4. Más datos que nunca…
Dos terceras partes de los datos sensibles y regulados residen en
bases de datos…
Y se duplican
cada año…
1,800 Exabytes
2006 2011
Fuente: IDC, 2011
4 avanttic Consultoría Tecnológica
5. Más regulaciones que nunca…
90% Compañías atrasadas en el cumplimiento
Responsabilidad
UK/PRO
Enjuiciamiento civil
criminal
PIPEDA Directivas europeas
GLBA Sanciones
Sarbanes-Oxley sobre datos
Basel II gubernamentales
PCI 201CMR17 LOPD Euro SOX K SOX
Breach Disclosure
FISMA
J SOX
HIPAA
ISO 17799
SAS 70 COBIT
AUS/PRO
Fuente: IT Policy Compliance Group
5 avanttic Consultoría Tecnológica
6. Más fugas de información que nunca…
En 2011 se detectaron empresas en 36 países que fueron víctimas de datos
comprometidos
6 avanttic Consultoría Tecnológica
7. Más amenazas que nunca…
http://www.smh.com.au/technology/security/mobile-security-outrage-private-details-accessible-on-net-20110108-19j9j.html
http://www.theage.com.au/national/vodafone-probes-its-security-20110109-19jv5.html
http://www.infosecisland.com/blogview/12692-TripAdvisor-Member-Emails-Stolen-by-Hacker.html
http://www.epsilon.com/news-events/press-releases/2011/epsilon-notifies-clients-unauthorized-entry-email-system
http://www.soe.com/securityupdate/pressrelease.vm
7 avanttic Consultoría Tecnológica
8. ¿Cuál es la fuente de las fugas?
2011 Data Breach
Investigations Report
8 avanttic Consultoría Tecnológica
9. La seguridad en Oracle
Seguridad de extremo a extremo
Database Security
• Encriptación y enmascaramiento
• Control usuarios privilegiados
• Autorización multifactor
• Monitorización y auditoría
• Configuración de seguridad
• Database Firewall
Identity Management
• Aprovisionamiento usuarios
• Gestión de roles
• Gestión de permisos
Information • Control basado en el riesgo
• Directorio Virtual
Infrastructure
Databases
Information Rights Management
Applications • Control Acceso a nivel del Documento
Content • Todas las copias independientemente de
su ubicación (incluso mas allá del
firewall)
• Auditoría y Revocación
9 avanttic Consultoría Tecnológica
10. Seguridad en BBDD Oracle
Innovación continua
Oracle Database 11g Data Masking
TDE Tablespace Encryption
Oracle Total Recall
Oracle Database 10g
Oracle Audit Vault
Oracle Database Vault
Transparent Data Encryption (TDE)
Real Time Masking
Oracle Database 9i
Secure Config Scanning
Fine Grained Auditing
Oracle Label Security
Oracle8i Enterprise User Security
Virtual Private Database (VPD)
Database Encryption API
Strong Authentication
Oracle7 Native Network Encryption
Database Auditing
Government customer
10 avanttic Consultoría Tecnológica
11. Defensa en profundidad de la BBDD Oracle
Cifrado y enmascaramiento
• Oracle Advanced Security
• Oracle Secure Backup
• Oracle Data Masking
Control de acceso
• Oracle Database Vault
• Oracle Label Security
• Virtual Private Database
Auditoría y monitorización
Cifrado y • Oracle Audit Vault
enmascaramiento
• Oracle Configuration Management
Control de acceso
• Oracle Total Recall
Auditoría y monitorización
Registro y bloqueo Registro y bloqueo
• Oracle Database Firewall
11 avanttic Consultoría Tecnológica
12. Seguridad en BBDD Oracle
Registro y bloqueo
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Registro y Auditoría y Control de Cifrado y
bloqueo monitorización acceso enmascaramiento
• Database Firewall • Audit Vault • Database Vault • Advanced Security
• Configuration • Label Security • Secure Backup
Management • Virtual Private • Data Masking
• Total Recall Database
12 avanttic Consultoría Tecnológica
13. Seguridad en BBDD Oracle
Auditoría y monitorización
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Registro y Auditoría y Control de Cifrado y
bloqueo monitorización acceso enmascaramiento
