Защита информации на уровне СУБД

Решения Oracle для Обеспечения
Безопасности Данных
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Николай Данюков
к.т.н., ведущий консультант
Андрей Гусаков,
руководитель группы консультантов
по Enterprise Security
Public

Почему наши базы данных уязвимы?
80% программ развития не предусматривают защиту БД
Защита
в сети
?
Web Application
Firewall
Authentication &
User Security
Forrester Research
“Организации принимают риски
даже тогда, когда не в полной
мере осведомлены о проблеме ...
Тем более, что все больше
нападений на базы данных
проводится при легитимном
доступе.”
SIEM
Защита рабочих
мест
Public 3
Защита
Email
Безопасность БД

Очевидная недостаточность административных мер…
"В России суровость законов
умеряется их неисполнением“
П.А. Вяземский
Public 4

Меры противодействия
Public 5
Превентивные
Детективные
Административные

ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ
АДМИНИСТРАТИВНАЯ
Контроль активности
Database Firewall
Аудит и отчетность
Управление ключами и др.
служебной информацией
Шифрование
Редакция и
Маскирование
Контроль за действиями
привилегированных
пользователей
Анализ привилегий и
поиск конфиденциальных
данных
Управление конфигурациями
Решения Oracle по защите баз данных
Всесторонняя защита для максимальной безопасности
Public 7

Пример применения превентивных методов защиты
Защита информации в состоянии покоя от инсайда с помощью шифрования
Password Root*
Данные зашифрованы Обычный формат хранения
Public 8
(3DES168, AES128, AES192, AES256)

Transparent Data Encryption
Средства превентивного контроля для Oracle Database
Oracle Advanced Security
• «Прозрачное» шифрование данных
• Предотвращает доступ к информации,
хранимой на физических носителях
• Не требуется изменять приложения
• Встроенные механизмы управления ключами
шифрования
• Малое влияние на общую производительность
• Полная интеграция с технологиями Oracle
Exadata, Advanced Compression, ASM,
Golden Gate, DataPump и др.
Диск
Резервные
копии
Экспортируемые
данные
Физические
носители
информации
Public 9
Приложения

Пример реализации требований регуляторов
Защита содержимого ячеек СУБД через редакцию отображаемых данных
3.3 Маскировать основной номер держателя карты при его
отображении (максимально возможное количество знаков для
отображения – первые шесть и последние четыре), чтобы только
сотрудники с обоснованной коммерческой необходимостью
могли видеть весь основной номер держателя карты.
Пояснение: Отображение полного основного номера держателя карты только
для тех лиц, которым нужно видеть полный номер для выполнения
своих функциональных обязанностей, позволяет снизить риск
несанкционированного доступа к данным этого номера.
Public 10
PCI DSS v3.0
Ноябрь 2013

Data Redaction
Превентивный контроль для Oracle Database 12c
и Oracle Database 11gR2 (11.2.0.4)
Oracle Advanced Security
• Изменение способа отображения
конфиденциальных данных с учетом контекста
• Библиотека политик для быстрой настройки
отображений
• «Прозрачно» для приложений и
Конфиденциальные
данные
4451-2172-9841-4368
5106-8395-2095-5938
7830-0032-0294-1827
Public 11
Redaction Policy
xxxxxxxx--xxxxxxxx--xxxxxxxx--44336688 44445511--22117722--99884411--44336688
Подготовка
счетов
абонентам
Приложение
«Call Center»

Редакция отображаемых данных
Отображение данных до применения политики
Public 12

Отображение данных после применения политики
Public 13
DBMS_DDDBBBMMMSSS___RRRREEEEDDDDAAAACCCCTTTT....AAAADDDDDDDD____PPPPOOOOLLLLIIIICCCCYYYY((((
oooobbbbjjjjeeeecccctttt____sssscccchhhheeeemmmmaaaa ==== ''''CCCCAAAALLLLLLLLCCCCEEEENNNNTTTTEEEERRRR'''',,,,
oooobbbbjjjjeeeecccctttt____nnnnaaaammmmeeee ==== ''''CCCCUUUUSSSSTTTTOOOOMMMMEEEERRRRSSSS''''
ccccoooolllluuuummmmnnnn____nnnnaaaammmmeeee ==== ''''SSSSSSSSNNNN''''............

