SlideShare uma empresa Scribd logo

Guia de segurança SQL Server e SOX

S
SQLServerRS

Apresentação utilizada por André Pretto sobre Auditoria de Banco de Dados SQL Server em Conformidade com a SoX.

Tecnologia
1 de 51
SQLServerRS www.sqlserverrs.com.br
Por: André Pretto
 A lei Sarbanes-Oxley  SOX e segurança  Auditoria  Privacidade e proteção a dados
 Banco de dados SQL Server ◦ Endurecendo o ambiente do banco de dados. ◦ Segurança de banco de dados dentro de um cenário de segurança. ◦ O banco de dados e a rede ◦ Segurança nas comunicações entre bancos de dados ◦ Criptografia ◦ Categorias de auditoria ◦ Práticas de segurança para o ambiente de banco de dados
 Banco de dados SQL Server ◦ Análise de segurança e monitoramento – possíveis soluções.  Procedimentos e documentação  Checklist do Administrador  Checklist do Desenvolvedor
Em 2002 surgiu a lei SOX com o objetivo de responder a uma série de grandes escândalos corporativos e contábeis e estabelecer padrões de segurança novos e aprimorados, a SOX é uma lei federal dos Estados Unidos. Ela objetiva o fechamento de brechas de segurança, principalmente em dados financeiros e contábeis e as camadas de banco de dados e aplicação.
 Sarbanes–Oxley Section 302: Disclosure controls  Sarbanes-Oxley Section 401: Disclosures in periodic reports  Sarbanes–Oxley Section 404: Assessment of internal control  Sarbanes–Oxley 404 and smaller public companies  Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX  Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
 Sarbanes–Oxley Section 302: Disclosure controls  Sarbanes-Oxley Section 401: Disclosures in periodic reports  Sarbanes–Oxley Section 404: Assessment of internal control  Sarbanes–Oxley 404 and smaller public companies  Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX  Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
A seção 404 define os requisitos para manter os controles de segurança adequados em relação aos sistemas de tecnologia da informação, porém forja uma tarefa desafiadora e talvez um pouco intimidante. Aspectos:  Autorização  Autenticação  Acesso
Define que a área de TI tem como obrigação o desenho da arquitetura e documentação de todos os processos usados na TI, os quais são constituídos pelas disciplinas:  Dados (Data)  Sistema (System)  Tecnologia (Technology)  Rede (Network)
A seção 404 discorre sobre a compreensão dos conceitos básicos de privacidade e proteção de dados, definir e fazer cumprir arquitetura, combinar forças externas, influências internas, e ativos de TI, simplificar a matriz de segurança, desenvolvimento de estratégias baseadas no controle de acesso, integração dos elementos críticos de proteção de privacidade em engenharia de sistemas e aplicações.
 SOX também permite que uma auditoria externa e análise de segurança de seja feita para avaliar qualquer manipulação de dados.  Tem sido provado que a maioria dos problemas de segurança vêm de dentro da organização
Baseada nas melhores práticas de segurança a SOX impõe três regras, em relação a proteção a dados:  Confidencialidade - proteção de informações sensíveis contra divulgação não autorizado ou interceptação inteligível.  Integridade - salvaguarda da exatidão e integridade das informações e software.  Disponibilidade - Assegurar que as soluções de informação estão disponíveis quando necessários.
Auditoria é a primeira atividade a ser realizada antes de qualquer outra iniciativa para aumentar a segurança de um banco de dados. (Ron Bem Natan, 2009 ). Auditoria em banco de dados divide-se em:  Auditoria padrão  Auditoria obrigatória e de administrador  Auditoria minuciosa (Fine Grained Auditing ou FGA)  Auditoria de valor
É umas das mais completas auditorias dentro do banco de dados, ela permite a auditoria de atividades baseadas no tipo de atividade, objeto, privilégio, ou usuário. auditoria padrão é umas das mais completas auditorias dentro do banco de dados, ela permite a auditoria de atividades baseadas no tipo de atividade, objeto, privilegio, ou usuário.