• Database Firewall • Audit Vault • Database Vault • Advanced Security
• Configuration • Label Security • Secure Backup
Management • Virtual Private • Data Masking
• Total Recall Database
13 avanttic Consultoría Tecnológica
14. Seguridad en BBDD Oracle
Control de acceso
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Registro y Auditoría y Control de Cifrado y
bloqueo monitorización acceso enmascaramiento
• Database Firewall • Audit Vault • Database Vault • Advanced Security
• Configuration • Label Security • Secure Backup
Management • Virtual Private • Data Masking
• Total Recall Database
14 avanttic Consultoría Tecnológica
15. Seguridad en BBDD Oracle
Cifrado y enmascaramiento
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos
Registro y Auditoría y Control de Cifrado y
bloqueo monitorización acceso enmascaramiento
• Database Firewall • Audit Vault • Database Vault • Advanced Security
• Configuration • Label Security • Secure Backup
Management • Virtual Private • Data Masking
• Total Recall Database
15 avanttic Consultoría Tecnológica
16. Seguridad en BBDD Oracle
Proteja la información sensible de su BBDD
• Monitorizar y bloquear amenazas antes de llegar a la BBDD
• Seguimiento de cambios y auditoría de la actividad de la BBDD
• Controlar el acceso a los datos dentro de la BBDD (Database Vault)
• Impedir el acceso a usuarios externos a la BBDD
• Cifrado de los datos
• Eliminar datos sensibles de entornos no productivos (Data Masking)
Registro y Auditoría y Control de Cifrado y
bloqueo monitorización acceso enmascaramiento
• Database Firewall • Audit Vault • Database Vault • Advanced Security
• Configuration • Label Security • Secure Backup
Management • Virtual Private • Data Masking
• Total Recall Database
16 avanttic Consultoría Tecnológica
17. Control de acceso
Oracle Database Vault
17 avanttic Consultoría Tecnológica
18. Oracle Database Vault
Control de acceso y seguridad en la base de datos
“DBA” de
seguridad
Compras “DBA” de
aplicación
Aplicación RR.HH.
Financiero
select * from finance.customers
DBA
• Segregación de funciones y cotos de seguridad
• Asegura quién, dónde, cuándo y cómo accede a la base de datos:
• Asegura los mínimos privilegios a los usuarios privilegiados
• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
18 avanttic Consultoría Tecnológica
19. Oracle Database Vault
Funcionalidades
• Protege la Base de Datos con separación de funciones por
Aplicación/Usuario/Objeto
• Permite implementar controles de lectura/escritura de los datos de
aplicación
• Permite limitar a los DBA’s y súper usuarios el acceso a los datos
sensibles
• Permite administrar los objetos, aún cuando se limite el acceso a
los datos
• Proporciona un conjunto de informes de seguridad para control y
seguimiento de las medidas implementadas
• La protección se implementa con carácter selectivo para usuarios
y objetos concretos
19 avanttic Consultoría Tecnológica
20. Oracle Database Vault
Protegiendo aplicaciones existentes
• DBA intenta acceder a
datos de HR select *
from HR.emp
Protección contra accesos DBA
• DBA RRHH intenta acceder a
datos de Fin HR
Eliminando riesgos de seguridad
DBA RR.HH. HR Realm
por consolidación de servidores
Fin
DBA Financiero Fin Realm
20 avanttic Consultoría Tecnológica
21. Oracle Database Vault
Forzando Políticas de Acceso
• Un usuario intenta acceder Select ….
desde una IP no autorizada Fin
Regla basada en IP bloquea la
acción Usuario
• El usuario realiza una tarea no Create, Alter …
autorizada en hora productiva HR
Regla basada en fecha y hora Lunes 3 pm HR Realm
Desarrollador
bloquea la acción
21 avanttic Consultoría Tecnológica
22. Oracle Database Vault
Conceptos
Realms
• Firewall de Protección desde dentro de la propia B.D.
