Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 2
The following is intended to outline our general product direction. It
is intended for information purposes only, and may not be
incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality,
and should not be relied upon in making purchasing decisions. The
development, release, and timing of any features or functionality
described for Oracle’s products remains at the sole discretion of
Oracle.
Innovación en Seguridad de Base de Datos
Juan Carlos Díaz
Principal Sales Consultant
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 4
Agenda
Introducción
Problemáticas típicas
– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5
Fugas de datos de servidores de BD Cerca de 1B de registros comprometidos en los últimos 6 años
2/3 de la información sensible y regulada reside en bases de datos
… y se dobla cada dos años
Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by
Protecting Data at the Source — Your Databases", August 2011
48% de fugas de
origen interno
89% registros
robados usando SQL
Injection
86% Hacking usando
credenciales robadas
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6
32% Puede evitar que los DBAs accedan a datos o procedimientos
61% No monitorizan la escritura de datos sensibles de aplicaciones
65% No disponen de medidas para prevenir ataques de SQL injection
55% Copian datos de producción a entornos de desarrollo y test
68% Datos en ficheros de BD se pueden leer a nivel de S.O.
44% No puede impedir el acceso directo a la B.D. (application bypass)
¿Cómo es la seguridad de sus BB.DD.? Resultados 2012 IOUG Enterprise Data Security Survey
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 7
IT Security no prioriza la seguridad en BBDD Solo el 20% tiene un plan
“Forrester estima que,
aunque el 70% de las empresas
tiene un plan de seguridad de la
información, sólo el 20% de las
empresas tiene un plan de
seguridad de base de datos.”
Endpoint Security
Vulnerability Management
Network Security
Email Security
Authentication and User Security
Database Security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 8
Agenda
Introducción
Problemáticas típicas
– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 9
Soluciones de seguridad BB.DD. Oracle Defensa en profundidad
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento
Control sobre usuarios
privilegiados
Cifrado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos
sensibles
Gestión de configuraciones
Análisis de privilegios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 10
Soluciones de seguridad BB.DD. Oracle Detección y bloqueo de amenazas, alerta, auditoría e informes
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento
Control sobre usuarios
privilegiados
Cifrado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos
sensibles
Gestión de configuraciones
Análisis de privilegios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 11
Problemáticas típicas Usuarios privilegiados
DBA
Producción
SELECT * FROM clientes
WHERE name LIKE ‘%’;
ALTER TABLE clientes
MODIFY name VARCHAR(60);
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 12
Oracle Database Vault Control de acceso y seguridad en base de datos
• Segregación de funciones y cotos de seguridad
• Asegura quién, dónde, cuándo y cómo accede a la base de datos
• Asegura los mínimos privilegios a los usuarios privilegiados
• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras
RR.HH.
Financiero
Responsable
de aplicación
select * from finance.customers DBA
Responsable
de seguridad
Aplicación
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 13
Oracle Database Vault
Previene acceso a los datos por parte
de los DBAs
Políticas predefinidas que incluyen
Realms y Command rules
Complementa la seguridad de la
aplicación
Transparente para aplicaciones
existentes
Personalizable
Oracle E-Business Suite 11i / R12
PeopleSoft Applications
Siebel
I-flex
Database Vault data sheets disponibles para Oracle E-Business Suite, PeopleSoft, JD Edwards EnterpriseOne, Siebel y SAP
JD Edwards EnterpriseOne
SAP
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 15
Análisis de privilegios
• Permite saber qué privilegios y roles han sido usados realmente
• Eliminar privilegios innecesarios reduce el riesgo
Minimizar los privilegios de usuarios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 18
Problemáticas típicas Cifrado y redacción de datos
DBA
Producción
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 19
Oracle Advanced Security Proteger datos sensibles de usuarios no autorizados
Los datos
escritos a disco
son cifrados
automáticamente
Los datos se
descifran de forma
transparente y se
devuelven en claro
Oracle Advanced
Security
Cifrado de los datos
en disco
INSERT
Nombre: Juan Nadie
DNI: 12345678A
SELECT
Nombre: Juan Nadie
DNI: 12345678A
SELECT
Nombre: Juan Nadie
DNI: ********
Oracle Advanced Security
Reescritura del dato
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 20
Oracle Advanced Security
Cifra los datos de las aplicaciones
– Cifrado de columnas
– Cifrado de tablespaces y sus ficheros
– 3DES168, AES128, AES192, AES256
Altamente eficiente
– Alto rendimiento (overhead ~ 5%)
– Integrado con Oracle Advanced Compression
No se necesitan cambios en las aplicaciones
– Cualquier tipo de dato
– Se permiten índices sobre datos cifrados
Transparent Data Encryption
Capa SQL
data blocks “*M$b@^s%&d7”
undo
blocks
temp
blocks
flashback
logs
redo
logs
Buffer Cache
“SSN = 987-65-..”