É de extrema importância e consiste em implementar iniciativas de auditoria do usuário privilegiado do banco de dados SA/DBA abrangendo até a inicialização e desligamento do SGBD
Permite que você especifique o que você quer auditar baseado em comandos DDL (SELECT, UPDATE, DELETE) e DML.
É um auditoria granular que objetiva ter respostas para: Quem, O que, Quando, Onde Com base em um conjunto de critérios, os critérios podem ser um comando, um objeto, um privilégio, uma combinação estes, ou mesma uma condição arbitrária altamente granular.
A auditoria deve cumprir e avaliar todos os requisitos regulatórios os quais a companhia esta respondendo como o caso da SOX. Uma auditoria interna através de um departamento de auditoria não é suficiente, é necessário um conjunto de auditores internos e externos sendo esses independentes.
A auditoria externa geralmente é prestada por empresas de auditoria reconhecidas e homologadas a auditar as normas regulatórias. PricewaterhouseCoopers (PwC), Deloitte, KPMG Ernest & Young (E & Y)
Os modernos sistemas de TI e controle de segurança são baseados elementos essenciais os quais compõem uma matriz de segurança.
Sob um aspecto legal a legislação de proteção à privacidade de dados vem se alterando rapidamente nos Estados Unidos, Europa e Canadá, como por exemplo, a Califórnia é considerada como a líder em legislação destinada a proteção de privacidade pessoal e roubo de identidade.
Proteger a confidencialidade das informações de uma organização de forma privada e protegida é o mesmo que dizer que a organização mantém em segredo e com acesso controlado e monitorado o acesso às informações em qualquer forma de armazenamento.
Esse aspecto será um aspecto constante de desafios para a área de TI na construção de sistemas e armazenamento de dados em Bancos de Dados, visando sempre atender as alterações das leis. Privacidade podem ser classificados como: ◦ De domínio publico, ◦ Protegido ◦ Restrito.
 O SQL Server de encontro aos requisitos da SOX.
 Segurança física do servidor no qual reside o SQL Server.  Aplicar todos os service packs e hot fixes para o sistema operacional do Windows Server e SQL Server.  Certifique-se de todos os dados do SQL Server e arquivos do sistema são instalados em uma partição NTFS e que as permissões adequadas estão definidas para os arquivos.
 Usar baixo nível de privilégio para contas de usuário para o serviço do SQL Server. ◦ Não use LocalSystem ou Administrador.  Apagar arquivos de instalação. ◦ Arquivos de instalação podem conter texto simples e sem criptografia, onde residem informações de configuração  Proteger a conta SA com uma senha forte.  Remova todos os usuários de exemplo e bancos de dados de aprendizado.
 Verificar se existem usuários com senhas nulas.  Remova o usuário convidado de todos os bancos, exceto de master e tempdb.  Analisar como os papéis são atribuídos a usuários em um nível de banco de dados e servidor.  Crie um processo que lhe permita revisar periodicamente papel e membros do grupo criados no SQL Server.
 Use a autenticação do Windows em vez da autenticação mista.  Remova as bibliotecas de rede que não são utilizados.  Não permitir ou promover o acesso remoto ao sistema operacional e execução ferramentas locais.  Remover ou restringir o acesso xp_stored procedures.
 Não instale extended procedures criadas pelo usuário, pois podem abrir brechas de segurança servidor.  Verificar e limitar as stored procedures que são PUBLIC  Desabilitar o SQL mail buscando alternativas para fazer métodos de notificação.  Não install full-text search a menos que alguma aplicação em especifico necessite.
 Desabilitar o Microsoft Distributed Transaction Coordinator a menos que seja realmente necessário para alguma aplicação.  Monitorar de perto todas as tentativas de login que falharam.  Desenvolvedores não podem ter acesso a instancias de produção.  Habilitar auditoria.
 Firewalls  Virtual private networks (VPNs)  A avaliação das vulnerabilidade e gerenciamento de patches.  Antivirus  Intrusion detection systems (IDS)  Intrusion prevention systems (IPS)
