Date post: | 06-Jan-2017 |
Category: |
Technology |
Upload: | marketingarrowecscz |
View: | 141 times |
Download: | 0 times |
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
2
BEZPEČNOST PRO VAŠE DATA S MINIMEM ÚSILÍ Patrik Plachý Senior Consultant CoreTech Competency Center
SECURITY Inside-Out
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Největší útoky za posledních roky
200M Credit Bureau
Mar ‘14
2M
Telecom OCT ‘13
150M eCommerce
May ‘14
22M Education
July ‘14
SA Banks OCT ‘13
Credit Cards
150M + Code HiTech Oct ‘13
98M Retailer DEC ‘13
20M Credit Bureau
12M Telecom
Jan ‘14
56M Retailer Sep ‘14
Immigration June’14 Personal Records
4 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
76M Fin Svcs Oct ‘14
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Typické druhy útoků
5 Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Zcizení hesla Vnitřní přístup SQL Injection Malware Denial-of-Service
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 6
“Máme data v zabezpečené zóně – perimetr”
“Naše data jsou pro ostatní bezcenné”
“Naše interní týmy jsou důvěryhodné”
“Prošli jsme auditem, takže musíme být zabezpečení”
Bezpečnostní omyly
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 7
Data Security - pohled na logickou architekturu
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 8
OHROŽENÍ AKTÉŘI & CÍLE
OS admin DBA Test/Dev App User BI User
Network Backup OS Database Applications
Rizikové multiplikátory Vysoká dostupnost
Databázová konsolidace Starší aplikace Outsourcing
Cloud
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | Oracle Public
9
DATABASE SECURITY
STRATEGY
PREVENTIVNÍ
ADMINISTRATIVNÍ
DETEKTIVNÍ
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
9
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Data Redaction ssn:xxx-xx-4321
dob:xx/xx/xxxx
Applications
Users
*7#$%!!@!%afb
##<>*$#@34
Data Encryption
10
PREVENTIVNÍ ŘÍZENÍ BEZOPEČNOSTI
Key Vault
DB Controls
Access denied
“Insufficient
Privilege”
Privileged Users Region, Year
Size-based
Data Subsetting
Dev/Test Partners, BI
ssn:423-55-3571
dob: 12/01/1987
Data Masking
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Audit Data
Network Events
Audit Data, Event Logs
11
DETEKTIVNÍ ŘÍZENÍ BEZPEČNOSTI
Policies
Reports
Alerts !
Custom
Audit Vault
SYBASE
Applications
Users
Database Firewall
! ✔
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 12
Scan Configuration Find Sensitive Data Analyze Privileges
ADMINISTRATIVNÍ ŘÍZENÍ BEZPEČNOSTI
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | Oracle Public
13
DATABASE SECURITY
STRATEGY
Zabezpečení dat pomocí
Oracle DataMasking
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
13
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Proces vývoje
Definice požadavků
Design & Architektura
Vývoj Kódování
Test Nasazení do produkce
Provoz
V typickém procesu vývoje je testování prováděno izolovaně na konci každého cyklu
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Testovací proces
Definice požadavků
Design & Architekura
Vývoj Kódování
Test Nasazení do produkce
Provoz
Reálně se jedná o komplexní proces zahrnující více vlastních etap.
Definice
testovacího
procesu
Spuštění funkčních testů
Spuštění výkonových testů
Spuštění Unit testů
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Testovací proces A z praktického hlediska existuje ještě více fází, kterých se manažer testů obává.