• Limita el ámbito de Privilegios del Sistema a aplicar
Factors
• Controles de Acceso de carácter obligatorio
• Posibilidad de Autorizaciones multi-factor
• Posibilidad de Factores a medida (PL/SQL)
Rules / Rule sets
• Asociados a Comandos de BBDD
• Motor de Reglas para manejar eventos de Exito/Fallo
Command Rules
• Reglas globales para controlar el uso de sentencias de BBDD, DDL,
DML, …
22 avanttic Consultoría Tecnológica
23. Oracle Database Vault
Realms - Segregación de funciones (ejemplo)
1 SALES_DBA posee el role DBA y puede borrar tablas de HR
SQL> CONNECT sales_dba/password
SQL> DROP TABLE hr.bonus_it;
Table dropped.
2 El administrador de Database Vault crea un realm
para asegurar las tablas de HR
HR schema
3 SALES_DBA intenta borrar la tabla restaurada bonus_it
SQL> DROP TABLE hr.bonus_it;
ORA-20401: Realm Violation for drop table
on HR.BONUS_IT
23 avanttic Consultoría Tecnológica
24. Oracle Database Vault
Realms - Acceso del propio esquema (ejemplo)
4 HR no puede borrar una tabla de HR dentro del realm
SQL> DROP TABLE bonus_exec;
ORA-20401: Realm Violation for drop table
on HR.BONUS_EXEC
El administrador de Database Vault permite HR
5
como participante dentro del realm
HR schema
6 HR es ahora capaz de borrar su propia tabla
SQL> DROP TABLE bonus_exec;
Table dropped.
24 avanttic Consultoría Tecnológica
26. Oracle Database Vault
Rule Sets
Rule 1 TRUE or FALSE
AND / OR
Rule 2 TRUE or FALSE
AND / OR
AND / OR
Rule n TRUE or FALSE
Rule Set Result TRUE or FALSE
26 avanttic Consultoría Tecnológica
27. Oracle Database Vault
Rule Sets (ejemplo)
Is machine local? TRUE or FALSE
AND / OR
Is it a weekend? TRUE or FALSE
AND / OR
AND / OR
APP.STATUS column > 0? TRUE or FALSE
Rule Set Result TRUE or FALSE
27 avanttic Consultoría Tecnológica
28. Oracle Database Vault
Command Rules (ejemplo)
Crear una regla de comando que permita a los usuarios (incluyendo
DBAs) crear vistas sobre objetos del esquema OE fuera del horario
habitual.
28 avanttic Consultoría Tecnológica
32. Oracle Enterprise Manager 12c
Utilidades para popular entornos no productivos
Data Subsetting
(subconjunto de
datos)
Application Data Masking
Data Modeling
(enmascaramiento
(identificación de de datos)
datos sensibles)
Entornos
no
productivos
32 avanttic Consultoría Tecnológica
33. Oracle Data Masking
Anonimización irreversible de datos en entornos no productivos
Producción Desarrollo
NOMBRE DNI SALARIO NOMBRE DNI SALARIO
ANA PÉREZ 12345678-A 30,000 ZFDGFAKJIJ 81331100-J 25,000
PEDRO SÁNCHEZ 98765432-Z 25,000 ASDTYHJUK 87766348-S 30,000
• Transfiere datos de aplicación de forma segura a entornos no productivos
• Evita que desarrolladores de aplicaciones accedan a datos reales de producción
• Librerías y políticas extensibles para la automatización del enmascaramiento de
datos
• Se preserva la integridad referencial por lo que las aplicaciones continúan
funcionando correctamente
33 avanttic Consultoría Tecnológica
34. Oracle Data Masking
Proceso de enmascaramiento
Mask
Test
Clonado Clonado
Desarrollo
Produccion Staging
34 avanttic Consultoría Tecnológica
35. Oracle Data Masking
Datos nuevos y legibles con las propiedades de los datos reales
(tipo, tamaño, formato)
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
D’SOUZA 989-22-2403 80,000