 Proteger os usuário e senhas usados na interligação de banco de dados.  Garantir mecanismos de replicação de dados.  Segurança e monitoramento dos usuários e das conexões de replicação.  Mapear e assegurar-se de conhecer todas as fontes de dados e repositórios. Garantir segurança e Monitorar os sistemas log shipping schemes.
 Proteger e monitorar bancos de dados móveis  Monitorar e limitar as comunicações de saída (outbound).
 Criptografar os dados que trafegam (Encrypting data-in-transit ).  Criptografar os dados que não trafegam e exigem alta segurança.
 Auditar o logon/logoff no banco de dados  Auditar os consumidores do banco de dados (Sistemas, ferramentas, Excel, ODBC entre outros)  Auditar a utilização do banco de dados fora do horário normal de expediente corporativo.  Auditar as atividades DDL e DML  Auditar os erros que o banco de dados apresentar.
 Auditar as alterações de stored procedures, triggers, alterações de privilégios de usuário/login e outros atributos de segurança.  Auditar a criação, alteração e uso dos database links e replicação.  Auditar a alteração de dados sensíveis (Ex. Salário)
 Auditar as alterações feitas nas definições do que é auditado.
A SOX para conformidade com os procedimentos de segurança e documentação para o SQL Server deve incluir o seguinte:  Descrição do modelo de segurança (Active Directory, grupos de domínio, os papéisdo SQL Server, banco de dados de papéis, etc.)
 Um procedimento para criar uma nova conta, quando chega um novo funcionário.  Um procedimento para eliminar / desativar uma conta quando um funcionário deixa a empresa.  Um procedimento para pedir permissões - com uma data final desejada, se possível - especialmente para permissões especiais.
 Um procedimento para alterações de senha (para logins do SQL Server).  Regras e regulamentos a seguir para um novo software ou uma nova aplicação usando um banco de dados SQL Server. Você também deve aplicá-las às aplicações existentes, tanto quanto possível.
 Descrição de como as aplicações devem criptografar arquivos de senha ao usar SQLServer ou modo de autenticação quando as senhas são codificadas.  Descrição dos controles de segurança periódicas (automático / manual).
 Documentação para cada procedimento manual e automatizado e as mudanças de segurança.  Documentar a existência de verificações e inspeções futuras.
 Firewalls ◦ Colocar um firewall entre o servidor e a Internet. ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no seu firewall de perímetro. Se as instâncias nomeadas estão escutando portas adicionais, bloquear os demais. ◦ Em um ambiente multi-camadas, use múltiplos firewalls para criar sub-redes selecionados.
 Isolamento de serviços ◦ Isolar serviços para reduzir o risco de que um serviço comprometido poderiam ser usadas para comprometer os outros. ◦ Nunca instale o SQL Server em um controlador de domínio. ◦ Executar serviços de servidor SQL separado em contas separadas Windows. ◦ Executar servidor de aplicação e banco de dados em servidores separados.
Use as ferramentas da Microsoft ou ferramentas de terceiros e Realizar uma análise manual e monitoramento.  Contas de serviço ◦ Criar contas do Windows com os privilégios mais baixo possível para a execução de serviços do SQL Server.  Sistema de arquivos ◦ Usar NTFS. ◦ Usar RAID para arquivos de dados críticos.
 Use as ferramentas do SQL Server e Microsoft. ◦ SQL Server Profiler. ◦ SQL Server Audit feature ◦ Activity Monitor ◦ Central Management Servers ◦ Data Collector and Management Data Warehouse ◦ SQL Server Policy-Based Management ◦ Resource Governor ◦ Transparent Data Encryption (TDE) ◦ Powershell ◦ Reporting Server
 Ferramentas de terceiros. ◦ Krell Software - http://www.krell- software.com/omniaudit/ ◦ Imperva - http://www.imperva.com/index.html ◦ ApexSQL - http://www.apexsql.com/sql_tools_audit.aspx
Use as ferramentas da Microsoft ou ferramentas de terceiros e Realizar uma análise manual e monitoramento. http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx
SQLServerRS www.sqlserverrs.com.br

