Proteja la información
sensible de su BBDD Oracle
Olsen Morales
Administrador de Sistemas Oracle
12-06-2012
Agenda
1. Introducción
2. Oracle Database Vault
3. Oracle Data Masking
4. Licenciamiento
3 avanttic Consultoría Tecnológica
Introducción
4 avanttic Consultoría Tecnológica
1,800 Exabytes
Y se duplican
cada año…
2006 2011
Dos terceras partes de los datos sensibles y regulados residen en
bases de datos…
Más datos que nunca…
Fuente: IDC, 2011
5 avanttic Consultoría Tecnológica
Más regulaciones que nunca…
FISMA
Sarbanes-Oxley
Breach Disclosure
PCI
HIPAA
GLBA PIPEDA
Basel II
LOPD
Directivas europeas
sobre datos
Euro SOX
J SOX
K SOX
SAS 70
AUS/PRO
UK/PRO
Fuente: IT Policy Compliance Group
COBIT
ISO 17799
90% Compañías atrasadas en el cumplimiento
201CMR17
Responsabilidad civil
Sanciones gubernamentales
Enjuiciamiento criminal
6 avanttic Consultoría Tecnológica
Más fugas de información que nunca…
En 2011 se detectaron empresas en 36 países que fueron víctimas de datos
comprometidos
7 avanttic Consultoría Tecnológica
Más amenazas que nunca…
http://www.theage.com.au/national/vodafone-probes-its-security-20110109-19jv5.html
http://www.smh.com.au/technology/security/mobile-security-outrage-private-details-accessible-on-net-20110108-19j9j.html
http://www.infosecisland.com/blogview/12692-TripAdvisor-Member-Emails-Stolen-by-Hacker.html
http://www.epsilon.com/news-events/press-releases/2011/epsilon-notifies-clients-unauthorized-entry-email-system http://www.soe.com/securityupdate/pressrelease.vm
8 avanttic Consultoría Tecnológica
¿Cuál es la fuente de las fugas?
2011 Data Breach
Investigations Report
9 avanttic Consultoría Tecnológica
Information Rights Management
• Encriptación y enmascaramiento
• Control usuarios privilegiados
• Autorización multifactor
• Monitorización y auditoría
• Configuración de seguridad
• Database Firewall
Identity Management
Database Security
Databases
Applications
Content
Infrastructure
• Aprovisionamiento usuarios
• Gestión de roles
• Gestión de permisos
• Control basado en el riesgo
• Directorio Virtual
• Control Acceso a nivel del Documento
• Todas las copias independientemente de su ubicación (incluso mas allá del firewall)
• Auditoría y Revocación
Information
La seguridad en Oracle Seguridad de extremo a extremo
10 avanttic Consultoría Tecnológica
Seguridad en BBDD Oracle Innovación continua
Data Masking
TDE Tablespace Encryption
Oracle Total Recall
Oracle Audit Vault
Oracle Database Vault
Transparent Data Encryption (TDE)
Real Time Masking
Secure Config Scanning
Fine Grained Auditing
Oracle Label Security
Enterprise User Security
Virtual Private Database (VPD)
Database Encryption API
Strong Authentication
Native Network Encryption
Database Auditing
Government customer
Oracle7
Oracle8i
Oracle Database 9i
Oracle Database 10g
Oracle Database 11g
11 avanttic Consultoría Tecnológica
Defensa en profundidad de la BBDD Oracle
Control de acceso
• Oracle Database Vault
• Oracle Label Security
• Virtual Private Database
• Oracle Advanced Security
• Oracle Secure Backup
• Oracle Data Masking
Cifrado y enmascaramiento
Auditoría y monitorización
• Oracle Audit Vault
• Oracle Configuration Management
• Oracle Total Recall
• Oracle Database Firewall
Registro y bloqueo
Cifrado y
enmascaramiento
Control de acceso
Auditoría y monitorización
Registro y bloqueo
12 avanttic Consultoría Tecnológica
• Database Vault
• Label Security
• Virtual Private
Database
• Advanced Security
• Secure Backup
• Data Masking
• Audit Vault
• Configuration
Management
• Total Recall
Cifrado y
enmascaramiento
Auditoría y
monitorización
Control de
acceso
• Database Firewall
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Seguridad en BBDD Oracle
Registro y bloqueo
