Bezpečnost pro vaše data s minimem úsilí

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Safe Harbor Statement

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

2

BEZPEČNOST PRO VAŠE DATA S MINIMEM ÚSILÍ Patrik Plachý Senior Consultant CoreTech Competency Center

SECURITY Inside-Out


Největší útoky za posledních roky

200M Credit Bureau

Mar ‘14

2M

Telecom OCT ‘13

150M eCommerce

May ‘14

22M Education

July ‘14

SA Banks OCT ‘13

Credit Cards

150M + Code HiTech Oct ‘13

98M Retailer DEC ‘13

20M Credit Bureau

12M Telecom

Jan ‘14

56M Retailer Sep ‘14

Immigration June’14 Personal Records

4 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

76M Fin Svcs Oct ‘14


Typické druhy útoků

5 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Zcizení hesla Vnitřní přístup SQL Injection Malware Denial-of-Service

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 6

“Máme data v zabezpečené zóně – perimetr”

“Naše data jsou pro ostatní bezcenné”

“Naše interní týmy jsou důvěryhodné”

“Prošli jsme auditem, takže musíme být zabezpečení”

Bezpečnostní omyly


Data Security - pohled na logickou architekturu


OHROŽENÍ AKTÉŘI & CÍLE

OS admin DBA Test/Dev App User BI User

Network Backup OS Database Applications

Rizikové multiplikátory Vysoká dostupnost

Databázová konsolidace Starší aplikace Outsourcing

Cloud

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | Oracle Public

9

DATABASE SECURITY

STRATEGY

PREVENTIVNÍ

ADMINISTRATIVNÍ

DETEKTIVNÍ


9


Data Redaction ssn:xxx-xx-4321

dob:xx/xx/xxxx

Applications

Users

*7#$%!!@!%afb

##<>*$#@34

Data Encryption

10

PREVENTIVNÍ ŘÍZENÍ BEZOPEČNOSTI

Key Vault

DB Controls

Access denied

“Insufficient

Privilege”

Privileged Users Region, Year

Size-based

Data Subsetting

Dev/Test Partners, BI

ssn:423-55-3571

dob: 12/01/1987

Data Masking


Audit Data

Network Events

Audit Data, Event Logs

11

DETEKTIVNÍ ŘÍZENÍ BEZPEČNOSTI

Policies

Reports

Alerts !

Custom

Audit Vault

SYBASE

Applications

Users

Database Firewall

! ✔


Scan Configuration Find Sensitive Data Analyze Privileges

ADMINISTRATIVNÍ ŘÍZENÍ BEZPEČNOSTI


13

DATABASE SECURITY

STRATEGY

Zabezpečení dat pomocí

Oracle DataMasking


13


Proces vývoje

Definice požadavků

Design & Architektura

Vývoj Kódování

Test Nasazení do produkce

Provoz

V typickém procesu vývoje je testování prováděno izolovaně na konci každého cyklu


Testovací proces


Design & Architekura

Vývoj Kódování


Provoz

Reálně se jedná o komplexní proces zahrnující více vlastních etap.

Definice

testovacího

procesu

Spuštění funkčních testů

Spuštění výkonových testů

Spuštění Unit testů


Testovací proces A z praktického hlediska existuje ještě více fází, kterých se manažer testů obává.

Definice testovacího procesu

Spuštění Unit testů

Vytvoření Staging Environment

Nasazení testovacích

nástrojů/systémů

Spuštění funkčních testů

Spuštění výkonových testů

Aplikace

opravy & Re-test

A tyto další fáze můžou

trvat stejně dlouho, jako

samotné testy…

Nalezení

bottlenecku & ladění


Design & Architekura

Vývoj Kódování


Provoz


Testovací proces Byznys důvody maskování

Čís

la

po

jiště

ní

Výše

p

ůjčky

Aplikační vývoj

Poskytnutí dat IT vendorům

Obchodní partneři

Další trhy

Připrava marketingu

Sarbanes Oxley

PCI-DSS

HIPAA

GLBA

EU Data Protection Directive

Protection of Personal Data in Czech Republic


Potřeba kontroly, jakým způsobem jsou produkční data distribuována. • systém musí umožnit vygenerovat report, která data byla maskována • systém musí umožnit kontrolu procesu, jak jsou citlivá data distribuována