Recomendados

Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
ORACLE ADVANCED SECURITY
ORACLE ADVANCED SECURITYORACLE ADVANCED SECURITY
ORACLE ADVANCED SECURITYWashington Luiz Vaz
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosKelve Aragão
 

Recomendados

Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
ORACLE ADVANCED SECURITY
ORACLE ADVANCED SECURITYORACLE ADVANCED SECURITY
ORACLE ADVANCED SECURITYWashington Luiz Vaz
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosKelve Aragão
 
Cissp
CisspCissp
CisspVinicius Fagundes
 
Segurança banco de dados
Segurança banco de dadosSegurança banco de dados
Segurança banco de dadosArthur Marques de Oliveira
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Apostila sql
Apostila sqlApostila sql
Apostila sqlWarley Silva
 
Dynamic Types no C# 4.0
Dynamic Types no C# 4.0Dynamic Types no C# 4.0
Dynamic Types no C# 4.0Vinicius Quaiato
 
Microsoft C#
Microsoft C#Microsoft C#
Microsoft C#Lhaís Rodrigues
 
Apostila c# iniciantes
Apostila c# iniciantesApostila c# iniciantes
Apostila c# iniciantesCaique Moretto
 
Apostila Oracle 10g
Apostila Oracle 10gApostila Oracle 10g
Apostila Oracle 10gAndre Nascimento
 
Sql Server Stored Procedures
Sql Server Stored ProceduresSql Server Stored Procedures
Sql Server Stored Proceduresalexdutra
 
Apostila de Sql Server 2005
Apostila de Sql Server 2005Apostila de Sql Server 2005
Apostila de Sql Server 2005Andre Nascimento
 
Apostila de Introdução ao C#.net
Apostila de Introdução ao C#.netApostila de Introdução ao C#.net
Apostila de Introdução ao C#.netAndre Nascimento
 
Introdução C#
Introdução C#Introdução C#
Introdução C#Luis Fernando Marques
 
Apostila de Introdução a POO com C#
Apostila de Introdução a POO com C#Apostila de Introdução a POO com C#
Apostila de Introdução a POO com C#Andre Nascimento
 
Apostila de C# & Asp.Net
Apostila de C# & Asp.NetApostila de C# & Asp.Net
Apostila de C# & Asp.NetAndre Nascimento
 
T-SQL na prática com SQL SERVER Express 2012
T-SQL na prática com SQL SERVER Express 2012T-SQL na prática com SQL SERVER Express 2012
T-SQL na prática com SQL SERVER Express 2012Rodrigo Ribeiro
 
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...Diego Nogare
 

Mais conteúdo relacionado

Mais procurados

Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 

Mais procurados (9)

Cissp
CisspCissp
Cissp
 
Segurança banco de dados
Segurança banco de dadosSegurança banco de dados
Segurança banco de dados
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 

Destaque

Apostila c# iniciantes
Apostila c# iniciantesApostila c# iniciantes
Apostila c# iniciantesCaique Moretto
 
Sql Server Stored Procedures
Sql Server Stored ProceduresSql Server Stored Procedures
Sql Server Stored Proceduresalexdutra
 
Apostila de Sql Server 2005
Apostila de Sql Server 2005Apostila de Sql Server 2005
Apostila de Sql Server 2005Andre Nascimento
 
Apostila de Introdução ao C#.net
Apostila de Introdução ao C#.netApostila de Introdução ao C#.net
Apostila de Introdução ao C#.netAndre Nascimento
 
Apostila de Introdução a POO com C#
Apostila de Introdução a POO com C#Apostila de Introdução a POO com C#
Apostila de Introdução a POO com C#Andre Nascimento
 
T-SQL na prática com SQL SERVER Express 2012
T-SQL na prática com SQL SERVER Express 2012T-SQL na prática com SQL SERVER Express 2012
T-SQL na prática com SQL SERVER Express 2012Rodrigo Ribeiro
 
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...Diego Nogare
 
Apostila introdução à linguagem sql
Apostila introdução à linguagem sqlApostila introdução à linguagem sql
Apostila introdução à linguagem sqlReuel Lopes
 
Treinamento de SQL Básico
Treinamento de SQL BásicoTreinamento de SQL Básico
Treinamento de SQL BásicoIgor Alves
 
Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5
Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5
Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5Fábio Delboni
 
Business Intelligence, Data Visualization and Data Science
Business Intelligence, Data Visualization and Data ScienceBusiness Intelligence, Data Visualization and Data Science
Business Intelligence, Data Visualization and Data ScienceDiego Nogare
 
Sql com sql server básico - Bóson treinamentos
Sql com sql server básico - Bóson treinamentosSql com sql server básico - Bóson treinamentos
Sql com sql server básico - Bóson treinamentosFábio dos Reis
 

Destaque (20)

Apostila sql
Apostila sqlApostila sql
Apostila sql
 
Dynamic Types no C# 4.0
Dynamic Types no C# 4.0Dynamic Types no C# 4.0
Dynamic Types no C# 4.0
 
Microsoft C#
Microsoft C#Microsoft C#
Microsoft C#
 
Apostila c# iniciantes
Apostila c# iniciantesApostila c# iniciantes
Apostila c# iniciantes
 
Apostila Oracle 10g
Apostila Oracle 10gApostila Oracle 10g
Apostila Oracle 10g
 
Sql Server Stored Procedures
Sql Server Stored ProceduresSql Server Stored Procedures
Sql Server Stored Procedures
 
Apostila de Sql Server 2005
Apostila de Sql Server 2005Apostila de Sql Server 2005
Apostila de Sql Server 2005
 
Apostila de Introdução ao C#.net
Apostila de Introdução ao C#.netApostila de Introdução ao C#.net
Apostila de Introdução ao C#.net
 
