Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

1.761 visualizações

Publicada em

Apresentação utilizada por André Pretto sobre Auditoria de Banco de Dados SQL Server em Conformidade com a SoX.

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.761
No SlideShare
0
A partir de incorporações
0
Número de incorporações
803
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

  1. 1. SQLServerRSwww.sqlserverrs.com.br
  2. 2. Por: André Pretto
  3. 3.  A lei Sarbanes-Oxley SOX e segurança Auditoria Privacidade e proteção a dados
  4. 4.  Banco de dados SQL Server ◦ Endurecendo o ambiente do banco de dados. ◦ Segurança de banco de dados dentro de um cenário de segurança. ◦ O banco de dados e a rede ◦ Segurança nas comunicações entre bancos de dados ◦ Criptografia ◦ Categorias de auditoria ◦ Práticas de segurança para o ambiente de banco de dados
  5. 5.  Banco de dados SQL Server ◦ Análise de segurança e monitoramento – possíveis soluções. Procedimentos e documentação Checklist do Administrador Checklist do Desenvolvedor
  6. 6. Em 2002 surgiu a lei SOX com o objetivo deresponder a uma série de grandes escândaloscorporativos e contábeis e estabelecerpadrões de segurança novos e aprimorados, aSOX é uma lei federal dos Estados Unidos. Ela objetiva o fechamento de brechas desegurança, principalmente em dadosfinanceiros e contábeis e as camadas de bancode dados e aplicação.
  7. 7.  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  8. 8.  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  9. 9. A seção 404 define os requisitos para manter oscontroles de segurança adequados em relação aossistemas de tecnologia da informação, porémforja uma tarefa desafiadora e talvez um poucointimidante.Aspectos:  Autorização  Autenticação  Acesso
  10. 10. Define que a área de TI tem como obrigação odesenho da arquitetura e documentação de todosos processos usados na TI, os quais sãoconstituídos pelas disciplinas:  Dados (Data)  Sistema (System)  Tecnologia (Technology)  Rede (Network)
  11. 11. A seção 404 discorre sobre a compreensão dosconceitos básicos de privacidade e proteção dedados, definir e fazer cumprir arquitetura, combinarforças externas, influências internas, e ativos deTI, simplificar a matriz de segurança,desenvolvimento de estratégias baseadas nocontrole de acesso, integração dos elementoscríticos de proteção de privacidade em engenhariade sistemas e aplicações.
  12. 12.  SOX também permite que uma auditoria externa e análise de segurança de seja feita para avaliar qualquer manipulação de dados. Tem sido provado que a maioria dos problemas de segurança vêm de dentro da organização
  13. 13. Baseada nas melhores práticas de segurança a SOX impõe três regras, em relação a proteção a dados: Confidencialidade - proteção de informações sensíveis contra divulgação não autorizado ou interceptação inteligível. Integridade - salvaguarda da exatidão e integridade das informações e software. Disponibilidade - Assegurar que as soluções de informação estão disponíveis quando necessários.
  14. 14. Auditoria é a primeira atividade a ser realizada antes de qualquer outra iniciativa para aumentar a segurança de um banco de dados. (Ron Bem Natan, 2009 ).Auditoria em banco de dados divide-se em: Auditoria padrão Auditoria obrigatória e de administrador Auditoria minuciosa (Fine Grained Auditing ou FGA) Auditoria de valor
  15. 15. É umas das mais completas auditorias dentrodo banco de dados, ela permite a auditoria deatividades baseadas no tipo de atividade,objeto, privilégio, ou usuário.auditoria padrão é umas das mais completasauditorias dentro do banco de dados, elapermite a auditoria de atividades baseadas notipo de atividade, objeto, privilegio, ouusuário.
  16. 16. É de extrema importância e consiste emimplementar iniciativas de auditoria dousuário privilegiado do banco de dadosSA/DBA abrangendo até a inicialização edesligamento do SGBD
  17. 17. Permite que você especifique o que vocêquer auditar baseado em comandos DDL(SELECT, UPDATE, DELETE) e DML.
