Download - Cloud, BigData y Seguridad - David Nuñez
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Cloud, Big Data y Seguridad: Aprovechando las capacidades de Oracle Database 12c
David Nuñez Escobedo Oracle Enterprise Architect Security Specialist Valencia 23 de Octubre de 2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Adaptado de Kuppinger Cole Presentation, Marzo de 2013
Ingeniería social
Denegación de servicio
Ataques sofisticados
Robo de datos
Impacto en la reputación
Pérdida de negocio
• Abuso de
privilegios
• Curiosidad
• Filtraciones
• Borrados
accidentales
• Divulgaciones no autorizadas
De los ERRORES a lo MALICIOSO La seguridad tradicional ya no es suficiente
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
De los
registros robados de las bases de
datos
Vulnerability Management
Network Security
End point Security
Email Security
Las en el core del negocio es el
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Big Data Datos consolidados. Mayor criticidad y sensibilidad.
Legacy Systems
Otras Fuentes Capa de
acceso a datos Datos
Analíticos
Transaccional
Redes Sociales
Ficheros Planos
Estructuras de consumo
DA
TOS
CO
NSO
LID
AD
OS H
ado
op
D
W
Segu
rid
ad
Segu
rid
ad Se
guri
dad
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Del CPD controlado al Cloud público ¿Qué seguridad me ofrece mi proveedor de Cloud?
• ¿Quién gestiona las máquinas?
• ¿Quién administra las BB.DD.?
• ¿Quién tiene acceso a mis datos?
– ¿Pueden otros clientes acceder a mis datos?
• ¿Qué controles existen para evitar fugas o robos de datos?
7
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Descubrir activos
Clasificar datos
Analizar riesgos
Auditar Controles
Mitigar riesgos
ProporcionarQoS
alineada con los objetivos del
negocio
En la seguridad hay que ser sistemáticos
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Soluciones de seguridad BB.DD. Oracle Defensa en profundidad
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento y
subsetting
Control sobre usuarios
privilegiados
Cifrado y censurado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos
sensibles y análisis de privilegios
Gestión de configuraciones
Gestión de claves
9
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Soluciones de seguridad BB.DD. Oracle Controles de seguridad en entornos productivos y no productivos
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento y
subsetting
Control sobre usuarios
privilegiados
Cifrado y censurado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos
sensibles y análisis de privilegios
Gestión de configuraciones
Gestión de claves
10
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Cifrado transparente de datos
• Previene el acceso no autorizado a los datos en cualquier situación y circunstancia
• Transparente a las aplicaciones
• Gestión de claves segura
• Overhead casi cero con hardware moderno
• Integración con otras tecnologías Oracle
– p.ej.: Exadata, Advanced Compression, ASM, GoldenGate, DataPump, etc.
Oracle Advanced Security
El cifrado es la base Transparent Data Encryption
Disk
Backups
Exports
Off-Site Facilities
Applications
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Enmascarado en tiempo real de información sensible basada en el contexto de la sesión de la base de datos
• Librerías de políticas y definición rápida y simple de las mismas desde OEM
• Granular – por usuario/sesión
• Transparente a las aplicaciones y a las actividades operacionales corrientes
Oracle Advanced Security
Censurado de datos sensibles Oracle Data Redaction
Credit Card Numbers 4451-2172-9841-4368 5106-8395-2095-5938 7830-0032-0294-1827
Redaction Policy
xxxx-xxxx-xxxx-4368 4451-2172-9841-4368
Departamento de facturación
Call Center
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Enmascaramiento por sustitución de datos sensibles.
• Detección y conservación de la Integridad Referencial
• Librería de plantillas y formatos extensible por el usuario
• Platillas predefinidas para Oracle Applications
• Soporte para bases de datos no Oracle
Oracle Data Masking
Control preventivo para Oracle Database
APELLIDO DNI SALARIO
ANSKEKSL 99999999X 60,000
BKJHHEIEDK 88888888W 40,000
APELLIDO DNI SALARIO
AGUILAR 51689025Z 40,000
BENITEZ 23486986G 60,000
No productivo
Dev
Test Producción
Enmascaramiento de datos en entornos no productivos
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Enterprise data governance, con segregación de privilegios
• Limitación acceso a datos para todo tipo de usuarios incluyendo a los DBAs
• Reglas SQL Multi-factor/acceso
• Protección esquemas/aplicaciones
• Políticas out of the box para Oracle Applications
Oracle Database Vault
Control de usuarios privilegiados Control preventivo para Oracle Database
Compras
RR.HH.
Financiero
select * from finance.customers
Responsible de aplicación
Applications
Responsable Seguridad
DBA
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Soluciones de seguridad BB.DD. Oracle Detección y bloqueo de amenazas, alerta, auditoría e informes
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento y
subsetting
Control sobre usuarios
privilegiados
Cifrado y censurado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos
sensibles y análisis de privilegios
Gestión de configuraciones
Gestión de claves
15
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Monitorización del tráfico de red, detección y bloqueo de actividades no-autorizadas
• Análisis gramatical SQLs
• Detección y parada de ataques tipo SQL injection
• Aproximación de “listas blancas” y “listas negras” para garantizar los accesos seguros y gestionar las actividades de riesgo
• Construido sobre un modelo de Software appliance, escalable y seguro
Oracle Audit Vault and Database Firewall
Monitorización y prevención de accesos a las BB.DD. Detección y Control de accesos para Oracle & non-Oracle Databases
16
Bloquear
Auditar
Permitir
Alertar
Sustituir
Listas blancas
Listas negras
Análisis SQL
Políticas
Usuarios
Aplicaciones
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Informes sobre privilegios y roles definidos y utilizados por la base de datos
• Ayuda en la eliminación de privilegios innecesarios/no utilizados
• Reduce los riesgos de seguridad limitando la exposición de datos a privilegios innecesarios
• Transparente a las aplicaciones
Oracle Audit Vault and Database Firewall
Alertas, Auditoria y reporting en Tiempo Real Detección y Control de accesos para Oracle & non-Oracle Databases
Datos de auditoría y
eventos
Políticas
Informes predefinidos
Alertas
Informes a medida
!