Поддерживаемые способы преобразования
Хранимые данные Отображаемые
Public 14
PARTIAL
Redaction
REG.EXPRESSION
Redaction
RANDOM
Redaction
10 Presnenskaya, “C” XXXXXXXXXX
24/08/1967 01/01/2001
DC3456GH8K DC******8K
641-13-31 ***-**-31
98032-2584 98032-[hidden]
N.Petrov@mail.ru [redacted]@mail.ru
4022-5231-5531-9855 7584-9736-3401-3026
16/09/1986 22/12/1970
FULL
Redaction

Суперопция Oracle Advanced Security
Редактирование отображаемых данных и шифрование
Transparent Data
Диск
Резервные
копии
Экспортируемые
данные
Физические
носители
информации
44445511--22117722--99884411--44336688
xxxxxxxx--xxxxxxxx--xxxxxxxx--44336688
Подготовка
счетов
абонентам
Приложение
«Call Center»
Wallet
Encryption
Data Redaction
Конфиденциальные
данные
4451-2172-9841-4368
5106-8395-2095-5938
7830-0032-0294-1827
Public 15

Маскирование данных для задач тестирования
Превентивный контроль для баз данных
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
LAST_NAME SSN SALARY
ANSKEKSL 323-23-1111 60,000
BKJHHEIEDK 252-34-1345 40,000
Тестовые БД
Рабочая БД
Oracle Data Masking
• Подмена конфиденциальных данных
приложений
• Ссылочная целостность данных
• Расширяемая библиотека шаблонов и
форматов
• Специализированные шаблоны для
• Поддержка маскирования данных в БД
сторонних производителей
Public 16

Data Masking and Subsetting Pack
• Было реализовано ранее • Новые возможности EM 12c
Masked Data
Pump File
Public 17
Рабочая БД Тестовая БД
010010110010101001001001001001001001001001001000100101
010010010010011100100100100100100100001001001011100100
101010010010101010011010100101010010
Подмножество
данных
Клонирование и
маскирование
010010110010101001001001001001001001001001001000100101
010010010010011100100100100100100100001001001011100100
101010010010101010011010100101010010
Рабочая БД
Одновременное формирование
подмножества данных
и маскирование
Тестовая БД
Операции по уменьшению объема данных
для задач тестирования и их маскирование
проводятся поочередно
Маскирование конфиденциальных данных
проводится одновременно с подготовкой
подмножества тестовых данных требуемого
объема

Контроль привилегированных пользователей
Превентивный контроль для баз данных Oracle
Отдел
кадров
Database Vault
• Контроль и ограничение, при необходимости,
прав доступа администраторов к данным
• Многофакторная авторизация и контроль
выполнения команд
• Защищенные зоны
• Разграничение прав доступа в соответствии со
служебными обязанностями
• Специализированные настройки для
Application
DBA
Отдел
закупок
Финансовый
отдел
DV_OWNER
select * from finance_customers
Администратор
DBA
DV_ACTMGR
Public 18

Мандатный доступ
Превентивный контроль для баз данных Oracle
Sensitive
Транзакции
Confidential
Данные отчетов
Отчеты
Confidential Sensitive
Oracle Label Security
• Виртуальное разделение данных для
облачных структур, SaaS, хостинга
• Классификация пользователей и данных с
использованием меток безопасности
• Метки формируются на основе бизнес-правил
• Автоматический контроль доступа на уровне
строк, «прозрачно» для приложений
• Значение метки может использоваться при
настройках других политик доступа
Public 19
Public

Database Firewall
Редакция и
данных
Public 20

Мониторинг активности и брандмауэр
Детективный контроль для баз данных
«Белый лист» «Черный список»
Oracle Audit Vault and Database Firewall
• Виртуальное разделение данных для
облачных структур, SaaS, хостинга
• Классификация пользователей и данных с
использованием меток безопасности
• Метки формируются на основе бизнес-правил
• Автоматический контроль доступа на уровне
строк, «прозрачно» для приложений
• Значение метки может использоваться при
настройках других политик доступа
Разрешить
Log
Предупредить
Подменить
Блокировать
Public 21
Анализ
SQL
Политики
Факторы
Пользователи

Аудит, отчетность и предупреждения
Детективный контроль для баз данных
Oracle Database
Firewall
• Централизованное защищенное хранилище
данных аудита и контроля активности на
основе software appliance
• Готовые к использованию и настраиваемые
пользовательские отчеты
• Консолидация отчетности из различных
источников
• Разграничение полномочий в соответствии с
функциональными обязанностями
Предупреждения
Отчеты
Пользовательские
отчеты
Public 22
Данные аудита
События безопасности
Политики
ОС
системы
хранения
Каталоги
Аудит БД
… другие
данные
Аналитик Аудитор