Registro y
bloqueo
13 avanttic Consultoría Tecnológica
Cifrado y
enmascaramiento
Auditoría y
monitorización
Control de
acceso
• Database Firewall
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Seguridad en BBDD Oracle
Auditoría y monitorización
Registro y
bloqueo
• Database Vault
• Label Security
• Virtual Private
Database
• Advanced Security
• Secure Backup
• Data Masking
• Audit Vault
• Configuration
Management
• Total Recall
14 avanttic Consultoría Tecnológica
Cifrado y
enmascaramiento
Auditoría y
monitorización
Control de
acceso
• Database Firewall
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Seguridad en BBDD Oracle
Control de acceso
Registro y
bloqueo
• Database Vault
• Label Security
• Virtual Private
Database
• Advanced Security
• Secure Backup
• Data Masking
• Audit Vault
• Configuration
Management
• Total Recall
15 avanttic Consultoría Tecnológica
Cifrado y
enmascaramiento
Auditoría y
monitorización
Control de
acceso
• Database Firewall
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Seguridad en BBDD Oracle
Cifrado y enmascaramiento
Registro y
bloqueo
• Database Vault
• Label Security
• Virtual Private
Database
• Advanced Security
• Secure Backup
• Data Masking
• Audit Vault
• Configuration
Management
• Total Recall
16 avanttic Consultoría Tecnológica
Cifrado y
enmascaramiento
Auditoría y
monitorización
Control de
acceso
• Database Firewall
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD (Database Vault)
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos (Data Masking)
Seguridad en BBDD Oracle
Proteja la información sensible de su BBDD
Registro y
bloqueo
• Database Vault
• Label Security
• Virtual Private
Database
• Advanced Security
• Secure Backup
• Data Masking
• Audit Vault
• Configuration
Management
• Total Recall
17 avanttic Consultoría Tecnológica
Control de acceso
Oracle Database Vault
18 avanttic Consultoría Tecnológica
Oracle Database Vault
Control de acceso y seguridad en la base de datos
• Segregación de funciones y cotos de seguridad
• Asegura quién, dónde, cuándo y cómo accede a la base de datos:
• Asegura los mínimos privilegios a los usuarios privilegiados
• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras
RR.HH.
Financiero
“DBA” de
aplicación
select * from finance.customers DBA
“DBA” de
seguridad
Aplicación
19 avanttic Consultoría Tecnológica
• Protege la Base de Datos con separación de funciones por
Aplicación/Usuario/Objeto
• Permite implementar controles de lectura/escritura de los datos de
aplicación
• Permite limitar a los DBA’s y súper usuarios el acceso a los datos
sensibles
• Permite administrar los objetos, aún cuando se limite el acceso a
los datos
• Proporciona un conjunto de informes de seguridad para control y
seguimiento de las medidas implementadas
• La protección se implementa con carácter selectivo para usuarios
y objetos concretos
Oracle Database Vault Funcionalidades
20 avanttic Consultoría Tecnológica
Oracle Database Vault Protegiendo aplicaciones existentes
• DBA intenta acceder a
datos de HR
Protección contra accesos
• DBA RRHH intenta acceder a
datos de Fin Eliminando riesgos de seguridad por consolidación de servidores
DBA
DBA RR.HH.
HR
HR Realm
HR
select *
from HR.emp
Fin
DBA Financiero Fin Realm
Fin
21 avanttic Consultoría Tecnológica
Oracle Database Vault Forzando Políticas de Acceso
• Un usuario intenta acceder
desde una IP no autorizada
Regla basada en IP bloquea la acción
• El usuario realiza una tarea no
autorizada en hora productiva
Regla basada en fecha y hora bloquea la acción
HR Realm
HR
Usuario
Select ….
Desarrollador
HR
Create, Alter …
Lunes 3 pm
Fin
22 avanttic Consultoría Tecnológica
Realms
• Firewall de Protección desde dentro de la propia B.D.