OS & Storage
Directorios
Bases de datos
Oracle Database
Firewall
Custom Analista de Seguridad
Auditor
SOC
Hadoop
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Soluciones de seguridad BB.DD. Oracle Gestión segura de los entornos de bases de datos
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento y
subsetting
Control sobre usuarios
privilegiados
Cifrado y censurado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos
sensibles y análisis de privilegios
Gestión de configuraciones
Gestión de claves
18
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Informes sobre privilegios y roles definidos y utilizados por la base de datos
• Ayuda en la eliminación de privilegios innecesarios/no utilizados
• Reduce los riesgos de seguridad limitando la exposición de datos a privilegios innecesarios
• Transparente a las aplicaciones
Oracle Database Vault
Análisis de uso de Privilegios y Roles Control administrativo para Oracle Database 12c
19
Análisis de privilegios
Create… Drop… Modify… DBA role APPADMIN role
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Detección y análisis de datos sensibles sobre Oracle DB
• Extensible según requerimientos del usuario
• Modelado automático de datos y aplicaciones
• Facilita la protección de datos sensibles y la consiguiente adecuación a normativas vía: cifrado, enmascaramiento dinámico, enmascaramiento estático, auditoría…
Oracle Enterprise Manager 12c
Análisis y modelado de datos sensibles Control administrativo para Oracle Database 12c
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Descubrimiento y clasificación de Oracle Databases
• Monitorización continua para el mantenimiento de estándares y buenas prácticas
• Detección automática de cambios no autorizados en la configuración
• Eliminación de cambios no autorizados basado en baselines
• Gestión cambios, parcheado y aprovisionamiento
Oracle Database Lifecycle Management
Gestión de la configuración Control administrativo para Oracle Database 12c
Descubrimiento
Monitorización
Parcheado
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Gestión centralizada de claves para las claves maestras de TDE sobre una conexión de red directa
• Archivado de wallets y keystores para retención a largo plazo.
• Fácil recuperación y distribución cuando estos ficheros son requeridos.
• Gestión del ciclo de vida de las claves
• Prevención de pérdida de claves
• Auditoría
Oracle Key Vault
Gestión centralizada de claves
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Autenticación de usuarios con Kerberos
• Autorización acceso al dato con controles de grano fino con Apache Sentry
• Centralización de Auditoría actividad y accesos con Oracle Audit Vault and Database Firewall
• Cifrado del dato almacenado con AES256
Big Data Appliance
Seguridad en Big Data Appliance
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Soluciones de seguridad BB.DD. Oracle Defensa en profundidad
Monitorización de actividad
Firewall de BB.DD.
Auditoría e Informes
MONITORIZACIÓN
Enmascaramiento
Control sobre usuarios
privilegiados
Cifrado
PREVENTIVO ADMINISTRACIÓN
Descubrimiento de datos
sensibles
Gestión de configuraciones
Análisis de privilegios
24
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Big Data Datos consolidados. Mayor criticidad y sensibilidad.
Legacy Systems
Otras Fuentes Capa de
acceso a datos Datos
Analíticos
Transaccional
Redes Sociales
Ficheros Planos
Estructuras de consumo
DA
TOS
CO
NSO
LID
AD
OS H
ado
op
D
W
Segu
rid
ad
Segu
rid
ad Se
guri
dad
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Del CPD controlado al Cloud público ¿Qué seguridad me ofrece mi proveedor de Cloud?
• ¿Quién gestiona las máquinas?
• ¿Quién administra las BB.DD.?
• ¿Quién tiene acceso a mis datos?
– ¿Pueden otros clientes acceder a mis datos?
• ¿Qué controles existen para evitar fugas o robos de datos?
26
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Oracle Database – Soluciones de Seguridad Seguridad demostrable para bases de datos Oracle
T-Mobile USA: Reto:
Proteger accesos a datos sensibles para BBDD Oracle y no Oracle
Solución: Oracle Database Firewall Oracle Advanced Security Oracle Data Masking BBVA Compass:
Retos: Segregación de funciones Evitar accesos de desarrolladores, DBAs, etc. a datos de producción
Solución: Oracle Database Vault
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Soluciones Seguridad para Oracle Database Conclusiones
Sencillo y Flexible
Despliegue Empresarial Seguridad y
Cumplimiento
Rápido y Escalable
Cumplimiento de normativas: PCI, SOX, LOPD, ENS, normativa EU, … Segregación de funciones Control usuarios privilegiados Cifrado y enmascaramiento de datos
Probado en los entornos más exigentes Transparente a las aplicaciones Gestión completa del ciclo de vida de las BB.DD. Administrable desde un único punto
Alto rendimiento Aprovechamiento del hardware En el núcleo de la BB.DD. Oracle Escalabilidad vertical y horizontal
Fácil y rápido de desplegar Transparente a las aplicaciones Múltiples opciones según necesidades
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
• Data sheets
• Whitepapers
• Webcasts
• Casos estudio
• Eventos
• Novedades
• Y más…
Recursos Oracle Database Security www.oracle.com/database/security
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. 30
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. 31