Interní Audit


• Odstranění citlivých dat z ne-produkčních prostředí • Pro možnost práce s aplikací je zachována referenční integrita • Citlivá data nikdy neopouští databázi • Rozšiřitelná knihovna šablon a politik pro automatizaci

Příjmení SSN Plat

ANSKEKSL 111—23-1111 60,000

BKJHHEIEDK 222-34-1345 40,000

Příjmení` SSN Plat

AGUILAR 203-33-3234 40,000

BENSON 323-22-2943 60,000

Produkční prostředí Ne-produkční prostředí

Oracle Data Masking


Oracle Data Masking

Zajistí konzistentní politiky ve všech prostředích Jednou definujete a použijete všude

Zvyšuje efektivní nasazení maskování Maskovací formáty pro nejběžnější data

Možnost úprav podle byznys pravidel Rozšiřitelná pravidla

Knihova šablon


Lepší produktivita v Oracle prostředích při integraci s klonováním, flashback, apod.

Optimalizováno pro Oracle

Rychlé vytváření testovacích prostředí Vysoký výkon

Zvýšení bezpečnosti rozdělením mezi role Založeno na workflow

Ap

p

ing

DB

A

Asociace maskovacího formátu s citl. informací

Identifikace citlivé informace

Format Library

Definice maskování

Spuštění maskování

Klon produkce do Staging

• Editace maskování odděleně od spuštění

• One-click klonování a masování (workflow)

Oracle Data Masking


• Optimalizace – SQL Parallelism pro tabulky > 1 million řádků

– Statistiky před & po maskování

– CTAS statement s parametrem NOLOGGING

Výsledky testu

• Linux x86 4 CPU: Single core Pentium 4 (Northwood) [D1]) Memory: 5.7G

• Škálovatelnost přes sloupce

– 215 sloupců maskováno v 100 tabulkách

– 60GB Database

– 20 minut

• Škálovatelnost přes řádky

– 100 miliónů řádků v tabulce, maskováno 6 sloupců

– Náhodná čísla

– 1.3 hodiny

Výkon


• Složené maskování

– Skupiny sloupců, např. kompletní adresa (ulice, město, stát, psč)

• Podmíněné maskování

– Maskování identifikací podle státu, např. rodné číslo či pojištění podle specifikace státu

• Deterministické (Opakovatelné)

– Lze ho opakovat, abych zachoval integritu ve všech prostředích, např. referenční integrita, nebo konzistence napříč prostředím

• Opakovatelné

– Založení na definovaném klíči formátu pro možnost opakování stejného výsledků, např. outsoursování datového procesu

• Náhodné

– Lze tvořit sety.

• Rozsah generování

– Náhodné generování okolo nějakých hodnot, např. datum narození

• Lze rozšiřovat (via PL/SQL)

Komplexní maskovací techniky


Leader v Data Masking

Oracle mezi třemi hlavními dodavateli maskovacích technik

Vyjádření Gartner:

- Vysoký výkon v maskování dat v databázích Oracle -- Velmi snadné použití díky integrování do produktu Oracle Enterprise Manager

-- Dostupnost předpřipravených šablon (e-Business Suite, PeopleSoft

Gartner Magic Quadrant for Data Masking Technology


Customer Success Stories Data Masking

Customer Business Driver Application Results Notes

Metro

Police of London

Needed rapid

remediation after

audit findings

Oracle EBS Implemented in 30 days

for Oracle EBS application

Cisco Failed internal audit Oracle EBS Compliant with IT risk

requirements with zero IT

overhead

Competitive win against IBM

Cornell University

Public data breach Oracle Peoplesoft Prevented further data

breaches and added

security to application

lifecycle

Integrated with existing

investment in Oracle

Enterprise Manager

SquareTwo Needed to increase

development agility Custom application

tracking custom

financial information

Accelerated test system

provisioning from 15 days

to 15 hours

Financial services

customer deployed on

Exadata


Podpora v Enterprise Manager 12c DB 12.1.0.3 Plug-in


Sloučení Subsetting a maskování Vysoký výkon bezpečného poskytnutí do Testovacího Prostředí

Nejdříve musí být vytvořen subset produkčních dat

a potom se odděleně maskují citlivá data.