Column Old Value New Value
USERID 167 167
POSITION DBA Project Director
CREATIONDATE 09/25/2009
17:22:57
09/25/2009
17:22:57
MODIFICATIONDATE 08/20/2010
17:12:10
09/03/2013
12:05:50
Public 23

Отчет для различных источников данных аудита
Public 24

Новое решение для защиты баз данных
Предупреждения
Отчеты
Public 25
События по результатам
контроля SQL-трафика
Пользователи
Database Firewall
Разрешить
Log
Предупредить
Подменить
Блокировать
Данные аудита
Audit Vault
Server
OS, Directory, File System
Custom Audit Logs
Политики
Аудитор
Аналитик
Пользовательские
отчеты

Database Firewall
Редакция и
данных
Public 26

Растет число ключей шифрования и мест их хранения…
27
«Одиночная»
СУБД
Несколько БД
на одном
сервере RAC
Data Guard

Необходимо выполнять требования регуляторов
PCI DSS v3.0
Ноябрь 2013
3.5 Ключи шифрования должны храниться безопасно (3.5.2), хранить
ключи шифрования в как можно меньшем количестве мест (3.5.3),
максимально уменьшить количество лиц, имеющих доступ к
ключам шифрования. (3.5.1)
28
СУБД
на одном
сервере RAC
Data Guard
3.6 Процедуры управления ключами должны устанавливать
криптопериод для каждого типа ключей, а также процесс их
изменения по завершении установленного криптопериода (3.6.4)
…

Централизованное хранение данных Wallet
Public 29
СУБД
GoldenGate
на одном
сервере
RAC
Data Guard

Универсальное хранилище служебной информации на
базе Software Appliance
Public 30

Регистрация и настройка
Public 31
1. Одноразовый (One-time) token
2. Пакет (jar) для установки
3. Установка пакета
4. Сертификаты,
бинарные файлы и
параметры
конфигурации
5. Совместное использование

Сохранение данных Wallet в OKV
/etc/ORACLE/WALLETS/oracle CUSTOMER_DB_WALLET
./okvutil upload -t WALLET -l /etc/ORACLE/WALLETS/oracle -g CUSTOMER_DB_WALLET
Public 32
WALLET

Пример – Wallet не открылся (испорчен файл)
/etc/ORACLE/WALLETS/oracle
Public 33
WALLET
SQL startup
ORACLE instance started.
Total System Global Area 801701888 bytes
Fixed Size 2257520 bytes
Variable Size 272633232 bytes
Database Buffers 520093696 bytes
Redo Buffers 6717440 bytes
Database mounted.
ORA-28365: wallet is not open

Решение – восстановление Wallet из OKV
/etc/ORACLE/WALLETS/oracle CUSTOMER_DB_WALLET
./okvutil download -t WALLET -l /etc/ORACLE/WALLETS/oracle -g CUSTOMER_DB_WALLET
Public 34
WALLET
NEW WALLET PASSWORD: *****
Резервная копия

Анализ использования привилегий и ролей
Административный контроль для Oracle Database 12c
Oracle Database 12c Enterprise
• Подключение средств контроля используемых
привилегий и ролей
• Отчет о текущем состоянии использования
• Помощь по отмене неиспользуемых
привилегий
• Сохранение только тех привилегий, которые
необходимы, что позволяет снизить уровень
угроз безопасности
Public 35
Анализ
используемых
Create…
Drop…
Modify…
DBA role
APPADMIN role

Поиск конфиденциальных данных
Oracle Enterprise Manager 12c
• Сканирование баз данных Oracle на наличие
конфиденциальных данных
Public 36
• Встроенные (можно расширять) описания
данных для поиска
• Изучение модели данных приложений
• Полная информация для проведения контроля
за конфиденциальными данными
(шифрование, редакция, маскирование,
аудит…)

Поиск конфиденциальных данных
Oracle Database Lifecycle Management
• Изучение и классификация баз данных
• Сканирование на соответствие требованиям
нормативных документов, рекомендаций и
стандартов
• Обнаружение несанкционированных
изменений
• Автоматическое исправление
• Средства обновления и обеспечения
Изучение
Public 37
Сканирование
Мониторинг
Обновление