Introdução C#
Introdução C#Introdução C#
Introdução C#
 
Apostila de Introdução a POO com C#
Apostila de Introdução a POO com C#Apostila de Introdução a POO com C#
Apostila de Introdução a POO com C#
 
Apostila de C# & Asp.Net
Apostila de C# & Asp.NetApostila de C# & Asp.Net
Apostila de C# & Asp.Net
 
T-SQL na prática com SQL SERVER Express 2012
T-SQL na prática com SQL SERVER Express 2012T-SQL na prática com SQL SERVER Express 2012
T-SQL na prática com SQL SERVER Express 2012
 
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
Mini-Curso: Introdução à Big Data e Data Science - Aula 12 - Sessão de pergun...
 
Apostila Android
Apostila AndroidApostila Android
Apostila Android
 
Hands on Labs - SQL Server 2008
Hands on Labs - SQL Server 2008Hands on Labs - SQL Server 2008
Hands on Labs - SQL Server 2008
 
Apostila introdução à linguagem sql
Apostila introdução à linguagem sqlApostila introdução à linguagem sql
Apostila introdução à linguagem sql
 
Treinamento de SQL Básico
Treinamento de SQL BásicoTreinamento de SQL Básico
Treinamento de SQL Básico
 
Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5
Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5
Instalação do Oracle 10g r2 for Red Hat AS Enterprise Linux 4 update 5
 
Business Intelligence, Data Visualization and Data Science
Business Intelligence, Data Visualization and Data ScienceBusiness Intelligence, Data Visualization and Data Science
Business Intelligence, Data Visualization and Data Science
 
Sql com sql server básico - Bóson treinamentos
Sql com sql server básico - Bóson treinamentosSql com sql server básico - Bóson treinamentos
Sql com sql server básico - Bóson treinamentos
 

Semelhante a Guia de segurança SQL Server e SOX

Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...Clavis Segurança da Informação
 
Seguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no AzureSeguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no AzureJaqueline Ramos
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...Dirceu Resende
 
IBTA - Oracle Database Security
IBTA - Oracle Database SecurityIBTA - Oracle Database Security
IBTA - Oracle Database SecurityRodrigo Almeida
 
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...SegInfo
 
LGPD e o Elastic Security
LGPD e o Elastic SecurityLGPD e o Elastic Security
LGPD e o Elastic SecurityElasticsearch
 
Conceitos do Active Diretory
Conceitos do Active DiretoryConceitos do Active Diretory
Conceitos do Active DiretoryPedro Neto
 
Governança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para ServidoresGovernança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para ServidoresVirtù Tecnológica
 
Integração de Serviços como requisito fundamental no processo de migração par...
Integração de Serviços como requisito fundamental no processo de migração par...Integração de Serviços como requisito fundamental no processo de migração par...
Integração de Serviços como requisito fundamental no processo de migração par...Mauro Tapajós
 
AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...
AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...
AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...Amazon Web Services LATAM
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalFabio Hara
 
Aula 4 - Sistemas Gerenciadores de Banco de Dados
Aula 4 - Sistemas Gerenciadores de Banco de DadosAula 4 - Sistemas Gerenciadores de Banco de Dados
Aula 4 - Sistemas Gerenciadores de Banco de DadosVitor Hugo Melo Araújo
 
Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...
Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...
Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...Mauro Tapajós
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 

Semelhante a Guia de segurança SQL Server e SOX (20)

Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de Mitigação
 
DP-900-BR-01.pptx
DP-900-BR-01.pptxDP-900-BR-01.pptx
DP-900-BR-01.pptx
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
 
Aulas TSI33A - Banco de Dados I (TSI UTFPR-Toledo)
Aulas TSI33A - Banco de Dados I (TSI UTFPR-Toledo)Aulas TSI33A - Banco de Dados I (TSI UTFPR-Toledo)
Aulas TSI33A - Banco de Dados I (TSI UTFPR-Toledo)
 
Seguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no AzureSeguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no Azure
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
 
IBTA - Oracle Database Security
IBTA - Oracle Database SecurityIBTA - Oracle Database Security
IBTA - Oracle Database Security
 
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
 
LGPD e o Elastic Security
LGPD e o Elastic SecurityLGPD e o Elastic Security
LGPD e o Elastic Security
 
Conceitos do Active Diretory
Conceitos do Active DiretoryConceitos do Active Diretory
Conceitos do Active Diretory
 
Governança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para ServidoresGovernança de Ambientes Heterogêneos - Single Sign-On para Servidores
Governança de Ambientes Heterogêneos - Single Sign-On para Servidores
 
Integração de Serviços como requisito fundamental no processo de migração par...
Integração de Serviços como requisito fundamental no processo de migração par...Integração de Serviços como requisito fundamental no processo de migração par...
Integração de Serviços como requisito fundamental no processo de migração par...
 
AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...
AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...
AWS Data Immersion Webinar Week - Planeje e entenda como criar um repositório...
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
 
Servico ad
Servico adServico ad
Servico ad
 
Aula 4 - Sistemas Gerenciadores de Banco de Dados
Aula 4 - Sistemas Gerenciadores de Banco de DadosAula 4 - Sistemas Gerenciadores de Banco de Dados
Aula 4 - Sistemas Gerenciadores de Banco de Dados
 
Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...
Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...
Instalação e Atualização Automática de Aplicações em Plataforma Livre para Am...
 
Mw corp-2013-ss
Mw corp-2013-ssMw corp-2013-ss
Mw corp-2013-ss
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 

Guia de segurança SQL Server e SOX

  • 3. A lei Sarbanes-Oxley  SOX e segurança  Auditoria  Privacidade e proteção a dados
  • 4. Banco de dados SQL Server ◦ Endurecendo o ambiente do banco de dados. ◦ Segurança de banco de dados dentro de um cenário de segurança. ◦ O banco de dados e a rede ◦ Segurança nas comunicações entre bancos de dados ◦ Criptografia ◦ Categorias de auditoria ◦ Práticas de segurança para o ambiente de banco de dados
  • 5. Banco de dados SQL Server ◦ Análise de segurança e monitoramento – possíveis soluções.  Procedimentos e documentação  Checklist do Administrador  Checklist do Desenvolvedor
  • 6. Em 2002 surgiu a lei SOX com o objetivo de responder a uma série de grandes escândalos corporativos e contábeis e estabelecer padrões de segurança novos e aprimorados, a SOX é uma lei federal dos Estados Unidos. Ela objetiva o fechamento de brechas de segurança, principalmente em dados financeiros e contábeis e as camadas de banco de dados e aplicação.
  • 7. Sarbanes–Oxley Section 302: Disclosure controls  Sarbanes-Oxley Section 401: Disclosures in periodic reports  Sarbanes–Oxley Section 404: Assessment of internal control  Sarbanes–Oxley 404 and smaller public companies  Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX  Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  • 8. Sarbanes–Oxley Section 302: Disclosure controls  Sarbanes-Oxley Section 401: Disclosures in periodic reports  Sarbanes–Oxley Section 404: Assessment of internal control  Sarbanes–Oxley 404 and smaller public companies  Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX  Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  • 9. A seção 404 define os requisitos para manter os controles de segurança adequados em relação aos sistemas de tecnologia da informação, porém forja uma tarefa desafiadora e talvez um pouco intimidante. Aspectos:  Autorização  Autenticação  Acesso
  • 10. Define que a área de TI tem como obrigação o desenho da arquitetura e documentação de todos os processos usados na TI, os quais são constituídos pelas disciplinas:  Dados (Data)  Sistema (System)  Tecnologia (Technology)  Rede (Network)
  • 11. A seção 404 discorre sobre a compreensão dos conceitos básicos de privacidade e proteção de dados, definir e fazer cumprir arquitetura, combinar forças externas, influências internas, e ativos de TI, simplificar a matriz de segurança, desenvolvimento de estratégias baseadas no controle de acesso, integração dos elementos críticos de proteção de privacidade em engenharia de sistemas e aplicações.
  • 12. SOX também permite que uma auditoria externa e análise de segurança de seja feita para avaliar qualquer manipulação de dados.  Tem sido provado que a maioria dos problemas de segurança vêm de dentro da organização
  • 13. Baseada nas melhores práticas de segurança a SOX impõe três regras, em relação a proteção a dados:  Confidencialidade - proteção de informações sensíveis contra divulgação não autorizado ou interceptação inteligível.  Integridade - salvaguarda da exatidão e integridade das informações e software.  Disponibilidade - Assegurar que as soluções de informação estão disponíveis quando necessários.
  • 14. Auditoria é a primeira atividade a ser realizada antes de qualquer outra iniciativa para aumentar a segurança de um banco de dados. (Ron Bem Natan, 2009 ). Auditoria em banco de dados divide-se em:  Auditoria padrão  Auditoria obrigatória e de administrador  Auditoria minuciosa (Fine Grained Auditing ou FGA)  Auditoria de valor
