisba
• Gyanús műveletek detektálása és azokról riasztás küldése
• Előre gyártott megfelelőségi jelentések
CRM/ERP Data
Custom App
HR Data
Audit
Data
Policies
Built-in
Reports
Alerts
Custom
Reports
Auditor
!
17 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
• SQL Injection támadás
• Alkalmazás megkerülése Alkalmazások
• Hozzáférés éles adatokhoz egy nem megfelelően védett környezetben
• Hozzáférés éles rendszerhez hibaelhárítási céllal Tesztelés és fejlesztés
• Rendszer admin, DBA, Alkalmazás admin
• Ellopott azonosítók, hiányoz képzés, rossz szándékú belsősök
Visszaélés az admin felhasználókkal
• Elveszett / ellopott mentések
• Közvetlen operációs rendszer hozzáférés Üzemeltetés
Sérülékenység forrásai Tesztelés és fejlesztés
18 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
• Auditálás szűkítése irreverzibilis deperszonalizáció bevezetésével
• Hivatkozás integritás megőrzésével az alkalmazások is működőképesek
• Kiterjeszthető formátum könyvtár és automatizálási szabályok
LAST_NAME SSN SALARY
ANSKEKSL 111—23-1111 40,000
BKJHHEIEDK 222-34-1345 60,000
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
Production Non-Production
Irreverzibilis deperszonalizáció
Oracle Data Masking
19 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Sérülékenység forrásai Alkalmazások
• SQL Injection támadás
• Alkalmazás megkerülése Alkalmazások
• Hozzáférés éles adatokhoz egy nem megfelelően védett környezetben
• Hozzáférés éles rendszerhez hibaelhárítási céllal Tesztelés és fejlesztés
• Rendszer admin, DBA, Alkalmazás admin
• Ellopott azonosítók, hiányoz képzés, rossz szándékú belsősök
Visszaélés az admin felhasználókkal
• Elveszett / ellopott mentések
• Közvetlen operációs rendszer hozzáférés Üzemeltetés
20 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Alkalmazások
• Az alkalmazások sérülékenyek lehetnek SQL Injection támadásokkal szemben
• Legacy alkalmazások különösen védtelenek Mi
• Alkalmazások beviteli mezőit lehet felhasználni Hogyan
• Bejövő SQL forgalom monitorozása
• Nem authorizált SQL blokkolása mielőtt elérné az adatbázist
Védelmi stratégia
21 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
• Többféle adatbázis gyártó támogatott
• Monitorozza az adatbázis aktivitást és megelőzi a támadásokat
• White-list, black-list, és exception-list alapú biztonsági szabályok, melyek
nagyon pontos SQL nyelvi elemzésre épülnek
• In-line blokkolás és monitorozás, vagy out-of-band monitorozási módok
Policies Built-in
Reports Alerts Custom
Reports
Applications Block
Log
Allow
Alert
Substitute
A védelem első vonala a hálózaton
Oracle Database Firewall
22 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Oracle Maximum Security Architektúra
Oracle Audit Vault
Oracle Database Firewall
Applications
Multi-factor Authorizáció
DB Consolidation Security
DBA hatáskör korlátozása
Oracle Database Vault
Kódolt adatbázis Kódolt
adatforgalom Oracle Advanced Security
Oracle Data Masking Mask For Test and Dev
Enterprise Manager Grid Control
Secure Configuration Scanning
Patch Management
23 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Elemzői vélemény
• KuppingerCole strongly recommends to any organization with
Oracle databases in production use to evaluate the Oracle
Database Security offerings and to pick the appropriate ones to
enhance security and compliance support in their production
environments. http://www.oracle.com/us/corporate/analystreports/infrastructure/kpc-oracle-db-security-275228.pdf
24 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
A cloud API-k védelme és monitoringja Oracle Enterprise Gateway
• Legtöbb cloud szolgáltatás webszolgáltatás API-kon át is
elérhető
• Mint cloud felhasználó, hogyan ellenőrzöm a cloud
használatát?
– API kulcsok?
– Ki mit használ
• Mint cloud szolgáltató, hogy védem az API-jaimat?