• Limita el ámbito de Privilegios del Sistema a aplicar
Factors
• Controles de Acceso de carácter obligatorio
• Posibilidad de Autorizaciones multi-factor
• Posibilidad de Factores a medida (PL/SQL)
Rules / Rule sets
• Asociados a Comandos de BBDD
• Motor de Reglas para manejar eventos de Exito/Fallo
Command Rules
• Reglas globales para controlar el uso de sentencias de BBDD, DDL,
DML, …
Oracle Database Vault Conceptos
23 avanttic Consultoría Tecnológica
Oracle Database Vault Realms - Segregación de funciones (ejemplo)
HR schema
SALES_DBA posee el role DBA y puede borrar tablas de HR
SQL> CONNECT sales_dba/password
SQL> DROP TABLE hr.bonus_it;
Table dropped.
El administrador de Database Vault crea un realm para asegurar las tablas de HR
SQL> DROP TABLE hr.bonus_it;
ORA-20401: Realm Violation for drop table
on HR.BONUS_IT
SALES_DBA intenta borrar la tabla restaurada bonus_it
1
2
3
24 avanttic Consultoría Tecnológica
Oracle Database Vault Realms - Acceso del propio esquema (ejemplo)
HR no puede borrar una tabla de HR dentro del realm
El administrador de Database Vault permite HR
como participante dentro del realm
SQL> DROP TABLE bonus_exec;
Table dropped.
HR es ahora capaz de borrar su propia tabla
4
5
6
SQL> DROP TABLE bonus_exec;
ORA-20401: Realm Violation for drop table
on HR.BONUS_EXEC
HR schema
25 avanttic Consultoría Tecnológica
Oracle Database Vault Factors (ejemplo)
RR.HH.
UPDATE hr.employees
BSANCHEZ INSERT … INTO sh.sales
Externo SELECT * FROM hr.employees
Domain = INTERNET
WorkHours = FINdeSEMANA
Domain = SEGURO
26 avanttic Consultoría Tecnológica
Oracle Database Vault Rule Sets
TRUE or FALSE Rule Set Result
Rule 1 TRUE or FALSE
Rule 2 TRUE or FALSE
Rule n TRUE or FALSE
AND / OR
AND / OR
AND / OR
27 avanttic Consultoría Tecnológica
Oracle Database Vault Rule Sets (ejemplo)
Is machine local? TRUE or FALSE
Is it a weekend? TRUE or FALSE
APP.STATUS column > 0? TRUE or FALSE
TRUE or FALSE Rule Set Result
AND / OR
AND / OR
AND / OR
28 avanttic Consultoría Tecnológica
Crear una regla de comando que permita a los usuarios (incluyendo
DBAs) crear vistas sobre objetos del esquema OE fuera del horario
habitual.
Oracle Database Vault Command Rules (ejemplo)
29 avanttic Consultoría Tecnológica
Oracle Database Vault Command Rules (ejemplo)
30 avanttic Consultoría Tecnológica
Oracle Database Vault Informes
31 avanttic Consultoría Tecnológica
Cifrado y Enmascaramiento
Oracle Data Masking
32 avanttic Consultoría Tecnológica
Oracle Enterprise Manager 12c Utilidades para popular entornos no productivos
Entornos no
productivos
Application Data Modeling
(identificación de datos sensibles)
Data Subsetting
(subconjunto de datos)
Data Masking
(enmascaramiento de datos)
33 avanttic Consultoría Tecnológica
Oracle Data Masking Anonimización irreversible de datos en entornos no productivos
• Transfiere datos de aplicación de forma segura a entornos no productivos
• Evita que desarrolladores de aplicaciones accedan a datos reales de producción
• Librerías y políticas extensibles para la automatización del enmascaramiento de
datos
• Se preserva la integridad referencial por lo que las aplicaciones continúan
funcionando correctamente
NOMBRE DNI SALARIO
ZFDGFAKJIJ 81331100-J 25,000
ASDTYHJUK 87766348-S 30,000
NOMBRE DNI SALARIO
ANA PÉREZ 12345678-A 30,000
PEDRO SÁNCHEZ 98765432-Z 25,000
Producción Desarrollo
34 avanttic Consultoría Tecnológica
Oracle Data Masking Proceso de enmascaramiento
Produccion Staging
Test
Desarrollo
Clonado
Mask
Clonado
35 avanttic Consultoría Tecnológica
