seguridad en bbdd (securityday bilbao)
DESCRIPTION
TRANSCRIPT
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 2
The following is intended to outline our general product direction. It
is intended for information purposes only, and may not be
incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality,
and should not be relied upon in making purchasing decisions. The
development, release, and timing of any features or functionality
described for Oracle’s products remains at the sole discretion of
Oracle.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 4
Agenda
Introducción
Problemáticas típicas
– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5 Oracle Confidential 5
Oracle: Seguridad desde el Interior
Datos Aplicaciones Usuarios
BLOG BLOG
Social Social
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6 Oracle Confidential 6
Oracle: Seguridad desde el Interior
Data Apps Users
BLOG BLOG
Social Social
GESTION DE IDENTIDADES
Y ACCESOS
SEGURIDAD
BASE DE DATOS
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 7
Fugas de datos de servidores de BD Cerca de 1B de registros comprometidos en los últimos 6 años
2/3 de la información sensible y regulada reside en bases de datos
… y se dobla cada dos años
Source: Verizon, 2007-11 and IDC, "Effective Data Leak Prevention Programs: Start by
Protecting Data at the Source — Your Databases", August 2011
48% de fugas de
origen interno
89% registros
robados usando SQL
Injection
86% Hacking usando
credenciales robadas
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 8
Los datos no están sólo en Producción
8
Datos
Sensibles
Partners DW/Analytics Reports Stand By Test Dev Temp
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 9
32% Puede evitar que los DBAs accedan a datos o procedimientos
61% No monitorizan la escritura de datos sensibles de aplicaciones
65% No disponen de medidas para prevenir ataques de SQL injection
55% Copian datos de producción a entornos de desarrollo y test
68% Datos en ficheros de BD se pueden leer a nivel de S.O.
44% No puede impedir el acceso directo a la B.D. (application bypass)
¿Cómo es la seguridad de sus BB.DD.? Resultados 2012 IOUG Enterprise Data Security Survey
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 10
IT Security no prioriza la seguridad en BBDD Sólo el 20% tiene un plan
“Forrester estima que,
aunque el 70% de las empresas
tiene un plan de seguridad de la
información, sólo el 20% de las
empresas tiene un plan de
seguridad de base de datos.”
Endpoint Security
Vulnerability Management
Network Security
Email Security
Authentication and User Security
Database Security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 11
Fuentes de amenaza
• System admin, DBA, Administrador de Aplicaciones
• Credenciales robadas, uso malicioso, errores
Cuentas de Administracion
• SQL Injection
• Bypass de aplicaciones Aplicaciones
• Acceso a datos de producción en entornos no seguros
• Acceso a datos en producción para resolución de problemas Test & Dev
• Acceso directo OS y Red
• Backups perdidos/robados Operaciones
Los ataques pueden venir de cualquier parte
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 12
Agenda
Introducción
Problemáticas típicas
– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 13
Desarrollador
Usuarios privilegiados Control de acceso y segregación de funciones
SELECT * FROM clientes
WHERE name LIKE ‘%’;
Martes 11:30 am
ALTER TABLE clientes
MODIFY name VARCHAR(60);
DBA
Sábado
1:00 am
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 14
Oracle Database Vault Control de acceso y seguridad en base de datos
• Segregación de funciones y cotos de seguridad
• Asegura quién, dónde, cuándo y cómo accede a la base de datos
• Asegura los mínimos privilegios a los usuarios privilegiados
• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras
RR.HH.
Financiero
Responsable
de aplicación
select * from finance.customers DBA
Responsable
de seguridad
Aplicación
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 15
Acceso indebido a los datos Datos y comunicaciones en claro
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 16
Oracle Advanced Security Proteger datos sensibles de usuarios no autorizados
Oracle Advanced Security
Autenticación fuerte
Oracle Advanced Security
Cifrado de red
Los datos
escritos a disco
son cifrados
automáticamente
Los datos se
descifran de forma
transparente y se
devuelven en claro
Oracle Advanced
Security
Cifrado de los datos
en disco
INSERT
Nombre: Juan Nadie
DNI: 12345678A
SELECT
Nombre: Juan Nadie
DNI: 12345678A
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 17
Entornos no productivos Pruebas funcionales y de rendimiento
Producción Desarrollo
HR: Datos personales
Datos sindicales
Datos …
Desarrollo = Producción Desarrollador
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 18
Oracle Data Masking
Enmascaramiento irreversible de datos en entornos no productivos
• Transfiere datos de aplicación de forma segura a entornos no productivos
• Evita que desarrolladores de aplicaciones accedan a datos reales de producción
• Librerías y políticas extensibles para la automatización del enmascaramiento de datos
• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando
correctamente
NOMBRE DNI SALARIO
ZFDGFAKJIJ 81331100-J 25,000
ASDTYHJUK 87766348-S 30,000
NOMBRE DNI SALARIO
ANA PÉREZ 12345678-A 30,000
PEDRO SÁNCHEZ 48765432-Z 25,000
Producción Desarrollo
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 19
Ataques externos Monitorización y protección frente a SQL Injections
Datos del
cliente AB345
SELECT nombre, nif, …
FROM clientes
WHERE id = ? ‘AB345’
SELECT nombre, nif, …
FROM clientes
WHERE id = ? ‘’ OR 1=1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 20
Políticas Informes OOTB
Alertas Informes custom
Applications Bloqueo
Log
Permitir
Alertas
Sustitución
• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections,
escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.
• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos
• Políticas flexibles basadas en listas blancas y negras
• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue
• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones
Oracle Database Firewall Primera línea de defensa
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 21
Configuración, auditoría y análisis forense
Auditor
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 22
Oracle Audit Vault Auditoría de la actividad de BB.DD. en tiempo real
• Consolida los registros de auditorías en un repositorio centralizado y seguro
• Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados
• Informes predefinidos y personalizados de auditoría de usuarios privilegiados, permisos,
logins fallidos, acceso a datos sensibles, cambios de esquema, …
• Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc.
• Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sybase, DB2
Datos CRM
Datos ERP
Databases
Datos RR.HH.
Auditoría del dato
Políticas
Informes OOTB
Alertas
Informes Custom
!
Auditor
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 23
Completa – único proveedor que cubre todos sus requerimientos
Transparente – no requiere ningún cambio en las aplicaciones existentes
Fácil de desplegar – consolas que facilitan el despliegue en pocas horas
Rentable – soluciones integradas que reducen el riesgo con un bajo TCO
Probado – #1 en BB.DD. con más de 30 años innovando en seguridad!
• Database Vault • Advanced Security
• Data Masking
• Audit Vault
Encriptación y
enmascaramiento
Control de acceso
Auditoría
• Database Firewall
Monitorización
y bloqueo
Conclusiones Defensa en profundidad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 24
www.facebook.com/OracleDatabase
www.twitter.com/OracleDatabase
blogs.oracle.com/OracleDatabase
www.oracle.com/database/security