avanttic - webinar: oracle seguridad-regulación (02-07-2015)
TRANSCRIPT
Soluciones de Seguridad de desde la óptica de la regulación
Webinar - 3 Daniel Godoy Security Specialist – [email protected]
02-07-2015
© avanttic Consultoría Tecnológica, S.L. 1
Webinar © avanttic Consultoría Tecnológica, S.L. 2
Conozca las soluciones de seguridad de Oracle
Desarrollo Regulación Experiencias Gobierno
Webcasts Cycle CustomerShowcase
07/0702/0725/0618/06
Con
Con la colaboración de y
Webinar
Soluciones de Seguridad de Oracle
© avanttic Consultoría Tecnológica, S.L. 3
Datamasking
Virtual PrivateDatabase
Database Vault
Data Redaction
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegedAccount Manager
MobileSecurity Suite
Database
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Middleware
apps
Webinar
Datamasking
Virtual PrivateDatabase
Database Vault
Data Redaction
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegedAccount Manager
MobileSecurity Suite
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Database
Middleware
apps
© avanttic Consultoría Tecnológica, S.L. 4
Soluciones de Seguridad de Oracle desde la óptica de la regulación
Webinar
Problema
5 © avanttic Consultoría Tecnológica, S.L.
Acceso a tarjetas de crédito
Webinar
Oracle Data Redaction
6
Data Redaction
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Data Redaction
• Incluye librería de formatos para datos comunes de PCI y PII • Gestionable con Enterprise Manager ó API de línea de comando
7
Tipos de redacción Dato
Almacenado Resultado Censurado
Completo
Parcial
RegExp
Aleatorio
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Data Redaction
8
Ejemplo
© avanttic Consultoría Tecnológica, S.L.
Webinar
Problema
9 © avanttic Consultoría Tecnológica, S.L.
Proteger datos sensibles de usuarios no autorizados
DBA
Producción
Webinar
Oracle Transparent Data Encryption
10
Cifrado transparente de datos
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Transparent Data Encryption
11
Arquitectura y Tipos
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Transparent Data Encryption
12
Funcionamiento
Los datos escritos a disco son cifrados automáticamente
Los datos se descifran de forma transparente y se devuelven en claro
Cifrado de los datos en disco
INSERT Nombre: Juan Nadie DNI: 12345678A
SELECT Nombre: Juan Nadie DNI: 12345678A
SELECT Nombre: Juan Nadie DNI: ********
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Transparent Data Encryption
• Cifra los datos de las aplicaciones • Cifrado de columnas • Cifrado de tablespaces y sus ficheros • 3DES168, AES128, AES192, AES256
• Altamente eficiente • Alto rendimiento (overhead ~ 5%) • Integrado con Oracle Advanced Compression
• No se necesitan cambios en las aplicaciones • Cualquier tipo de dato • Se permiten índices sobre datos cifrados
13
Puntos clave Capa SQL
data blocks “*M$b@^s%&d7”
undo blocks temp blocks
Redo logs
Buffer Cache “SSN = 987-65-..”
flashback logs
© avanttic Consultoría Tecnológica, S.L.
Webinar
Problema
14 © avanttic Consultoría Tecnológica, S.L.
Securizar backups
LAN
Administra-ve Server UNIX / Linux / Windows / NAS
Clients
Media Servers
Tape Library
Storage
Webinar
Oracle Secure Backup
• El más alto nivel de protección de datos de cinta a un menor coste.
• Integración completa para BB.DD. Oracle.
• Recovery Manager (RMAN) • Enterprise Manager (EM)
• Protege entornos completos de Oracle incluyendo aplicaciones.
• Proporciona tecnología de seguridad de acceso contra usuarios no autorizados.
Gestión de backups a cinta
Sistemas de ficheros
UNIX Linux
Windows NAS
Tape
BB.DD. Oracle
Integración con RMAN
Oracle Secure Backup GesDón centralizada de cintas de backup
© avanttic Consultoría Tecnológica, S.L. 15
Webinar
Oracle Secure Backup Dominios
Backup Image OSB Metadata
Disk Pool
OSB Domain 2
OSB Domain 1
OSB Metadata
Hosts within the OSB domain
© avanttic Consultoría Tecnológica, S.L. 16
Webinar
Problema
17 © avanttic Consultoría Tecnológica, S.L.