  18. 18. É um auditoria granular que objetiva terrespostas para: Quem, O que, Quando, Onde Com base em um conjunto de critérios,os critérios podem ser um comando, umobjeto, um privilégio, uma combinação estes,ou mesma uma condição arbitrária altamentegranular.
  19. 19. A auditoria deve cumprir e avaliar todos osrequisitos regulatórios os quais a companhiaesta respondendo como o caso da SOX.Uma auditoria interna através de umdepartamento de auditoria não é suficiente, énecessário um conjunto de auditores internose externos sendo esses independentes.
  20. 20. A auditoria externa geralmente éprestada por empresas de auditoriareconhecidas e homologadas a auditar asnormas regulatórias.PricewaterhouseCoopers (PwC),Deloitte,KPMGErnest & Young (E & Y)
  21. 21. Os modernos sistemas de TI e controle desegurança são baseados elementos essenciaisos quais compõem uma matriz de segurança.
  22. 22. Sob um aspecto legal a legislação deproteção à privacidade de dados vem sealterando rapidamente nos Estados Unidos,Europa e Canadá, como por exemplo, aCalifórnia é considerada como a líder emlegislação destinada a proteção deprivacidade pessoal e roubo de identidade.
  23. 23. Proteger a confidencialidade dasinformações de uma organização de formaprivada e protegida é o mesmo que dizer quea organização mantém em segredo e comacesso controlado e monitorado o acesso àsinformações em qualquer forma dearmazenamento.
  24. 24. Esse aspecto será um aspecto constante dedesafios para a área de TI na construção desistemas e armazenamento de dados em Bancosde Dados, visando sempre atender as alteraçõesdas leis.Privacidade podem ser classificados como:◦ De domínio publico,◦ Protegido◦ Restrito.
  25. 25.  O SQL Server de encontro aos requisitos da SOX.
  26. 26.  Segurança física do servidor no qual reside o SQL Server. Aplicar todos os service packs e hot fixes para o sistema operacional do Windows Server e SQL Server. Certifique-se de todos os dados do SQL Server e arquivos do sistema são instalados em uma partição NTFS e que as permissões adequadas estão definidas para os arquivos.
  27. 27.  Usar baixo nível de privilégio para contas de usuário para o serviço do SQL Server. ◦ Não use LocalSystem ou Administrador. Apagar arquivos de instalação. ◦ Arquivos de instalação podem conter texto simples e sem criptografia, onde residem informações de configuração Proteger a conta SA com uma senha forte. Remova todos os usuários de exemplo e bancos de dados de aprendizado.
  28. 28.  Verificar se existem usuários com senhas nulas. Remova o usuário convidado de todos os bancos, exceto de master e tempdb. Analisar como os papéis são atribuídos a usuários em um nível de banco de dados e servidor. Crie um processo que lhe permita revisar periodicamente papel e membros do grupo criados no SQL Server.
  29. 29.  Use a autenticação do Windows em vez da autenticação mista. Remova as bibliotecas de rede que não são utilizados. Não permitir ou promover o acesso remoto ao sistema operacional e execução ferramentas locais. Remover ou restringir o acesso xp_stored procedures.
  30. 30.  Não instale extended procedures criadas pelo usuário, pois podem abrir brechas de segurança servidor. Verificar e limitar as stored procedures que são PUBLIC Desabilitar o SQL mail buscando alternativas para fazer métodos de notificação. Não install full-text search a menos que alguma aplicação em especifico necessite.
  31. 31.  Desabilitar o Microsoft Distributed Transaction Coordinator a menos que seja realmente necessário para alguma aplicação. Monitorar de perto todas as tentativas de login que falharam. Desenvolvedores não podem ter acesso a instancias de produção. Habilitar auditoria.
  32. 32.  Firewalls Virtual private networks (VPNs) A avaliação das vulnerabilidade e gerenciamento de patches. Antivirus Intrusion detection systems (IDS) Intrusion prevention systems (IPS)
