seguridad en bbdd
DESCRIPTION
TRANSCRIPT
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 2
The following is intended to outline our general product direction. It
is intended for information purposes only, and may not be
incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality,
and should not be relied upon in making purchasing decisions. The
development, release, and timing of any features or functionality
described for Oracle’s products remains at the sole discretion of
Oracle.
Seguridad en Base de Datos
David Rodríguez-Barbero
Enterprise Architect Security Specialist
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 4
Agenda
Introducción
Problemáticas típicas
– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5 Oracle Confidential
Oracle: Seguridad desde el Interior
Datos Aplicaciones Usuarios
BLOG BLOG
Social Social
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6 Oracle Confidential
Oracle: Seguridad desde el Interior
Data Apps Users
BLOG BLOG
Social Social
GESTION DE IDENTIDADES
Y ACCESOS
SEGURIDAD
BASE DE DATOS
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 7
Fuente #1 de fugas de datos 92% of Registros provienen de bases de datos comprometidas
2010 Data Breach
Investigations Report
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 8
Los datos no están sólo en Producción
Datos
Sensibles
Partners DW/Analytics Reports Stand By Test Dev Temp
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 9
Fuentes de amenaza
• System admin, DBA, Administrador de Aplicaciones
• Credenciales robadas, uso malicioso, errores
Cuentas de Administracion
• SQL Injection
• Bypass de aplicaciones Aplicaciones
• Acceso a datos de producción en entornos no seguros
• Acceso a datos en producción para resolución de problemas Test & Dev
• Acceso directo OS y Red
• Backups perdidos/robados Operaciones
Los ataques pueden venir de cualquier parte
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 10
Bases de datos: vulnerables IOUG Data Security Report (2010)
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 11
Bases de datos: vulnerables IOUG Data Security Report (2010)
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 12
Agenda
Introducción
Problemáticas típicas
– Solución de Oracle
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 13
Desarrollador
Usuarios privilegiados Control de acceso y segregación de funciones
SELECT * FROM clientes
WHERE name LIKE ‘%’;
Martes 11:30 am
ALTER TABLE clientes
MODIFY name VARCHAR(60);
DBA
Sábado
1:00 am
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 14
Oracle Database Vault Control de acceso y seguridad en base de datos
• Segregación de funciones y cotos de seguridad
• Asegura quién, dónde, cuándo y cómo accede a la base de datos
• Asegura los mínimos privilegios a los usuarios privilegiados
• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras
RR.HH.
Financiero
Responsable
de aplicación
select * from finance.customers DBA
Responsable
de seguridad
Aplicación
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 15
Acceso indebido a los datos Datos y comunicaciones en claro
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 16
Oracle Advanced Security Proteger datos sensibles de usuarios no autorizados
Oracle Advanced Security
Autenticación fuerte
Oracle Advanced Security
Cifrado de red
Los datos
escritos a disco
son cifrados
automáticamente
Los datos se
descifran de forma
transparente y se
devuelven en claro
Oracle Advanced
Security
Cifrado de los datos
en disco
INSERT
Nombre: Juan Nadie
DNI: 12345678A
SELECT
Nombre: Juan Nadie
DNI: 12345678A
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 17
Entornos no productivos Pruebas funcionales y de rendimiento
Producción Desarrollo
HR: Datos personales
Datos sindicales
Datos …
Desarrollo = Producción Desarrollador
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 18
Oracle Data Masking
Enmascaramiento irreversible de datos en entornos no productivos
• Transfiere datos de aplicación de forma segura a entornos no productivos
• Evita que desarrolladores de aplicaciones accedan a datos reales de producción
• Librerías y políticas extensibles para la automatización del enmascaramiento de datos
• Se preserva la integridad referencial por lo que las aplicaciones continúan funcionando
correctamente
NOMBRE DNI SALARIO
ZFDGFAKJIJ 81331100-J 25,000
ASDTYHJUK 87766348-S 30,000
NOMBRE DNI SALARIO
ANA PÉREZ 12345678-A 30,000
PEDRO SÁNCHEZ 48765432-Z 25,000
Producción Desarrollo
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 19
Ataques externos Monitorización y protección frente a SQL Injections
Datos del
cliente AB345
SELECT nombre, nif, …
FROM clientes
WHERE id = ? ‘AB345’
SELECT nombre, nif, …
FROM clientes
WHERE id = ? ‘’ OR 1=1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 20
Políticas Informes OOTB
Alertas Informes custom
Applications Bloqueo
Log
Permitir
Alertas
Sustitución
• Monitoriza la actividad de la BB.DD. para prevenir accesos no autorizados, SQL injections,
escalado de roles o privilegios, accesos ilegales a datos sensibles, etc.
• Análisis de alto rendimiento basados en gramática de SQL sin costosos falsos positivos
• Políticas flexibles basadas en listas blancas y negras
• Arquitectura escalable que permite el rendimiento requerido en todos los tipos de despliegue
• Informes preconstruidos y a medida para PCI, SOX y otras regulaciones
Oracle Database Firewall Primera línea de defensa
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 21
Configuración, auditoría y análisis forense
Auditor
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 22
Oracle Audit Vault Auditoría de la actividad de BB.DD. en tiempo real
• Consolida los registros de auditorías en un repositorio centralizado y seguro
• Detecta y alerta sobre actividades sospechosas, incluyendo usuarios privilegiados
• Informes predefinidos y personalizados de auditoría de usuarios privilegiados, permisos,
logins fallidos, acceso a datos sensibles, cambios de esquema, …
• Optimiza la auditoría con informes, notificaciones, archivado, certificaciones, etc.
• Recopila trazas de múltiples orígenes, Oracle, SQLServer, Sysbase, DB2
Datos CRM
Datos ERP
Databases
Datos RR.HH.
Auditoría del dato
Políticas
Informes OOTB
Alertas
Informes Custom
!
Auditor
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 23
Completa – único proveedor que cubre todos sus requerimientos
Transparente – no requiere ningún cambio en las aplicaciones existentes
Fácil de desplegar – consolas que facilitan el despliegue en poco horas
Rentable – soluciones integradas que reducen el riesgo con un bajo TCO
Probado – #1 en BB.DD. con más de 30 años innovando en seguridad!
• Database Vault • Advanced Security
• Data Masking
• Audit Vault
Encriptación y
enmascaramiento
Control de acceso
Auditoría
• Database Firewall
Monitorización
y bloqueo
Conclusiones Defensa en profundidad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 24
www.facebook.com/OracleDatabase
www.twitter.com/OracleDatabase
blogs.oracle.com/OracleDatabase
www.oracle.com/database/security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 25
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 26