Definice testovacího procesu
Spuštění Unit testů
Vytvoření Staging Environment
Nasazení testovacích
nástrojů/systémů
Spuštění funkčních testů
Spuštění výkonových testů
Aplikace
opravy & Re-test
A tyto další fáze můžou
trvat stejně dlouho, jako
samotné testy…
Nalezení
bottlenecku & ladění
Definice požadavků
Design & Architekura
Vývoj Kódování
Test Nasazení do produkce
Provoz
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Testovací proces Byznys důvody maskování
Čís
la
po
jiště
ní
Výše
p
ůjčky
Aplikační vývoj
Poskytnutí dat IT vendorům
Obchodní partneři
Další trhy
Připrava marketingu
Sarbanes Oxley
PCI-DSS
HIPAA
GLBA
EU Data Protection Directive
Protection of Personal Data in Czech Republic
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Potřeba kontroly, jakým způsobem jsou produkční data distribuována. • systém musí umožnit vygenerovat report, která data byla maskována • systém musí umožnit kontrolu procesu, jak jsou citlivá data distribuována
Interní Audit
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
• Odstranění citlivých dat z ne-produkčních prostředí • Pro možnost práce s aplikací je zachována referenční integrita • Citlivá data nikdy neopouští databázi • Rozšiřitelná knihovna šablon a politik pro automatizaci
Příjmení SSN Plat
ANSKEKSL 111—23-1111 60,000
BKJHHEIEDK 222-34-1345 40,000
Příjmení` SSN Plat
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
Produkční prostředí Ne-produkční prostředí
Oracle Data Masking
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Data Masking
Zajistí konzistentní politiky ve všech prostředích Jednou definujete a použijete všude
Zvyšuje efektivní nasazení maskování Maskovací formáty pro nejběžnější data
Možnost úprav podle byznys pravidel Rozšiřitelná pravidla
Knihova šablon
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Lepší produktivita v Oracle prostředích při integraci s klonováním, flashback, apod.
Optimalizováno pro Oracle
Rychlé vytváření testovacích prostředí Vysoký výkon
Zvýšení bezpečnosti rozdělením mezi role Založeno na workflow
Ap
p
ing
DB
A
Asociace maskovacího formátu s citl. informací
Identifikace citlivé informace
Format Library
Definice maskování
Spuštění maskování
Klon produkce do Staging
• Editace maskování odděleně od spuštění
• One-click klonování a masování (workflow)
Oracle Data Masking
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
• Optimalizace – SQL Parallelism pro tabulky > 1 million řádků
– Statistiky před & po maskování
– CTAS statement s parametrem NOLOGGING
Výsledky testu
• Linux x86 4 CPU: Single core Pentium 4 (Northwood) [D1]) Memory: 5.7G
• Škálovatelnost přes sloupce
– 215 sloupců maskováno v 100 tabulkách
– 60GB Database
– 20 minut
• Škálovatelnost přes řádky
– 100 miliónů řádků v tabulce, maskováno 6 sloupců
– Náhodná čísla
– 1.3 hodiny
Výkon
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
• Složené maskování
– Skupiny sloupců, např. kompletní adresa (ulice, město, stát, psč)
• Podmíněné maskování
– Maskování identifikací podle státu, např. rodné číslo či pojištění podle specifikace státu
• Deterministické (Opakovatelné)
– Lze ho opakovat, abych zachoval integritu ve všech prostředích, např. referenční integrita, nebo konzistence napříč prostředím
• Opakovatelné
– Založení na definovaném klíči formátu pro možnost opakování stejného výsledků, např. outsoursování datového procesu
• Náhodné
– Lze tvořit sety.
• Rozsah generování
– Náhodné generování okolo nějakých hodnot, např. datum narození
• Lze rozšiřovat (via PL/SQL)
Komplexní maskovací techniky
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Leader v Data Masking
Oracle mezi třemi hlavními dodavateli maskovacích technik
Vyjádření Gartner:
- Vysoký výkon v maskování dat v databázích Oracle -- Velmi snadné použití díky integrování do produktu Oracle Enterprise Manager
-- Dostupnost předpřipravených šablon (e-Business Suite, PeopleSoft
Gartner Magic Quadrant for Data Masking Technology
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Customer Success Stories Data Masking
Customer Business Driver Application Results Notes
Metro
Police of London
Needed rapid
remediation after
audit findings
Oracle EBS Implemented in 30 days
for Oracle EBS application
Cisco Failed internal audit Oracle EBS Compliant with IT risk
requirements with zero IT
overhead
Competitive win against IBM
Cornell University
Public data breach Oracle Peoplesoft Prevented further data
breaches and added
security to application
lifecycle
Integrated with existing
investment in Oracle
Enterprise Manager
SquareTwo Needed to increase
development agility Custom application
tracking custom
financial information
Accelerated test system
provisioning from 15 days
to 15 hours
Financial services
customer deployed on
Exadata
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Podpora v Enterprise Manager 12c DB 12.1.0.3 Plug-in
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Sloučení Subsetting a maskování Vysoký výkon bezpečného poskytnutí do Testovacího Prostředí
Nejdříve musí být vytvořen subset produkčních dat
a potom se odděleně maskují citlivá data.