Database Firewall
Анализ привилегий
Редакция и
Поиск конфиденциальных
данных
Public 38

Документация. New Features Guide
Раздел «1.9 Security»
1.9.1 Data Encryption, Hashing and Redaction
• 1.9.1.1 Oracle Data Redaction
• 1.9.1.2 Support for Secure Hash Algorithm SHA-2 in Oracle
Database
1.9.2 Database Security Enhancements
• 1.9.2.1 Auditing Enabled By Default
• 1.9.2.2 Code-Based Security
• 1.9.2.3 Data Guard Support for Separation of Duty (SoD)
• 1.9.2.4 Enhanced Security of Audit Data
• 1.9.2.5 Increased Security When Using
Public
SELECT ANY DICTIONARY
• 1.9.2.6 Last Login Time Information
• 1.9.2.7 Oracle Database Vault Mandatory Realms
• 1.9.2.8 Oracle Label Security Metadata Export and Import
• 1.9.2.9 Password Complexity Check
• 1.9.2.10 Privilege Analysis
• 1.9.2.11 Resource Role Default Privileges
• 1.9.2.12 Separation of Duty for Audit Administration
• 1.9.2.13 Separation of Duty for Database Administration
• 1.9.2.14 SYSBACKUP Administration Privilege

Документация. New Features Guide
Раздел «1.9 Security»
1.9.3 Encryption Key Management Enhancements
• 1.9.3.1 Updated Key Management Framework
1.9.4 Improve Security Manageability, Administration
Public
and Integration
• 1.9.4.1 Oracle Database Vault Persistent Protections
• 1.9.4.2 Simplified Oracle Database Vault and
Oracle Label Security Installation
• 1.9.4.3 Transparent Sensitive Data Protection
• 1.9.4.4 VPD Fine-Grained Context-Sensitive Policies
1.9.5 Protect the Database Server From Outside
• 1.9.5.1 Restricted Service Registration for Oracle RAC
1.9.6 Real Application Security
• 1.9.6.1 Real Application Security
1.9.7 Security Optimizations
• 1.9.7.1 Unified Context-Based Database Audit Architecture

Клиенты во всем мире доверяют нашим решениям
• SquareTwo Enables Fast Growth with Oracle Database Solutions
SquareTwo enables fast growth and regulatory compliance with Oracle Database security defense-in-depth
solutions including Oracle Database Firewall, Oracle Data Masking, and Oracle Advanced
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Public 42
Security
• National Marrow Donor Program Database Defense-in-Depth
NMDP Secures life-saving patient and donor data with Oracle Advanced Security, Oracle Database
Vault, and Oracle Data Masking
• T-Mobile Protects 35 Million Subscribers Using Oracle
T-Mobile explains how they use Oracle Database Firewall, Oracle Advanced Security, and Oracle Data
Masking to secure sensitive data across the organization in both Oracle and non-Oracle databases
• TransUnion Interactive Uses Database Firewall for Compliance
Hear how TransUnion Interactive protects customer data and meets regulatory compliance with
database actviity monitoring using Oracle Database Firewall
• ETS Complies with PCI DSS Using Oracle Advanced Security
Educational Testing Service secures personally identifiable information (PII) and complies with
regulatory requirements with Oracle Advanced Security

• Data Sheets
• Whitepapers
• Web-семинары
• Учебные примеры
• События,
мероприятия
• Новости
• Другое …
Oracle Database Security. Ресурсы
www.oracle.com/database/security
Public

Oracle Database Security. Ресурсы
http://security-orcl.blogspot.ru/search/label/Certification
Public

Oracle Security
Решение о сертификации Oracle Linux
#3338
28/12/2010
Public
3-й класс защищенности (НСД-3)
2-й уровень контроля (НДВ-2)

Oracle Security
Сертификат Oracle Linux v5.5 x86_64
#3095
13/02/2014
3-й класс защищенности (НСД-3)
2-й уровень контроля (НДВ-2)
Public

Р еше н и я OR AC L E
п о о б е с п е ч е н ию
и нфо рма ц и о н н о й
б е з о п а с н о с т и
Public 47

QQAA
Nikolay.Danyukov@Oracle.com
Andrey.Gusakov@Oracle.com
Public 48

Защита информации на уровне СУБД

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Защита информации на уровне СУБД

Similar to Защита информации на уровне СУБД (20)

More from Andrey Akulov

More from Andrey Akulov (20)

Защита информации на уровне СУБД