Před Nově

0100101100101010010010010010010010010010010010001

00101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010

Produkce Test

Data Subset

Klonování a maskování

0100101100101010010010010010010010010010010010001

00101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010

Test Maskovaná

data Pump File

Produkce

V jednom kroku Subset a maskování

Subset a maskování produkčních dat je provedeno v

jednom kroku „At-source Masking“


Licencování Oracle Data Masking


Oracle Data Masking Licencování

Data Masking z ceníku


Oracle Data Masking Licencování

Data Masking Key Features Application Data Discovery and Modeling Sensitive Column Data Masking Formats and Mask Definitions Oracle Applications Data Masking templates

Servery, které musí být licencovány

Produkce

Dev’t

Test

Klonování

Trg

Staging


Různé modely nasazení DM

Produkce

Produkce

Produkce

Dev

Test

Klonování

Staging

Dev

Test

Scénář A – Subsetting a Maskování na Staging serveru

Scénář B – Subsetting a Maskování na Cílovém serveru

Dev

Test

Scénář C – Subsetting a Maskování na zdroji

Data Pump File

Subset a Maskování

Subset a Maskování

Subset a

Maskování

Servery, které musí být licencovány

§ At-Source Data Masking

is available DB Plug-in

12.1.0.3


33

DATABASE SECURITY

STRATEGY

Kybernetické hrozby a rizikové faktory "in vitro“

Zabezpečení dat pomocí

Oracle Database Vault


33


Kybernetické hrozby a rizikové faktory

Kybernetické hrozby

Dodržování a ochrana osobních

údajů

Konsolidace a

Outsourcing

Security Inside

Konfigurace pro ovládání

Business Continuity

Máte přístup k citlivým datům zákazníka, které podléhají regulacím? Máte cenné duševní vlastnictví, které by mohlo být terčem útoku?

Snažíte se minimalizovat množství oprávnění pro danou aplikaci? Jak zjistíte minimální model oprávnění?

Mají vaši DBA standardně přístup k citlivým údajům?

Máte umístěné informace v Cloudu? Víte, kdo vám provozuje databázi a co může vidět?

Potřebujete ovládat ad-hoc přístup k aplikaci a databázi? Jak chcete zabránit úmyslným nebo náhodným změnám?

Jak jsou vaše aplikační data ochráněny proti internetovým hrozbám? Pokud zjistíte kybernetické hrozby, jaké kroky byste provedli, abyste chránili data?



• Privilegovaný uživatel a řízení provozu

• Omezení výchozích pravomoci privilegovaných uživatelů

• Uplatnění pravidel politik v databázi

• Zabezpečený audit při jejich porušení zajišťuje Oracle Audit Vault and Database Firewall

• Nejsou nutné žádné změny v aplikaci

Veřejné zakázky

Lidské zdroje

Finance

Aplikace

DBA

select * from customers



• Blokování hrozeb z napadených privilegovaných účtů

• Blokování zasvěcených osob přistupujících k aplikačním datům

• Blokování privilegovaných aplikací k jiným aplikačním datům

• Bezpečná konsolidace a použití privátního či veřejného Cloudu

Realms chrání aplikační data před neautorizovaným přístupem

DBA

HR

HR HR Realm

HR

select * from HR.emp

Fin

FIN Fin Realm

Fin



• Ochrana dat aplikací a zabránění by-pass

• Kontrola změn databázové konfigurace a dodržování předpisů

• Vynucení kdo, kde, kdy a jak mohou být údaje přístupné pomocí faktorů, jako je čas, IP adresa, jméno a program

Kontrola řízení a Multi-Factor autorizace

ALTER SYSTEM

ANALYZE TABLE

DBA

CREATE DATABASE LINK

Veřejné zakázky

Lidské zdroje

Finance



• Report o rolích a oprávněních skutečně používaných v databázi uživateli a aplikacemi

• Minimalizovat počet udělených rolí a oprávnění ke snížení útoku

Privilege Analysis

• Poskytnout dodatečnou bezpečnostní kontrolu před povolením přístupu oprávněným uživatelům k datům aplikace

• Povolit aplikačním DBA záplatování při odepření přístupu k citlivým datům aplikace

Mandatory Realms

Co je nového v Oracle Database 12c



• Identifikovat „pře-privilegované“ uživatele a aplikace

• Zpráva o skutečných privilegiích / rolích používaných v databázi

• Snižte riziko útoku, snížením počtu oprávněních a rolích udělených uživatelům a aplikacím

Nová analýza privilegií

Create … Select … Update … DBA role ….

Used Roles/Privileges

Unused Roles/Privileges

Aplikace

Junior DBA

Privilege Analysis

Granted roles/privileges



• Poskytnout dodatečnou bezpečnostní kontrolu před povolením přístupu oprávněným uživatelům k datům aplikace

• Povolit aplikačním DBA záplatování při odepření přístupu k citlivým datům aplikace

• Dočasné utěsnění všech aplikačních dat v případě kybernetické hrozby

• Zabránění změnám a udělením databázových rolí

Nové povinné Realms blokující přímé granty na objekty

DBA

HR HR

HR Realm

HR

select * from HR.emp

Fin

FIN Fin Realm

Fin


Privilege Analysis – Přínosy

• Pomáhá nastavit nejmenší možná oprávnění, čímž činí aplikací bezpečnější před útokem

• Zobrazí report použitých / nepoužitých Rolí a Systémových a Objektových oprávněních a k čemu byly použity

• Pro nepoužité oprávnění navrhne: ponechat, vytvořit roli, auditovat, nebo odebrat



Privilege Analysis Best Practices

• Spusťte kompletní aplikační testy pro zachycení všech použitých oprávnění a rolí

• Aplikace mohou používat určitá privilegia pouze měsíčně nebo čtvrtletně

– Sledujte práva po dostatečně dlouhou dobu, aby se provedly všechny operace

– Nebo vícekrát v průběhu různých období

• U nevyužitých oprávněních zvažte jejich audit před zrušením

• Podívejte se na ADMIN OPTION při analýze použitých či nepoužitých oprávnění – Ponechte tyto oprávnění, pokud je uživatel zodpovědný za jejich poskytování ostatním



Privilege Analysis Best Practices

• U použitých oprávnění, zvažte nahrazení silných oprávnění za přímá oprávnění na objekt

– Například nahradit SELECT ANY za přímé oprávnění SELECT object

• Pokud máte pocit, že oprávnění nebo role, které je v reportu zobrazeno jako používané, ale nemělo by být, zapněte pro něj auditování

• Zvažte vytvoření nové vlastní role použitých oprávnění, aby bylo snazší ho poskytnout ostatním

• Získané informace mohou být použity u databáze 11.2



Reakce zákazníků

Zákazník Sektor Scénář Zpětná vazba

RaboBank International (Blog & Podcast)

Finanční služby

Protect all applications including Oracle Financial Services (iFlex)

“Payment Data needed to be protected from DBA access to

comply with financial regulations … we needed a solution

that is transparent to the application … Database Vault was

the best solution for us”

Neils Zegveld, Manager IT infrastructure

CMC Markets (Video)

Finanční služby

Protect E-Business Suite applications

“The Oracle security components … bring a new level of

assurance to our senior management and audit teams.”

Akash Gharu, Global Database Services Manager

Ross Stores (Podcast)

Retail Protect PeopleSoft applications

“… Database Vault allowed us to put a security shield

around our sensitive data to prevent DBAs from accessing

this sensitive data.”

Himanshu Parikh, Sr. Director

Deutche Apotheker Und Arztebank

Finanční služby

Consolidate and protect HR application

“Our highly sensitive personal data is now protected. We

therefore were able, to integrate our hr applications into our

centralized IT and save cost.”

Detlev Althaus, IT Director

https://blogs.oracle.com/securityinsideout/entry/why_rabobank_chose_oracle_database

http://www.oracle.com/us/products/database/options/database-vault/overview/index.html

http://streaming.oracle.com/ebn/podcasts/media/8762531_Ross_060310.mp3


Co vše nabízíme - Data Security Product Mapping


Date post:	06-Jan-2017
Category:	Technology
Upload:	marketingarrowecscz
View:	141 times
Download:	0 times