  33. 33.  Proteger os usuário e senhas usados na interligação de banco de dados. Garantir mecanismos de replicação de dados. Segurança e monitoramento dos usuários e das conexões de replicação. Mapear e assegurar-se de conhecer todas as fontes de dados e repositórios. Garantir segurança e Monitorar os sistemas log shipping schemes.
  34. 34.  Proteger e monitorar bancos de dados móveis Monitorar e limitar as comunicações de saída (outbound).
  35. 35.  Criptografar os dados que trafegam (Encrypting data-in-transit ). Criptografar os dados que não trafegam e exigem alta segurança.
  36. 36.  Auditar o logon/logoff no banco de dados Auditar os consumidores do banco de dados (Sistemas, ferramentas, Excel, ODBC entre outros) Auditar a utilização do banco de dados fora do horário normal de expediente corporativo. Auditar as atividades DDL e DML Auditar os erros que o banco de dados apresentar.
  37. 37.  Auditar as alterações de stored procedures, triggers, alterações de privilégios de usuário/login e outros atributos de segurança. Auditar a criação, alteração e uso dos database links e replicação. Auditar a alteração de dados sensíveis (Ex. Salário)
  38. 38.  Auditar as alterações feitas nas definições do que é auditado.
  39. 39. A SOX para conformidade com os procedimentos de segurança e documentação para o SQL Server deve incluir o seguinte: Descrição do modelo de segurança (Active Directory, grupos de domínio, os papéisdo SQL Server, banco de dados de papéis, etc.)
  40. 40.  Um procedimento para criar uma nova conta, quando chega um novo funcionário. Um procedimento para eliminar / desativar uma conta quando um funcionário deixa a empresa. Um procedimento para pedir permissões - com uma data final desejada, se possível - especialmente para permissões especiais.
  41. 41.  Um procedimento para alterações de senha (para logins do SQL Server). Regras e regulamentos a seguir para um novo software ou uma nova aplicação usando um banco de dados SQL Server. Você também deve aplicá-las às aplicações existentes, tanto quanto possível.
  42. 42.  Descrição de como as aplicações devem criptografar arquivos de senha ao usar SQLServer ou modo de autenticação quando as senhas são codificadas. Descrição dos controles de segurança periódicas (automático / manual).
  43. 43.  Documentação para cada procedimento manual e automatizado e as mudanças de segurança. Documentar a existência de verificações e inspeções futuras.
  44. 44.  Firewalls ◦ Colocar um firewall entre o servidor e a Internet. ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no seu firewall de perímetro. Se as instâncias nomeadas estão escutando portas adicionais, bloquear os demais. ◦ Em um ambiente multi-camadas, use múltiplos firewalls para criar sub-redes selecionados.
  45. 45.  Isolamento de serviços ◦ Isolar serviços para reduzir o risco de que um serviço comprometido poderiam ser usadas para comprometer os outros. ◦ Nunca instale o SQL Server em um controlador de domínio. ◦ Executar serviços de servidor SQL separado em contas separadas Windows. ◦ Executar servidor de aplicação e banco de dados em servidores separados.
  46. 46. Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento.  Contas de serviço ◦ Criar contas do Windows com os privilégios mais baixo possível para a execução de serviços do SQL Server.  Sistema de arquivos ◦ Usar NTFS. ◦ Usar RAID para arquivos de dados críticos.
  47. 47.  Use as ferramentas do SQL Server e Microsoft. ◦ SQL Server Profiler. ◦ SQL Server Audit feature ◦ Activity Monitor ◦ Central Management Servers ◦ Data Collector and Management Data Warehouse ◦ SQL Server Policy-Based Management ◦ Resource Governor ◦ Transparent Data Encryption (TDE) ◦ Powershell ◦ Reporting Server
  48. 48.  Ferramentas de terceiros. ◦ Krell Software - http://www.krell- software.com/omniaudit/ ◦ Imperva - http://www.imperva.com/index.html ◦ ApexSQL - http://www.apexsql.com/sql_tools_audit.aspx
  49. 49. Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento. http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx
  50. 50. SQLServerRSwww.sqlserverrs.com.br

×