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 21
Oracle Advanced Security
Censura de datos on-line basada en usuario, IP, contexto de aplicación
u otros factores
Transparente. Impacto mínimo en cargas de producción
Data Redaction
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 22
Oracle Data Redaction
Sólo se altera la visualización
“Censura” de datos sensibles de aplicaciones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 23
Oracle Data Redaction
• Incluye librería de formatos para datos comunes de PCI y PII
• Gestionable con Enterprise Manager ó API de línea de comando
Dato
Almacenado
Resultado Censurado
Completo
Parcial
RegExp
Aleatorio
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 24
Oracle Data Redaction “Censura” de datos sensibles de aplicaciones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 26
Problemáticas típicas Clonado de datos a entornos no productivos
Desarrollador
DBA
Producción
Desarrollo Desarrollo = Producción
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 27
Datos seguros en entornos de desarrollo Pasos para obtener un subconjunto de datos seguro
1 2 3
Identificar datos
sensibles
Enmascarar
datos en
desarrollo
Extraer datos de
producción
Reemplazar datos reales de
producción por datos ficticios
válidos para pruebas de
desarrollo, rendimiento, …
Aprovisionar entornos de
desarrollo con una fracción
de los datos de producción
Identificar esquemas,
tablas y columnas que
contengan datos
sensibles
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 28
Oracle Data Discovery and Modeling (*)
Patrones de búsquedas predefinidos (basados en esquemas y datos)
Búsquedas en toda la aplicación de coincidencia con patrones
Clasificación basada en coincidencia con los patrones
Descubrimiento de columnas sensibles
(*) Componente de Test Data Management Pack
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 29
Oracle Data Subsetting (*)
Selección de tablas
– Se seleccionan automáticamente
las tablas necesarias para se
incluidas en el subconjunto
Criterios de extracción
– Se recorre la jerarquía relacional
para identificar las filas a extraer
Parámetros de subconjunto
– Analiza las estadísticas de las
tablas para estimar el tamaño de
los datos generados
Extracción de subconjuntos de datos
Fecha:
(año 2011)
Dimensión
(Región: Asia)
Espacio
(tamaño:10%)
(*) Componente de Test Data Management Pack
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 30
Oracle Data Masking Enmascaramiento irreversible de datos en entornos no productivos
• Transfiere datos de aplicación de forma segura a entornos no productivos
• Evita que desarrolladores de aplicaciones accedan a datos reales de producción
• Librerías y políticas extensibles para la automatización del enmascaramiento de datos
• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando
correctamente
NOMBRE DNI SALARIO
ZFDGFAKJIJ 81331100-J 25,000
ASDTYHJUK 87766348-S 30,000
NOMBRE DNI SALARIO
ANA PÉREZ 12345678-A 30,000
PEDRO SÁNCHEZ 48765432-Z 25,000
Producción Desarrollo
JUAN CHACÓN
MARTA RODRÍGUEZ
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 31
Oracle Data Masking
Librerías de máscaras de formatos
Mantenimiento automático de la integridad
referencial cuando se enmascaran Primary keys
– Implícita – definidas en BB.DD.