Gestión de contraseñas
Management • ProliferaDon of encrypDon wallets and keys • Authorized sharing of keys • Key availability, retenDon, and recovery • Custody of keys and key storage files
RegulaDons • Physical separaDon of keys from encrypted data • Periodic key rotaDons • Monitoring and audiDng of keys • Long-‐term retenDon of keys and encrypted data
Webinar
Oracle Wallet DB, FMW
Kerberos, SSH, other Creden-als DB, FMW, OS
Transparent Data Encryp-on (TDE) RAC, Data Guard, GoldenGate…
Other KMIP Endpoints
Java KeyStore FMW, Java endpoints
Oracle Key Vault
18
Almacén de claves
Password:
* * * * * * * *
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Key Vault
19
Arquitectura
Standby
Administra-on Console, Alerts,
Reports
Secure Backups
= Creden-al File
= Oracle Wallet
= Server Password = Java Keystore
= Cer-ficate
Databases
Servers
Middleware
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Key Vault
• Archivado de wallets y keystores para retención a largo plazo. Fácil recuperación cuando estos ficheros son requeridos.
• Gestión centralizada de claves para las claves maestras de TDE sobre una conexión de red directa
• Beneficios: • Gestión centralizada de claves • Gestión del ciclo de vida de las claves • Prevención de pérdida de claves • Auditoría • Distribución de claves
20
Soft-appliance
© avanttic Consultoría Tecnológica, S.L.
Webinar
Problema
21 © avanttic Consultoría Tecnológica, S.L.
Gestión de accesos
Webinar
Oracle Access Management Suite
22
Componentes
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Access Management
23
Funcionamiento
Oracle Access Management
Online shop
Payroll Customer
Directory
Employee portal
© avanttic Consultoría Tecnológica, S.L.
Webinar
Oracle Access Management Adaptive Access Manager: Confiar, pero verificar
Protected Resources
Password Device Tracking
LocaDon Profile
TransacDon Risk John Smith Verify ID
OAAM
¿La autenticación es válida pero realmente es éste John Smith? ¿Hay algo sospechoso en las transacciones de John? ¿Puede John contestar a una verificación si el riesgo es alto?
© avanttic Consultoría Tecnológica, S.L. 24
Webinar
Oracle Access Management
25
Puntos Clave
Seamless Multi-Channel Access
Access Any Application, From Any Device, Any Where
Scalable for today’s Internet Needs
Standards Based Modular Architecture
Integrated Risk, Fraud & Strong Authentication
Increase Agility with External Security Policies
© avanttic Consultoría Tecnológica, S.L.
Webinar
Problema
26 © avanttic Consultoría Tecnológica, S.L.
Gestión de cuentas privilegiadas
Acceso como Root
Bases de datos Directory Servers
Servidores Unix
Acceso como DBA
Webinar
Oracle Privileged Account Manager Funcionamiento
27
Directorio LDAP DBA
Base de Datos de RRHH 5. • Usuario accede como DBA • Añade Tabla a BBDD • Falta de espacio en el sistema
2. Verifica si el usuario de OPAM Denen el rol
de DBA en RRHH
3. AcDva la password del DBA para la aplicación de RRHH basado en la
políDca correspondiente
9. Usuario libera las passwords Oracle Privileged Account Manager
8. • Usuario accede como superusuario • Añade espacio en disco
Servidor UNIX
4. Devuelve pass de DBA
1. Pide password de DBA 7. Devuelve pass de unix 6. Pide password de unix
© avanttic Consultoría Tecnológica, S.L. 27
Webinar
Oracle Privileged Account Manager Proceso genérico para hacer check-out del password
28 © avanttic Consultoría Tecnológica, S.L. 28
Webinar
Oracle Privileged Account Manager Historial de Checkout
29 © avanttic Consultoría Tecnológica, S.L. 29
Webinar
Oracle Privileged Account Manager Integración con Oracle IdM
30 © avanttic Consultoría Tecnológica, S.L. 30
Webinar
Resumen
31 © avanttic Consultoría Tecnológica, S.L.
Datamasking
Virtual PrivateDatabase
Database Vault
Data Redaction
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegedAccount Manager
MobileSecurity Suite
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Database
Middleware
apps
Para más información contacte con nosotros a través de [email protected]
© avanttic Consultoría Tecnológica, S.L.
BARCELONA Aragó 182, 4ª planta
08011 Barcelona Tel. 93 151 84 51
MADRID Paseo de la Castellana, 135, 7ª
28046 Madrid Tel. 91 116 17 89
el partner
32