cloud, bigdata y seguridad - david nuñez

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |

Cloud, Big Data y Seguridad: Aprovechando las capacidades de Oracle Database 12c

David Nuñez Escobedo Oracle Enterprise Architect Security Specialist Valencia 23 de Octubre de 2014

Copyright © 2014 Oracle and/or its affiliates. All rights reserved.

Safe Harbor Statement

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

3


Adaptado de Kuppinger Cole Presentation, Marzo de 2013

Ingeniería social

Denegación de servicio

Ataques sofisticados

Robo de datos

Impacto en la reputación

Pérdida de negocio

• Abuso de

privilegios

• Curiosidad

• Filtraciones

• Borrados

accidentales

• Divulgaciones no autorizadas

De los ERRORES a lo MALICIOSO La seguridad tradicional ya no es suficiente


De los

registros robados de las bases de

datos

Vulnerability Management

Network Security

End point Security

Email Security

Las en el core del negocio es el


Big Data Datos consolidados. Mayor criticidad y sensibilidad.

Legacy Systems

Otras Fuentes Capa de

acceso a datos Datos

Analíticos

Transaccional

Redes Sociales

Ficheros Planos

Estructuras de consumo

DA

TOS

CO

NSO

LID

AD

OS H

ado

op

D

W

Segu

rid

ad

Segu

rid

ad Se

guri

dad


Del CPD controlado al Cloud público ¿Qué seguridad me ofrece mi proveedor de Cloud?

• ¿Quién gestiona las máquinas?

• ¿Quién administra las BB.DD.?

• ¿Quién tiene acceso a mis datos?

– ¿Pueden otros clientes acceder a mis datos?

• ¿Qué controles existen para evitar fugas o robos de datos?

7


Descubrir activos

Clasificar datos

Analizar riesgos

Auditar Controles

Mitigar riesgos

ProporcionarQoS

alineada con los objetivos del

negocio

En la seguridad hay que ser sistemáticos


Soluciones de seguridad BB.DD. Oracle Defensa en profundidad

Monitorización de actividad

Firewall de BB.DD.

Auditoría e Informes

MONITORIZACIÓN

Enmascaramiento y

subsetting

Control sobre usuarios

privilegiados

Cifrado y censurado

PREVENTIVO ADMINISTRACIÓN

Descubrimiento de datos

sensibles y análisis de privilegios

Gestión de configuraciones

Gestión de claves

9


Soluciones de seguridad BB.DD. Oracle Controles de seguridad en entornos productivos y no productivos


Firewall de BB.DD.


MONITORIZACIÓN

Enmascaramiento y

subsetting


privilegiados

Cifrado y censurado





Gestión de claves

10


• Cifrado transparente de datos

• Previene el acceso no autorizado a los datos en cualquier situación y circunstancia

• Transparente a las aplicaciones

• Gestión de claves segura

• Overhead casi cero con hardware moderno

• Integración con otras tecnologías Oracle

– p.ej.: Exadata, Advanced Compression, ASM, GoldenGate, DataPump, etc.

Oracle Advanced Security

El cifrado es la base Transparent Data Encryption

Disk

Backups

Exports

Off-Site Facilities

Applications


• Enmascarado en tiempo real de información sensible basada en el contexto de la sesión de la base de datos

• Librerías de políticas y definición rápida y simple de las mismas desde OEM

• Granular – por usuario/sesión

• Transparente a las aplicaciones y a las actividades operacionales corrientes

Oracle Advanced Security

Censurado de datos sensibles Oracle Data Redaction

Credit Card Numbers 4451-2172-9841-4368 5106-8395-2095-5938 7830-0032-0294-1827

Redaction Policy

xxxx-xxxx-xxxx-4368 4451-2172-9841-4368

Departamento de facturación

Call Center


• Enmascaramiento por sustitución de datos sensibles.

• Detección y conservación de la Integridad Referencial

• Librería de plantillas y formatos extensible por el usuario

• Platillas predefinidas para Oracle Applications

• Soporte para bases de datos no Oracle

Oracle Data Masking

Control preventivo para Oracle Database

APELLIDO DNI SALARIO

ANSKEKSL 99999999X 60,000

BKJHHEIEDK 88888888W 40,000

APELLIDO DNI SALARIO

AGUILAR 51689025Z 40,000

BENITEZ 23486986G 60,000

No productivo

Dev

Test Producción

Enmascaramiento de datos en entornos no productivos


• Enterprise data governance, con segregación de privilegios

• Limitación acceso a datos para todo tipo de usuarios incluyendo a los DBAs

• Reglas SQL Multi-factor/acceso

• Protección esquemas/aplicaciones

• Políticas out of the box para Oracle Applications

Oracle Database Vault

Control de usuarios privilegiados Control preventivo para Oracle Database

Compras

RR.HH.

Financiero

select * from finance.customers

Responsible de aplicación

Applications

Responsable Seguridad

DBA


Soluciones de seguridad BB.DD. Oracle Detección y bloqueo de amenazas, alerta, auditoría e informes


Firewall de BB.DD.