  • 15. É umas das mais completas auditorias dentro do banco de dados, ela permite a auditoria de atividades baseadas no tipo de atividade, objeto, privilégio, ou usuário. auditoria padrão é umas das mais completas auditorias dentro do banco de dados, ela permite a auditoria de atividades baseadas no tipo de atividade, objeto, privilegio, ou usuário.
  • 16. É de extrema importância e consiste em implementar iniciativas de auditoria do usuário privilegiado do banco de dados SA/DBA abrangendo até a inicialização e desligamento do SGBD
  • 17. Permite que você especifique o que você quer auditar baseado em comandos DDL (SELECT, UPDATE, DELETE) e DML.
  • 18. É um auditoria granular que objetiva ter respostas para: Quem, O que, Quando, Onde Com base em um conjunto de critérios, os critérios podem ser um comando, um objeto, um privilégio, uma combinação estes, ou mesma uma condição arbitrária altamente granular.
  • 19. A auditoria deve cumprir e avaliar todos os requisitos regulatórios os quais a companhia esta respondendo como o caso da SOX. Uma auditoria interna através de um departamento de auditoria não é suficiente, é necessário um conjunto de auditores internos e externos sendo esses independentes.
  • 20. A auditoria externa geralmente é prestada por empresas de auditoria reconhecidas e homologadas a auditar as normas regulatórias. PricewaterhouseCoopers (PwC), Deloitte, KPMG Ernest & Young (E & Y)
  • 21. Os modernos sistemas de TI e controle de segurança são baseados elementos essenciais os quais compõem uma matriz de segurança.
  • 22. Sob um aspecto legal a legislação de proteção à privacidade de dados vem se alterando rapidamente nos Estados Unidos, Europa e Canadá, como por exemplo, a Califórnia é considerada como a líder em legislação destinada a proteção de privacidade pessoal e roubo de identidade.
  • 23. Proteger a confidencialidade das informações de uma organização de forma privada e protegida é o mesmo que dizer que a organização mantém em segredo e com acesso controlado e monitorado o acesso às informações em qualquer forma de armazenamento.
  • 24. Esse aspecto será um aspecto constante de desafios para a área de TI na construção de sistemas e armazenamento de dados em Bancos de Dados, visando sempre atender as alterações das leis. Privacidade podem ser classificados como: ◦ De domínio publico, ◦ Protegido ◦ Restrito.
  • 25. O SQL Server de encontro aos requisitos da SOX.
  • 26. Segurança física do servidor no qual reside o SQL Server.  Aplicar todos os service packs e hot fixes para o sistema operacional do Windows Server e SQL Server.  Certifique-se de todos os dados do SQL Server e arquivos do sistema são instalados em uma partição NTFS e que as permissões adequadas estão definidas para os arquivos.
  • 27. Usar baixo nível de privilégio para contas de usuário para o serviço do SQL Server. ◦ Não use LocalSystem ou Administrador.  Apagar arquivos de instalação. ◦ Arquivos de instalação podem conter texto simples e sem criptografia, onde residem informações de configuração  Proteger a conta SA com uma senha forte.  Remova todos os usuários de exemplo e bancos de dados de aprendizado.
  • 28. Verificar se existem usuários com senhas nulas.  Remova o usuário convidado de todos os bancos, exceto de master e tempdb.  Analisar como os papéis são atribuídos a usuários em um nível de banco de dados e servidor.  Crie um processo que lhe permita revisar periodicamente papel e membros do grupo criados no SQL Server.
  • 29. Use a autenticação do Windows em vez da autenticação mista.  Remova as bibliotecas de rede que não são utilizados.  Não permitir ou promover o acesso remoto ao sistema operacional e execução ferramentas locais.  Remover ou restringir o acesso xp_stored procedures.
  • 30. Não instale extended procedures criadas pelo usuário, pois podem abrir brechas de segurança servidor.  Verificar e limitar as stored procedures que são PUBLIC  Desabilitar o SQL mail buscando alternativas para fazer métodos de notificação.  Não install full-text search a menos que alguma aplicação em especifico necessite.
  • 31. Desabilitar o Microsoft Distributed Transaction Coordinator a menos que seja realmente necessário para alguma aplicação.  Monitorar de perto todas as tentativas de login que falharam.  Desenvolvedores não podem ter acesso a instancias de produção.  Habilitar auditoria.