– Explicita – aseguradas por aplicación
Previsualización de datos antes de enmascarar
Alto rendimiento
Define una vez – ejecuta varias
Funcionalidades básicas
BB.DD.
clonada
Enmascarar
BB.DD.
producción
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 32
Oracle Data Masking
Máscaras compuestas
– Conjunto de columnas que deben ser enmascaradas conjuntamente p.ej. Dirección, Ciudad, Provincia, CP, …
Máscaras basadas en condiciones
– Formatos de máscaras específicas para cada condición, p.ej. documentos de identidad de países diferentes
Enmascaramiento determinístico
– Enmascaramiento consistente, p.ej. Pedro siempre se cambia por Alberto en múltiples BB.DD.
Técnicas de enmascaramiento
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 33
Ciclo completo de enmascaramiento de datos
Recolección
de Metadatos
Crear Modelo de datos
de la aplicación
Recoger datos a incluir Ejecutar
Subsetting
Inserción/borrado
de datos
Actualización de datos
Ejecutar
Enmascaramiento
Crear definición de
Enmascaramiento
Crear definición de
Subsetting
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 34
Enmascaramiento y Subsetting integrados
Los datos de producción tenían que se
extraídos primero y enmascarados
después en pasos separados.
Antes Ahora
0100101100101010010010010010010010010010010010001
0010101001001001001110010010010010010010000100100
1011100100101010010010101010011010100101010010
Producción Test
Subconjunto
de datos
Clonar y
enmascarar
0100101100101010010010010010010010010010010010001
0010101001001001001110010010010010010010000100100
1011100100101010010010101010011010100101010010
Test Masked Data
Pump File
Producción
Subconjunto y enmascarado en un solo paso
Los datos de producción son extraídos
(un subconjunto) y enmascarados en un
solo paso utilizando “At-source Masking”
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 35
Problemáticas típicas
Desarrollador
DBA
Producción
Desarrollo = Producción
Auditor
SELECT nombre, nif, …
FROM clientes
WHERE id = ? ‘’ OR 1=1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 36
Oracle Audit Vault y Database Firewall Control preventivo y detección para BBDD Oracle y no Oracle
OS, Directory Services, File
system & Custom Audit Logs
Eventos Firewall
Usuarios
Aplicaciones
Database Firewall Permitir
Log
Alertar
Sustituir
Bloquear
Audit Data
Audit Vault
Informes
! Alertas
Políticas
Auditores
Responsible
Seguridad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 37
Políticas Informes OOTB
Alertas Informes custom
Applications Bloqueo
Log
Permitir
Alertas
Sustitución
• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections,
escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.
• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos
• Políticas flexibles basadas en listas blancas y negras
• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue
• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones
Oracle Audit Vault and Database Firewall Primera línea de defensa
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 38
• El modo “Allowed” puede ser definido para cualquier usuario o aplicación
• Las “listas blancas” pueden tener en cuenta factores predefinidos como hora, día de la
semana, red, aplicación, etc.
• Automáticamente se pueden generar “listas blancas” para cualquier aplicación
• Las transacciones que no cumplen las políticas son instantáneamente rechazadas
• La BB.DD. sólo procesará datos tal y como se esperan
Oracle Audit Vault and Database Firewall Protección frente a SQL Injection. Modelo de seguridad positivo
White List
Applications Block
Allow
SELECT * from stock
where catalog-no='PHE8131'
SELECT * from stock
where catalog-no=‘
' union select cardNo,0,0
from Orders --’
Databases
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 39
• Para comandos SQL, usuarios o accesos a esquemas específicos
• Previene escalado de roles o privilegios y acceso no autorizado a datos sensibles
• Las “listas negras” pueden tener en cuenta factores predefinidos como hora, día de la
semana, red, aplicación, etc.
• Bloquea selectivamente cualquier parte de una transacción según las necesidades de
seguridad y del negocio
Oracle Audit Vault and Database Firewall Restricción de actividad. Modelo de seguridad negativo
SELECT * FROM
v$session
Block
Allow + Log
Black List
DBA activity via Applications
SELECT * FROM
v$session
DBA activity via Approved Workstation
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 40
Block
Log
Allow
Alert
Substitute
SELECT * FROM accounts
se cambia por
SELECT * FROM dual
where 1=0 Applications
Oracle Audit Vault and Database Firewall Sustitución de sentencias
O
• Mediante análisis gramatical del lenguaje SQL, reduce millones de sentencias SQL a un pequeño
número de conjuntos de sentencias agrupadas por su significado (clusters).