MONITORIZACIÓN

Enmascaramiento y

subsetting


privilegiados

Cifrado y censurado





Gestión de claves

15


• Monitorización del tráfico de red, detección y bloqueo de actividades no-autorizadas

• Análisis gramatical SQLs

• Detección y parada de ataques tipo SQL injection

• Aproximación de “listas blancas” y “listas negras” para garantizar los accesos seguros y gestionar las actividades de riesgo

• Construido sobre un modelo de Software appliance, escalable y seguro

Oracle Audit Vault and Database Firewall

Monitorización y prevención de accesos a las BB.DD. Detección y Control de accesos para Oracle & non-Oracle Databases

16

Bloquear

Auditar

Permitir

Alertar

Sustituir

Listas blancas

Listas negras

Análisis SQL

Políticas

Usuarios

Aplicaciones


• Informes sobre privilegios y roles definidos y utilizados por la base de datos

• Ayuda en la eliminación de privilegios innecesarios/no utilizados

• Reduce los riesgos de seguridad limitando la exposición de datos a privilegios innecesarios


Oracle Audit Vault and Database Firewall

Alertas, Auditoria y reporting en Tiempo Real Detección y Control de accesos para Oracle & non-Oracle Databases

Datos de auditoría y

eventos

Políticas

Informes predefinidos

Alertas

Informes a medida

!

OS & Storage

Directorios

Bases de datos

Oracle Database

Firewall

Custom Analista de Seguridad

Auditor

SOC

Hadoop


Soluciones de seguridad BB.DD. Oracle Gestión segura de los entornos de bases de datos


Firewall de BB.DD.


MONITORIZACIÓN

Enmascaramiento y

subsetting


privilegiados

Cifrado y censurado





Gestión de claves

18


• Informes sobre privilegios y roles definidos y utilizados por la base de datos

• Ayuda en la eliminación de privilegios innecesarios/no utilizados

• Reduce los riesgos de seguridad limitando la exposición de datos a privilegios innecesarios


Oracle Database Vault

Análisis de uso de Privilegios y Roles Control administrativo para Oracle Database 12c

19

Análisis de privilegios

Create… Drop… Modify… DBA role APPADMIN role


• Detección y análisis de datos sensibles sobre Oracle DB

• Extensible según requerimientos del usuario

• Modelado automático de datos y aplicaciones

• Facilita la protección de datos sensibles y la consiguiente adecuación a normativas vía: cifrado, enmascaramiento dinámico, enmascaramiento estático, auditoría…

Oracle Enterprise Manager 12c

Análisis y modelado de datos sensibles Control administrativo para Oracle Database 12c


• Descubrimiento y clasificación de Oracle Databases

• Monitorización continua para el mantenimiento de estándares y buenas prácticas

• Detección automática de cambios no autorizados en la configuración

• Eliminación de cambios no autorizados basado en baselines

• Gestión cambios, parcheado y aprovisionamiento

Oracle Database Lifecycle Management

Gestión de la configuración Control administrativo para Oracle Database 12c

Descubrimiento

Monitorización

Parcheado


• Gestión centralizada de claves para las claves maestras de TDE sobre una conexión de red directa

• Archivado de wallets y keystores para retención a largo plazo.

• Fácil recuperación y distribución cuando estos ficheros son requeridos.

• Gestión del ciclo de vida de las claves

• Prevención de pérdida de claves

• Auditoría

Oracle Key Vault

Gestión centralizada de claves


• Autenticación de usuarios con Kerberos

• Autorización acceso al dato con controles de grano fino con Apache Sentry

• Centralización de Auditoría actividad y accesos con Oracle Audit Vault and Database Firewall

• Cifrado del dato almacenado con AES256

Big Data Appliance

Seguridad en Big Data Appliance


Soluciones de seguridad BB.DD. Oracle Defensa en profundidad


Firewall de BB.DD.


MONITORIZACIÓN

Enmascaramiento


privilegiados

Cifrado



sensibles


Análisis de privilegios

24


Big Data Datos consolidados. Mayor criticidad y sensibilidad.

Legacy Systems

Otras Fuentes Capa de

acceso a datos Datos

Analíticos

Transaccional

Redes Sociales

Ficheros Planos

Estructuras de consumo

DA

TOS

CO

NSO

LID

AD

OS H

ado

op

D

W

Segu

rid

ad

Segu

rid

ad Se

guri

dad


Del CPD controlado al Cloud público ¿Qué seguridad me ofrece mi proveedor de Cloud?

• ¿Quién gestiona las máquinas?

• ¿Quién administra las BB.DD.?

• ¿Quién tiene acceso a mis datos?

– ¿Pueden otros clientes acceder a mis datos?

• ¿Qué controles existen para evitar fugas o robos de datos?

26


Oracle Database – Soluciones de Seguridad Seguridad demostrable para bases de datos Oracle

T-Mobile USA: Reto:

Proteger accesos a datos sensibles para BBDD Oracle y no Oracle

Solución: Oracle Database Firewall Oracle Advanced Security Oracle Data Masking BBVA Compass:

Retos: Segregación de funciones Evitar accesos de desarrolladores, DBAs, etc. a datos de producción

Solución: Oracle Database Vault


Soluciones Seguridad para Oracle Database Conclusiones

Sencillo y Flexible

Despliegue Empresarial Seguridad y

Cumplimiento

Rápido y Escalable

Cumplimiento de normativas: PCI, SOX, LOPD, ENS, normativa EU, … Segregación de funciones Control usuarios privilegiados Cifrado y enmascaramiento de datos

Probado en los entornos más exigentes Transparente a las aplicaciones Gestión completa del ciclo de vida de las BB.DD. Administrable desde un único punto

Alto rendimiento Aprovechamiento del hardware En el núcleo de la BB.DD. Oracle Escalabilidad vertical y horizontal

Fácil y rápido de desplegar Transparente a las aplicaciones Múltiples opciones según necesidades


• Data sheets

• Whitepapers

• Webcasts

• Casos estudio

• Eventos

• Novedades

• Y más…

Recursos Oracle Database Security www.oracle.com/database/security

cloud, bigdata y seguridad - david nuñez

Technology