– Tartalomszűrés, érzékeny adatok védelme
– Denial of service támadás
25 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Oracle Enterprise Gateway
• Webszolgáltatások védelmi eszköze
– XML firewall
– XML gyorsítás
– Teljes webservice security (ws* )támogatás
• Governance
– Rendelkezésreállás monitorozása
– Felhasználás naplózása
26 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Oracle Enterprise Gateway és Cloud
Web Access
Control
Identity &
Role Mgt
Oracle Identity Management
User Provisioning &
Role Governance
User Identities
RBAC, Fine-
Grained
Authorization
Oracle Enterprise Gateway
27 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Egyre több jelszó Oracle Enterprise Single Sign-On
• Sok belső és cloud alkalmazás
• Jellemzően sok-sok különböző usernév – jelszó
• Sok elfelejtett jelszó, elfoglalt helpdesk
• Megoldás
– Kis papírdarab a monitorra rögzítve
– Enterprise Single Signon használata
28 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Oracle Enterprise Single Sign-On
• Automatikus bejelentkezés desktop alkalmazásokba
• Központosított, biztonságos jelszótár
• ESSO anywhere: hordozható SSO
ESSO Anywhere Remote
Client
Download
Access
Enterprise
Applications
Authenticate
Enterprise/Cloud
Alkalmazások
Credential
Store
Validate
29 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Identity és Access Management Cloud
alkalmazásokhoz
• Oracle Identity Manager provisioning connectorok
Salesforce, Google Apps, Amazon AWS, Microsoft Live,
Oracle OnDemand alkalmazásokhoz
• Oracle Identity Federation Google, Oracle OnDemand
single signon
• Oracle Fedlet: SaaS szolgáltatók alkalmazásai gyorsan
kapcsolhatók federativ authentikációs láncokba
• Oracle Unified Directory: szabványos, elasztikus címtár
alkalmazás authentikáció-authorizációs célra
30 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Oracle Platform Security Services
Access Management Identity Administration Directory Services
Access Manager
Adaptive Access Manager
Enterprise Single Sign-On
Entitlements Server
Identity Federation
Web Services Manager
Identity Manager Directory Server EE
Internet Directory
Virtual Directory
Identity Analytics
Management Pack For Identity Management
Operational Manageability
Identity & Access Governance
Security Governor
Oracle Identity Management portfolió
Teljeskörű, integrált, piacvezető
31 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Service Oriented Security
Szerepkörök Authorizáció Audit Authentikáció Provisioning Házirendek, XACML
Session Management
Címtár szolgáltatások
• Skálázható runtime security szolgáltatások
• Központosított management, egységes kontroll
• Teljes biztonsági szolgáltatásplatform
• Identity as a Service
Identity Store, Credential Store, and Policy Store Providers
Access Management Directory Services Identity Administration
Oracle Identity Management
32 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
46%
Cost Savings
Source: Aberdeen “Analyzing point solutions vs. platform” 2011
Benefits Oracle IAM Suite
Advantage
Increased End-
User Productivity
• Emergency Access
• End-user Self Service
• 11% faster
• 30% faster
Reduced Risk • Suspend/revoke/de-
provision end user access • 46% faster
Enhanced Agility
• Integrate a new app faster
with the IAM infrastructure
• Integrate a new end user
role faster into the solution
• 64% faster
• 73% faster
Enhanced
Security and
Compliance
• Reduces unauthorized
access
• Reduces audit deficiencies
• 14% fewer
• 35% fewer
Reduced Total
Cost
• Reduces total cost of IAM
initiatives • 48% lower
48%
More Responsive
35% Fewer Audit Deficiencies
Security Platform vs. Point Solutions
http://www.oracle.com/webapps/dialogue/ns/dlgwelcome.jsp?p_ext=Y&p_dlg_id=10644056&src=7319991&Act=11
33 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
IAM mint SaaS szolgáltatás
• Elosztott provisioning komponens: provisioning gateway
• Könnyebb firewall konfiguráció és kommunikáció
Provisioning
Gateway
Connector
Bundle
Oracle Identity Manager
Connector Framework
App 1
App
Metadata App
Metadata App
Metadata
DB
App 2
Connector
Bundle
Connector
Bundle
Connector
Config
34 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Identity As A Service (IaaS) Service-Oriented Security
SP System
Administrator
Tenant
Administrator
Cloud
Services
IDaaS Keretrendszer
IDaaS Interfaces (REST)
IDaaS Admin Interfaces (REST, SOAP)
Oracle Platform Security Szolgáltatások
Shared Services for Access Shared Services for Identity
Oracle Identity Management
Tenant Config Metadata
Cloud Service
Developer
35 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
Az Oracle identity közösség
Security Inside Out News Letter:
http://oracle.com/newsletters
Identity Management Home Page: http://www.oracle.com/identity
Twitter: http://twitter.com/OracleIDM
Facebook: http://facebook.com/OracleIDM
Identity Blog: http://blogs.oracle.com/OracleIDM
Oracle.com/Identity
36 Copyright © 2011, Oracle and/or its affiliates. All rights
reserved.
top related