Oracle Data Masking Datos nuevos y legibles con las propiedades de los datos reales
(tipo, tamaño, formato)
LAST_NAME SSN SALARY
ANSKEKSL 111-23-1111 40,000
BKJHHEIEDK 111-34-1345 60,000
KDDEHLHESA 111-97-2749 80,000
FPENZXIEK 111-49-3849 45,000
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
D’SOUZA 989-22-2403 80,000
FIORANO 093-44-3823 45,000
36 avanttic Consultoría Tecnológica
• Detección automática de integridad referencial al enmascarar claves primarias:
• Implícita – forzada por DB
• Explícita – forzada por la aplicación
• Cambios agrupados en columnas dependientes
• Librería de formatos de enmascaramiento
• Visualización de ejemplo “pre-view”
• Templates
• Define una vez, ejecuta múltiples veces
• Incremental
• Código generado eficiente para grandes volúmenes de datos
Oracle Data Masking Características principales
37 avanttic Consultoría Tecnológica
Oracle Data Masking Referential Integrity Enforcement
Database
enforced
Application
enforced
38 avanttic Consultoría Tecnológica
Random Number/String/Date, Shuffle, Substring, Table Column
Oracle Data Masking Librería de formatos de enmascaramiento
39 avanttic Consultoría Tecnológica
Formatos para tipos comunes de datos sensibles, como números de
tarjetas de crédito, de teléfono, códigos de seguro social, etc.
Oracle Data Masking Librería de formatos de enmascaramiento
40 avanttic Consultoría Tecnológica
Oracle Data Masking Formatos definidos por el usuario
41 avanttic Consultoría Tecnológica
• Basada en condiciones: Formatos de máscara diferentes sobre el
mismo conjunto de datos en función de las filas que cumplen las
condiciones
Ejemplo: Código identificación personal basada en el país de origen
• Compuesta: Asegura que un conjunto de columnas relacionadas se
enmascara como un grupo, para garantizar que se mantiene la
coherencia y relación después de enmascarar
Ejemplo: Ciudad + estado + código postal como un grupo
• Determinista: Permite repetir valores ocultados después de ejecutar
el proceso de enmascaramiento
Ejemplo: Número cliente ocultado con mismo valor en varias BBDD
Oracle Data Masking Técnicas sofisticadas de ocultación
42 avanttic Consultoría Tecnológica
• Valida la unicidad de las
claves
• Coherencia de los
formatos con los tipos de
las columnas
• Espacio disponible
• Restricciones de
constraints
• Que existan particiones
por defecto
Oracle Data Masking Validación previa
43 avanttic Consultoría Tecnológica
• Import/Export XML con definiciones de enmascaramiento
• Generación de script de enmascaramiento en PL/SQL (friendly)
• Post-Mask SQL para LOBs, attachments, valores acumulados, …
• Generación de REDO para permitir FLASHBACK al estado previo
en test
Optimizaciones:
Recolección de estadísticas antes y después del proceso
Una operación bulk para todas las columnas de una tabla
CTAS para recrear las tablas enmascaradas
Sentencias con NOLOGGING
Paralelismo
Oracle Data Masking Ejecución
44 avanttic Consultoría Tecnológica
Licenciamiento
45 avanttic Consultoría Tecnológica
• Ambas son opciones de BBDD Enterprise Edition
• Se licencian del mismo modo que la BBDD asociada:
• Por NUP o por Processors
• Igual número de licencias
• Data Masking no es necesario licenciarlo en las BBDD de destino
Licenciamiento Oracle Database Vault y Oracle Data Masking
Produccion Staging
Test
Desarrollo
Clonado
Mask
Clonado
46 avanttic Consultoría Tecnológica
Preguntas
Para más información contacte con nosotros a través de [email protected]
MADRID
Orense 85
28020 Madrid
Tel. 91 116 17 89
BARCELONA
Aragó 182, 4º planta
08011 Barcelona
Tel. 93 151 84 51