Před Nově
0100101100101010010010010010010010010010010010001
00101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010
Produkce Test
Data Subset
Klonování a maskování
0100101100101010010010010010010010010010010010001
00101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010
Test Maskovaná
data Pump File
Produkce
V jednom kroku Subset a maskování
Subset a maskování produkčních dat je provedeno v
jednom kroku „At-source Masking“
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Licencování Oracle Data Masking
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Data Masking Licencování
Data Masking z ceníku
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Data Masking Licencování
Data Masking Key Features Application Data Discovery and Modeling Sensitive Column Data Masking Formats and Mask Definitions Oracle Applications Data Masking templates
Servery, které musí být licencovány
Produkce
Dev’t
Test
Klonování
Trg
Staging
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Různé modely nasazení DM
Produkce
Produkce
Produkce
Dev
Test
Klonování
Staging
Dev
Test
Scénář A – Subsetting a Maskování na Staging serveru
Scénář B – Subsetting a Maskování na Cílovém serveru
Dev
Test
Scénář C – Subsetting a Maskování na zdroji
Data Pump File
Subset a Maskování
Subset a Maskování
Subset a
Maskování
Servery, které musí být licencovány
§ At-Source Data Masking
is available DB Plug-in
12.1.0.3
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | Oracle Public
33
DATABASE SECURITY
STRATEGY
Kybernetické hrozby a rizikové faktory "in vitro“
Zabezpečení dat pomocí
Oracle Database Vault
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
33
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Kybernetické hrozby a rizikové faktory
Kybernetické hrozby
Dodržování a ochrana osobních
údajů
Konsolidace a
Outsourcing
Security Inside
Konfigurace pro ovládání
Business Continuity
Máte přístup k citlivým datům zákazníka, které podléhají regulacím? Máte cenné duševní vlastnictví, které by mohlo být terčem útoku?
Snažíte se minimalizovat množství oprávnění pro danou aplikaci? Jak zjistíte minimální model oprávnění?
Mají vaši DBA standardně přístup k citlivým údajům?
Máte umístěné informace v Cloudu? Víte, kdo vám provozuje databázi a co může vidět?
Potřebujete ovládat ad-hoc přístup k aplikaci a databázi? Jak chcete zabránit úmyslným nebo náhodným změnám?
Jak jsou vaše aplikační data ochráněny proti internetovým hrozbám? Pokud zjistíte kybernetické hrozby, jaké kroky byste provedli, abyste chránili data?
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Database Vault
• Privilegovaný uživatel a řízení provozu
• Omezení výchozích pravomoci privilegovaných uživatelů
• Uplatnění pravidel politik v databázi
• Zabezpečený audit při jejich porušení zajišťuje Oracle Audit Vault and Database Firewall
• Nejsou nutné žádné změny v aplikaci
Veřejné zakázky
Lidské zdroje
Finance
Aplikace
DBA
select * from customers
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Database Vault
• Blokování hrozeb z napadených privilegovaných účtů
• Blokování zasvěcených osob přistupujících k aplikačním datům
• Blokování privilegovaných aplikací k jiným aplikačním datům
• Bezpečná konsolidace a použití privátního či veřejného Cloudu
Realms chrání aplikační data před neautorizovaným přístupem
DBA
HR
HR HR Realm
HR
select * from HR.emp
Fin
FIN Fin Realm
Fin
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Database Vault
• Ochrana dat aplikací a zabránění by-pass
• Kontrola změn databázové konfigurace a dodržování předpisů
• Vynucení kdo, kde, kdy a jak mohou být údaje přístupné pomocí faktorů, jako je čas, IP adresa, jméno a program
Kontrola řízení a Multi-Factor autorizace
ALTER SYSTEM
ANALYZE TABLE
DBA
CREATE DATABASE LINK
Veřejné zakázky
Lidské zdroje
Finance
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Database Vault
• Report o rolích a oprávněních skutečně používaných v databázi uživateli a aplikacemi
• Minimalizovat počet udělených rolí a oprávnění ke snížení útoku
Privilege Analysis
• Poskytnout dodatečnou bezpečnostní kontrolu před povolením přístupu oprávněným uživatelům k datům aplikace
• Povolit aplikačním DBA záplatování při odepření přístupu k citlivým datům aplikace
Mandatory Realms
Co je nového v Oracle Database 12c
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Database Vault
• Identifikovat „pře-privilegované“ uživatele a aplikace
• Zpráva o skutečných privilegiích / rolích používaných v databázi
• Snižte riziko útoku, snížením počtu oprávněních a rolích udělených uživatelům a aplikacím
Nová analýza privilegií
Create … Select … Update … DBA role ….