  • 32. Firewalls  Virtual private networks (VPNs)  A avaliação das vulnerabilidade e gerenciamento de patches.  Antivirus  Intrusion detection systems (IDS)  Intrusion prevention systems (IPS)
  • 33. Proteger os usuário e senhas usados na interligação de banco de dados.  Garantir mecanismos de replicação de dados.  Segurança e monitoramento dos usuários e das conexões de replicação.  Mapear e assegurar-se de conhecer todas as fontes de dados e repositórios. Garantir segurança e Monitorar os sistemas log shipping schemes.
  • 34. Proteger e monitorar bancos de dados móveis  Monitorar e limitar as comunicações de saída (outbound).
  • 35. Criptografar os dados que trafegam (Encrypting data-in-transit ).  Criptografar os dados que não trafegam e exigem alta segurança.
  • 36. Auditar o logon/logoff no banco de dados  Auditar os consumidores do banco de dados (Sistemas, ferramentas, Excel, ODBC entre outros)  Auditar a utilização do banco de dados fora do horário normal de expediente corporativo.  Auditar as atividades DDL e DML  Auditar os erros que o banco de dados apresentar.
  • 37. Auditar as alterações de stored procedures, triggers, alterações de privilégios de usuário/login e outros atributos de segurança.  Auditar a criação, alteração e uso dos database links e replicação.  Auditar a alteração de dados sensíveis (Ex. Salário)
  • 38. Auditar as alterações feitas nas definições do que é auditado.
  • 39. A SOX para conformidade com os procedimentos de segurança e documentação para o SQL Server deve incluir o seguinte:  Descrição do modelo de segurança (Active Directory, grupos de domínio, os papéisdo SQL Server, banco de dados de papéis, etc.)
  • 40. Um procedimento para criar uma nova conta, quando chega um novo funcionário.  Um procedimento para eliminar / desativar uma conta quando um funcionário deixa a empresa.  Um procedimento para pedir permissões - com uma data final desejada, se possível - especialmente para permissões especiais.
  • 41. Um procedimento para alterações de senha (para logins do SQL Server).  Regras e regulamentos a seguir para um novo software ou uma nova aplicação usando um banco de dados SQL Server. Você também deve aplicá-las às aplicações existentes, tanto quanto possível.
  • 42. Descrição de como as aplicações devem criptografar arquivos de senha ao usar SQLServer ou modo de autenticação quando as senhas são codificadas.  Descrição dos controles de segurança periódicas (automático / manual).
  • 43. Documentação para cada procedimento manual e automatizado e as mudanças de segurança.  Documentar a existência de verificações e inspeções futuras.
  • 44. Firewalls ◦ Colocar um firewall entre o servidor e a Internet. ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no seu firewall de perímetro. Se as instâncias nomeadas estão escutando portas adicionais, bloquear os demais. ◦ Em um ambiente multi-camadas, use múltiplos firewalls para criar sub-redes selecionados.
  • 45. Isolamento de serviços ◦ Isolar serviços para reduzir o risco de que um serviço comprometido poderiam ser usadas para comprometer os outros. ◦ Nunca instale o SQL Server em um controlador de domínio. ◦ Executar serviços de servidor SQL separado em contas separadas Windows. ◦ Executar servidor de aplicação e banco de dados em servidores separados.
  • 46. Use as ferramentas da Microsoft ou ferramentas de terceiros e Realizar uma análise manual e monitoramento.  Contas de serviço ◦ Criar contas do Windows com os privilégios mais baixo possível para a execução de serviços do SQL Server.  Sistema de arquivos ◦ Usar NTFS. ◦ Usar RAID para arquivos de dados críticos.
  • 47. Use as ferramentas do SQL Server e Microsoft. ◦ SQL Server Profiler. ◦ SQL Server Audit feature ◦ Activity Monitor ◦ Central Management Servers ◦ Data Collector and Management Data Warehouse ◦ SQL Server Policy-Based Management ◦ Resource Governor ◦ Transparent Data Encryption (TDE) ◦ Powershell ◦ Reporting Server
  • 48. Ferramentas de terceiros. ◦ Krell Software - http://www.krell- software.com/omniaudit/ ◦ Imperva - http://www.imperva.com/index.html ◦ ApexSQL - http://www.apexsql.com/sql_tools_audit.aspx
  • 49.
  • 50. Use as ferramentas da Microsoft ou ferramentas de terceiros e Realizar uma análise manual e monitoramento. http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx