Segurança no MySQL

Copyright © 2015, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados. |
Segurança no MySQL
como proteger seu banco de dados
Airton Lastori
Consultor MySQL
Novembro-2016

43%
das empresas passou por uma
violação de dados no ano passado.
Fonte: Ponemon Institute, 2014

Violações Gigantescas
552 milhões de
identidades expostas em
2013. Aumento de 493%
em relação ao ano anterior
77%
dos web sites com
vulnerabilidades. 1 em cada
8 web sites tiveram uma
vulnerabilidade crítica.
8
Violações que expuseram
mais de 10 milhões de
registros em 2013.
Total de violações
aumentou 62% em 2013
Fonte: Internet Security Threat Report 2014, Symantec

Conformidade Normativa
• Regulamentações
– PCI – DSS: Dados de Cartão de Pagamento
– HIPAA: Privacidade de Dados de Saúde
– Sarbanes Oxley: Precisão de Dados Financeiros
– EU Data Protection Directive: Proteção de Dados Pessoais
– Data Protection Act (UK): Proteção de Dados Pessoais
• Requisitos
– Monitoramento Contínuo (Usuários, Esquema, Backups, etc.)
– Proteção de Dados (Criptografia, Gerenciamento de Privilégios, etc.)
– Retenção de Dados (Backups, Atividade do Usuário, etc.)
– Auditoria de Dados (Atividade do Usuário, etc.)

MySQL na Oracle
• 2x a equipe de engenharia
• 3x a equipe de QA
• 2x a equipe de suporte
• Versões entregues:
–MySQL 5.5, 5.6, 5.7
–MySQL Cluster 7.1, 7.2, 7.3, 7.4
–MySQL Fabric
• Compromisso com Código-
Fonte Aberto:
–InnoDB desde 2005
–MySQL
–Oracle Linux
–Java
–VirtualBox
–Xen
–Muito mais...
... e é apenas o começo!

Integração de Produtos Oracle
• Oracle Linux
• Oracle Clusterware
• Oracle VM
• Oracle Solaris Clustering
• Oracle GoldenGate
• Oracle Secure Backup
• Oracle Audit Vault
• Oracle Enterprise Manager
• Oracle Database Firewall
• Most Oracle Fusion Middleware
– Vem com o conector JDBC para MySQL 5.x.

MySQL
Principais Melhorias
na Segurança

MySQL 5.7: Melhorias na Segurança
• Agora a Criptografia AES 256 é o padrão.
• Políticas de rotatividade de senha.
– Podem ser definidas globalmente e no nível de usuário.
• Implantação: permita instalação autônoma
segura por padrão.
– Senha aleatória definida na instalação.
– Remova conta anônimas.
– Implantação sem conta de teste, esquema, arquivos de
demonstração.
• Inicialização e configuração de instância
facilitadas: mysqld --initialize
• Detecção e suporte para systemd.
• TLS/SSL:
– Ativado por padrão.
– Detecção automática de chaves e certificações
existentes.
– Geração automática de chaves e certificações quando
necessário.
– Novo utilitário auxiliar: mysql_ssl_rsa_setup
– Nova opção --require_secure_transport para
evitar comunicações não seguras.
– Adição de suporte ao SSL aos clientes de log de binários.
• Suporte Estendido a Proxy Users:
– Adição de suporte de Plug-ins de Autenticação
Incorporados para Proxy Users.
– Permite que vários usuários compartilhem um único
conjunto de privilégios gerenciados.

Slave Slave Slave
TLS/SSL
Abertas Slave
Comunicações Seguras

Validação de Força da Senha
• A alteração da senha é verificada em relação à política de senha
atual e rejeitada se a senha fornecida for "fraca".
– FRACA: testa apenas a força da senha. As senhas devem ter pelo menos 8 caracteres.
– MÉDIA: adiciona as condições de que as senhas devem conter pelo menos 1 caractere numérico, 1
caractere maiúsculo e minúsculo, e 1 caractere especial (não alfanumérico).
– FORTE: adiciona a condição de que a substring da senha de 4 ou mais dígitos não devem
corresponder a palavras no arquivo de dicionário, se um tiver sido especificado.
• A força das senhas potenciais pode ser avaliada usando a função
SQL VALIDATE_PASSWORD_STRENGTH(), que usa um
argumento de senha e retorna um inteiro de 0 (fraca) a 100 (forte).
5.6

mysql_config_editor
• Permite o armazenamento das credenciais de autenticação do
Cliente MySQL em um arquivo criptografado chamado
.mylogin.cnf e referenciá-lo nos clients com --login-path.
• Funciona com a maioria dos aplicativos cliente:
- mysql - mysqlshow
- mysqladmin - mysqlslap
- mysqldump - mysqlbinlog
- mysqlimport - mysqlpump
5.6
dev.mysql.com/doc/refman/5.7/en/mysql-config-editor.html

Query Rewrite Plug-in
• APIs novas para recriação de consulta pré e pós-parsing
– Os usuários podem escrever seus próprios plug-ins
• Fornece um plug-in de consulta pós-parsing
– Recrie consultas problemáticas sem a necessidade de fazer mudanças no aplicativo
– Adicione dicas
– Modifique a ordem de junção
– Muito mais…
• Aprimore as consultas problemáticas de ORMs, aplicativos de terceiros, etc.
• Elimina muitos casos de uso legados de proxies
5.7

Vulnerabilidades comuns e
ações de prevenção

Vulnerabilidades do Banco de Dados
• Configurações insatisfatórias
– Defina controles e altere a
configuração padrão
• Contas com execesso de privilégios
– Políticas de Privilégios bem definidas
• Controle de Acesso Fraco
– Contas Administrativas Dedicadas
• Autenticação Fraca
– Imposição de Senha Forte
• Auditoria Insatisfatória
– Políticas de Conformidade e Auditoria
• Ausência de Criptografia
– Criptografia de Dados, Backup e Rede
• Credencial Fraca ou Gerenciamento de
Chaves
– Use mysql_config_editor, Cofres de Chave
• Backups Desprotegidos
– Backups Criptografados
• Sem Monitoramento
– Monitoramento: Segurança, Usuários, Objetos
• Falhas no código da Aplicação
– Firewall de Banco de Dados

Ataques ao Banco de Dados
• Injeção de SQL
– Prevenção: Firewall de Banco de Dados, Lista de Permissão, Validação de Entrada
• Buffer Overflow
– Prevenção: Aplique frequentemente atualizações do Software de Banco de Dados, Firewall de Banco de
Dados, Lista de Permissão, Validação de Entrada
• Ataque de Força Bruta
– Prevenção: bloqueie contas depois de um número definido de tentativas incorretas.
• Espionagem da Rede
– Prevenção: Exige SSL/TLS para todas as Conexões e Transporte
• Malware
– Prevenção: Controles de Acesso Rígidos, Acesso Limitado ao IP da Rede, Altere as configurações padrão

Ações Mal-Intencionadas de Banco de Dados
• Divulgação de Informações: Obtém dados de cartão de crédito e outras informações
pessoais
– Defesa: Criptografia – Dados e Rede, Controles de Acesso Mais Rígidos
• Negação de Serviço: Executa consultas que consomem muitos recursos
– Defesa: Limites de Uso de Recursos – Defina vários limites – Conexões Máximas, Sessões, Time-outs…
• Elevação de Privilégios: Recupera e usa credenciais do administrador
– Defesa: Autenticação mais forte, Controles de Acesso, Auditoria
• Falsificação: Recupera e usa outras credenciais
– Defesa: Políticas de senha e conta mais fortes
• Adulteração: Altera dados no banco de dados, Exclui registros de transações
• Defesa: Controles de Acesso Mais Rígidos, Auditoria, Monitoramento, Backups

Fortalecendo o MySQL
Com o Enterprise Edition

Afaste:
USUÁRIOS NÃO
AUTORIZADOS

Plug-in de Autenticação Externa
• O MySQL suporta Autenticação Conectável
• Usando esse recurso, você pode aproveitar identidade/autenticação
comum de usuários – Active Directory, Linux PAMs (para LDAP, etc.).
• Isso também aproveita usuários de "proxy" – efetivamente "atribuições"
para usuários externamente autenticados.
• Com nomes de usuários reais – melhora na auditoria.

Sobreviva:
AOS ATAQUES DE
NEGAÇÃO DE SERVIÇO

MySQL Enterprise Edition
com Pool de Threads
MySQL Community Server
sem Pool de Threads
MySQL 5.6.11
Oracle Linux 6.3, Unbreakable Kernel 2.6.32
4 soquetes, 24 núcleos, 48 Threads
CPUs de 2 GHz Intel(R) Xeon® E7540
DDR RAM de 512 GB
Sustente o Desempenho do Banco de Dados com o
Pool de Threads
Leitura/Gravação de OLTP no Sysbench do MySQL 5.6
Conexões de Banco de Dados Simultâneas
TransaçõesporSegundo

Saiba:
QUEM FEZ O QUE
E QUANDO

Log para Auditoria
• O log adequado é sempre um requisito da segurança.
–FIPS, HIPAA, PCI-DSS, SOX, DISA STIG, …
• Infraestrutura de log incorporada do MySQL:
–log geral, log de erros, logs NDB.
• Plug-in do MySQL Enterprise Audit:
–Granularidade feita para auditoria.
–Pode ser modificado dinamicamente.
–Contém detalhes adicionais não encontrados em outros logs.
–Compatível com Oracle Audit Vault.

Impeça:
ATAQUES DE
INJEÇÃO SQL

MySQL Enterprise Security: Firewall de Banco de Dados
• Firewall de banco de dados SQL.
–Filtre por consulta.
–Consultas permitidas podem ser inseridas ou registradas.
• Configurável por usuário.
• Funciona em conjunto com o Log de Auditoria.
Impeça os ataques de injeção SQL!

Mantenha:
DADOS PROTEGIDOS
O TEMPO TODO

Dados sensíveis protegidos: Enterprise Encryption
• Interface com a biblioteca OpenSSL
• Permita geração e manipulação de pares de chaves RSA, DSA e DH
– SET @priv = CREATE_ASYMMETRIC_PRIV_KEY(‘RSA’, 1024);
– SET @pub = CREATE_ASYMMETRIC_PUB_KEY(‘RSA’, @priv);
– SET @digest = CREATE_DIGEST(‘SHA512’, ‘cleartext’);
– SET @sig = ASYMMETRIC_ENCRYPT(‘RSA’, @digest, @priv);
• Geradores de chave usam formato PEM padrão (compatível com
ferramentas externas)

Dados em repouso: Transparent Data Encryption
• Suporta os requisitos regulatórios mais conhecidos como: PCI, HIPAA, SOX, etc.
• Criptografia automática em tempo real, protegendo a leitura de dados sensíveis em tablespace, backups
ou discos.
• Permite o gerenciamento centralizado de chaves (Master Key) com as soluções Oracle Key Vault e/ou
KMIP 1.2 Compliant Key Vault, garantindo a separação das chaves , dos dados criptografados.
29

Backup Criptografado: MySQL Enterprise Backup
• Com muita frequência os dados de backup ficam
sem proteção
• Criptografado com AES-256.
• Compactado (taxa de compactação de 50 a 80%).
• Pode ser transmitido para:
–Vários Gerenciadores de Mídia — muitos que suportam criptografia
• Oracle Secure Backup, Veritas Net Backup, Tivoli Storage Manager, EMC Networker
–Para armazenamento na nuvem — AWS S3 / Openstack Swift
• Backup "dinâmico" on-line.
• Estratégias completas incrementais com um backup parcial e opções de
restauração.

Reaja:
SAIBA IMEDIATAMENTE

MySQL Enterprise Monitor
• Inclui mais de 250 Advisors de
Melhores Práticas.
• Muitos deles identificam mais
de 30 problemas e riscos de
segurança.
• Alerta DBA sobre alterações
de segurança.
• Inclui Query Analyzer.
• Disponível para Oracle EM.

MySQL Enterprise Monitor
Segurança
• Garanta facilmente que todos os ativos MySQL sejam reforçados
e protegidos.
• Monitore o MySQL Enterprise Firewall:
– Detecte ataques de injeção SQL e outras ameaças comuns.
• Monitore o MySQL Enterprise Audit:
– Garanta conformidade normativa.
– Saiba o que aconteceu quando as coisas dão errado.
• Altere o monitoramento e o rastreamento.
• Imposição de política de backup.

Plug-in de auditoria
• Comunicações SSL.
• Dados criptografados.
• Gerenciamento seguro de contas:
• Atribuições com PAM/Windows.
• Backup criptografado.
Monitore:
•Atividade
•Desempenho
•Disponibilidade
MySQL
Cofre de Auditoria
Alertas
Relatórios
Políticas
Usuários
Aplicativos
Eventos de Firewall
do Banco de Dados
Um Sistema Seguro Totalmente Integrado

MySQL Enterprise Edition
Suporte Oracle
Premier Lifetime
Certificações/Integrações
de Produtos Oracle
MySQL Enterprise
High Availability
MySQL Enterprise
Security
MySQL Enterprise
Scalability
MySQL Enterprise
Backup
MySQL Enterprise
Monitor/Query Analyzer
MySQL Workbench
MySQL Enterprise
Audit

Obrigado!

Segurança no MySQL

Mais conteúdo relacionado

Mais procurados

Semelhante a Segurança no MySQL

Mais de MySQL Brasil

Segurança no MySQL