• No usa expresiones regulares ni algoritmos de comparación de cadenas (strings). Tecnologías
ineficientes e inexactas.
• Diferentes acciones asociadas a sentencias SQL : bloqueo, substituir, alertar y pasar, solo log
• Sustitución de SQL: frustra a los cracker sin afectar a las aplicaciones y bases de datos.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 41
Oracle Audit Vault y Database Firewall Gestión centralizada de políticas de auditoría
Definición de políticas – Definición, gestión centralizada, recolección de
configuraciones de auditoría
Configuraciones de auditoría – Las configuraciones se pueden extraer de
BB.DD. existentes con auditorías previamente configuradas
– También se permiten configuraciones manuales
Aprovisionamiento de políticas – Las políticas se pueden aplicar
centralizadamente desde la consola de AVDF
Mantenimiento de políticas – Compara las políticas aprobadas con la
configuración actual
LOPD
Audit
Settings
Privilege
User Audit
Settings
Privacy
Audit
Settings
Financial
Database
Customer
Database
HR
Database
Oracle AVDF
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 42
Auditoría empresarial extendida
BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE
Otras fuentes de auditoría
– Sistemas Operativos: Microsoft Windows, Solaris
– Servicios de Directorio: Active Directory
– Sistemas de ficheros: Oracle ACFS
Plugins de recolección de auditoría para fuentes personalizadas
– Fichero XML mapea elementos de auditoría personalizados a auditoría
canónica
– Recolecta y mapea datos de fichero de auditoría XML y tablas de base de
datos
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 43
Audit Vault
Standby
Arquitecturas de depliegue flexibles
In-Line Blocking
and Monitoring
HA Mode
Out-of-Band
Monitoring
Audit Vault
Primary
Applications and Users
Remote Monitoring
Soft appliance
Audit Data
Audit Agents
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 44
Completa – único proveedor que cubre todos sus requerimientos
Transparente – no requiere ningún cambio en las aplicaciones existentes
Fácil de desplegar – consolas que facilitan el despliegue en poco horas
Rentable – soluciones integradas que reducen el riesgo con un bajo TCO
Probado – #1 en BB.DD. con más de 30 años innovando en seguridad!
• Database Vault • Advanced Security
• Data Masking
• Audit Vault &
Database
Firewall
Encriptación y
enmascaramiento
Control de acceso
Auditoría
• Audit Vault &
Database Firewall
Monitorización
y bloqueo
Conclusiones Defensa en profundidad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 45
Oracle Audit Vault
Oracle Database Vault
DB Security Evaluation #19
Transparent Data Encryption
EM Configuration Scanning
Fine Grained Auditing (9i)
Secure application roles
Client Identifier / Identity propagation
Oracle Label Security
Proxy authentication
Enterprise User Security
Global roles
Virtual Private Database (8i)
Database Encryption API
Strong authentication (PKI, Kerberos, RADIUS)
Native Network Encryption (Oracle7)
Database Auditing
Government customer
Oracle líder en Seguridad en BBDD 35 años de Innovación continua y
certificaciones de seguridad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 46
Runtime Privilege Analysis
Real Application Security
Conditional Auditing
Code Based Access Control
New Separation of Duty Roles
Secure by Default Enhancements
Database on Windows as a Service
SHA-512 Support for Certificates and Authentication
FIPS 140 Certified Library for Assurance
Expanded Hardware Cryptographic Acceleration
Strong Authentication generalized
Network Encryption generalized
Oracle líder en seguridad en BBDD … sigue definiendo los estándares exigibles a BBDD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 47
Conclusiones
Desarrollador
DBA
Producción
Desarrollo
Auditor
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 48
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 49
www.facebook.com/OracleDatabase
www.twitter.com/OracleDatabase
blogs.oracle.com/OracleDatabase
www.oracle.com/database/security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 50