FIORANO 093-44-3823 45,000
LAST_NAME SSN SALARY
ANSKEKSL 111-23-1111 40,000
BKJHHEIEDK 111-34-1345 60,000
KDDEHLHESA 111-97-2749 80,000
FPENZXIEK 111-49-3849 45,000
35 avanttic Consultoría Tecnológica
36. Oracle Data Masking
Características principales
• Detección automática de integridad referencial al enmascarar claves
primarias:
• Implícita – forzada por DB
• Explícita – forzada por la aplicación
• Cambios agrupados en columnas
dependientes
• Librería de formatos de enmascaramiento
• Visualización de ejemplo “pre-view”
• Templates
• Define una vez, ejecuta múltiples veces
• Incremental
• Código generado eficiente para grandes
volúmenes de datos
36 avanttic Consultoría Tecnológica
38. Oracle Data Masking
Librería de formatos de enmascaramiento
Random Number/String/Date, Shuffle, Substring, Table Column
38 avanttic Consultoría Tecnológica
39. Oracle Data Masking
Librería de formatos de enmascaramiento
Formatos para tipos comunes de datos sensibles, como números de
tarjetas de crédito, de teléfono, códigos de seguro social, etc.
39 avanttic Consultoría Tecnológica
40. Oracle Data Masking
Formatos definidos por el usuario
40 avanttic Consultoría Tecnológica
41. Oracle Data Masking
Técnicas sofisticadas de ocultación
• Basada en condiciones: Formatos de máscara diferentes sobre el
mismo conjunto de datos en función de las filas que cumplen las
condiciones
Ejemplo: Código identificación personal basada en el país de origen
• Compuesta: Asegura que un conjunto de columnas relacionadas se
enmascara como un grupo, para garantizar que se mantiene la
coherencia y relación después de enmascarar
Ejemplo: Ciudad + estado + código postal como un grupo
• Determinista: Permite repetir valores ocultados después de ejecutar
el proceso de enmascaramiento
Ejemplo: Número cliente ocultado con mismo valor en varias BBDD
41 avanttic Consultoría Tecnológica
42. Oracle Data Masking
Validación previa
• Valida la unicidad de las
claves
• Coherencia de los
formatos con los tipos de
las columnas
• Espacio disponible
• Restricciones de
constraints
• Que existan particiones
por defecto
42 avanttic Consultoría Tecnológica
43. Oracle Data Masking
Ejecución
• Import/Export XML con definiciones de enmascaramiento
• Generación de script de enmascaramiento en PL/SQL (friendly)
• Post-Mask SQL para LOBs, attachments, valores acumulados, …
• Generación de REDO para permitir FLASHBACK al estado previo
en test
Optimizaciones:
Recolección de estadísticas antes y después del proceso
Una operación bulk para todas las columnas de una tabla
CTAS para recrear las tablas enmascaradas
Sentencias con NOLOGGING
Paralelismo
43 avanttic Consultoría Tecnológica
45. Licenciamiento
Oracle Database Vault y Oracle Data Masking
• Ambas son opciones de BBDD Enterprise Edition
• Se licencian del mismo modo que la BBDD asociada:
• Por NUP o por Processors
• Igual número de licencias
• Data Masking no es necesario licenciarlo en las BBDD de destino
Mask
Test
Clonado Clonado
Desarrollo
Produccion Staging
45 avanttic Consultoría Tecnológica
47. olsen.morales@avanttic.com
Para más información contacte con nosotros a través de comercial@avanttic.com
BARCELONA MADRID
Aragó 182, 4º planta Orense 85
08011 Barcelona 28020 Madrid
Tel. 93 151 84 51 Tel. 91 116 17 89