Used Roles/Privileges
Unused Roles/Privileges
Aplikace
Junior DBA
Privilege Analysis
Granted roles/privileges
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Database Vault
• Poskytnout dodatečnou bezpečnostní kontrolu před povolením přístupu oprávněným uživatelům k datům aplikace
• Povolit aplikačním DBA záplatování při odepření přístupu k citlivým datům aplikace
• Dočasné utěsnění všech aplikačních dat v případě kybernetické hrozby
• Zabránění změnám a udělením databázových rolí
Nové povinné Realms blokující přímé granty na objekty
DBA
HR HR
HR Realm
HR
select * from HR.emp
Fin
FIN Fin Realm
Fin
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Privilege Analysis – Přínosy
• Pomáhá nastavit nejmenší možná oprávnění, čímž činí aplikací bezpečnější před útokem
• Zobrazí report použitých / nepoužitých Rolí a Systémových a Objektových oprávněních a k čemu byly použity
• Pro nepoužité oprávnění navrhne: ponechat, vytvořit roli, auditovat, nebo odebrat
Oracle Database Vault
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Privilege Analysis Best Practices
• Spusťte kompletní aplikační testy pro zachycení všech použitých oprávnění a rolí
• Aplikace mohou používat určitá privilegia pouze měsíčně nebo čtvrtletně
– Sledujte práva po dostatečně dlouhou dobu, aby se provedly všechny operace
– Nebo vícekrát v průběhu různých období
• U nevyužitých oprávněních zvažte jejich audit před zrušením
• Podívejte se na ADMIN OPTION při analýze použitých či nepoužitých oprávnění – Ponechte tyto oprávnění, pokud je uživatel zodpovědný za jejich poskytování ostatním
Oracle Database Vault
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Privilege Analysis Best Practices
• U použitých oprávnění, zvažte nahrazení silných oprávnění za přímá oprávnění na objekt
– Například nahradit SELECT ANY za přímé oprávnění SELECT object
• Pokud máte pocit, že oprávnění nebo role, které je v reportu zobrazeno jako používané, ale nemělo by být, zapněte pro něj auditování
• Zvažte vytvoření nové vlastní role použitých oprávnění, aby bylo snazší ho poskytnout ostatním
• Získané informace mohou být použity u databáze 11.2
Oracle Database Vault
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Reakce zákazníků
Zákazník Sektor Scénář Zpětná vazba
RaboBank International (Blog & Podcast)
Finanční služby
Protect all applications including Oracle Financial Services (iFlex)
“Payment Data needed to be protected from DBA access to
comply with financial regulations … we needed a solution
that is transparent to the application … Database Vault was
the best solution for us”
Neils Zegveld, Manager IT infrastructure
CMC Markets (Video)
Finanční služby
Protect E-Business Suite applications
“The Oracle security components … bring a new level of
assurance to our senior management and audit teams.”
Akash Gharu, Global Database Services Manager
Ross Stores (Podcast)
Retail Protect PeopleSoft applications
“… Database Vault allowed us to put a security shield
around our sensitive data to prevent DBAs from accessing
this sensitive data.”
Himanshu Parikh, Sr. Director
Deutche Apotheker Und Arztebank
Finanční služby
Consolidate and protect HR application
“Our highly sensitive personal data is now protected. We
therefore were able, to integrate our hr applications into our
centralized IT and save cost.”
Detlev Althaus, IT Director
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 45
Co vše nabízíme - Data Security Product Mapping
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 46