More Related Content
Similar to Защита информации на уровне СУБД
Similar to Защита информации на уровне СУБД (20)
More from Andrey Akulov (20)
Защита информации на уровне СУБД
- 2. Решения Oracle для Обеспечения
Безопасности Данных
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Николай Данюков
к.т.н., ведущий консультант
Андрей Гусаков,
руководитель группы консультантов
по Enterprise Security
Public
- 3. Почему наши базы данных уязвимы?
80% программ развития не предусматривают защиту БД
Защита
в сети
?
Web Application
Firewall
Authentication &
User Security
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Forrester Research
“Организации принимают риски
даже тогда, когда не в полной
мере осведомлены о проблеме ...
Тем более, что все больше
нападений на базы данных
проводится при легитимном
доступе.”
SIEM
Защита рабочих
мест
Public 3
Защита
Email
Безопасность БД
- 5. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Меры противодействия
Public 5
Превентивные
Детективные
Административные
- 7. ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ
АДМИНИСТРАТИВНАЯ
Контроль активности
Database Firewall
Аудит и отчетность
Управление ключами и др.
служебной информацией
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Шифрование
Редакция и
Маскирование
Контроль за действиями
привилегированных
пользователей
Анализ привилегий и
поиск конфиденциальных
данных
Управление конфигурациями
Решения Oracle по защите баз данных
Всесторонняя защита для максимальной безопасности
Public 7
- 8. Пример применения превентивных методов защиты
Защита информации в состоянии покоя от инсайда с помощью шифрования
Password Root*
Данные зашифрованы Обычный формат хранения
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 8
(3DES168, AES128, AES192, AES256)
- 9. Transparent Data Encryption
Средства превентивного контроля для Oracle Database
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Advanced Security
• «Прозрачное» шифрование данных
• Предотвращает доступ к информации,
хранимой на физических носителях
• Не требуется изменять приложения
• Встроенные механизмы управления ключами
шифрования
• Малое влияние на общую производительность
• Полная интеграция с технологиями Oracle
Exadata, Advanced Compression, ASM,
Golden Gate, DataPump и др.
Диск
Резервные
копии
Экспортируемые
данные
Физические
носители
информации
Public 9
Приложения
- 10. Пример реализации требований регуляторов
Защита содержимого ячеек СУБД через редакцию отображаемых данных
3.3 Маскировать основной номер держателя карты при его
отображении (максимально возможное количество знаков для
отображения – первые шесть и последние четыре), чтобы только
сотрудники с обоснованной коммерческой необходимостью
могли видеть весь основной номер держателя карты.
Пояснение: Отображение полного основного номера держателя карты только
для тех лиц, которым нужно видеть полный номер для выполнения
своих функциональных обязанностей, позволяет снизить риск
несанкционированного доступа к данным этого номера.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 10
PCI DSS v3.0
Ноябрь 2013
- 11. Data Redaction
Превентивный контроль для Oracle Database 12c
и Oracle Database 11gR2 (11.2.0.4)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Advanced Security
• Изменение способа отображения
конфиденциальных данных с учетом контекста
• Библиотека политик для быстрой настройки
отображений
• «Прозрачно» для приложений и
пользователей
Конфиденциальные
данные
4451-2172-9841-4368
5106-8395-2095-5938
7830-0032-0294-1827
Public 11
Redaction Policy
xxxxxxxx--xxxxxxxx--xxxxxxxx--44336688 44445511--22117722--99884411--44336688
Подготовка
счетов
абонентам
Приложение
«Call Center»
- 12. Редакция отображаемых данных
Отображение данных до применения политики
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 12
- 13. Редакция отображаемых данных
Отображение данных после применения политики
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 13
DBMS_DDDBBBMMMSSS___RRRREEEEDDDDAAAACCCCTTTT....AAAADDDDDDDD____PPPPOOOOLLLLIIIICCCCYYYY((((
oooobbbbjjjjeeeecccctttt____sssscccchhhheeeemmmmaaaa ==== ''''CCCCAAAALLLLLLLLCCCCEEEENNNNTTTTEEEERRRR'''',,,,
oooobbbbjjjjeeeecccctttt____nnnnaaaammmmeeee ==== ''''CCCCUUUUSSSSTTTTOOOOMMMMEEEERRRRSSSS''''
ccccoooolllluuuummmmnnnn____nnnnaaaammmmeeee ==== ''''SSSSSSSSNNNN''''............
- 14. Редакция отображаемых данных
Поддерживаемые способы преобразования
Хранимые данные Отображаемые
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 14
PARTIAL
Redaction
REG.EXPRESSION
Redaction
RANDOM
Redaction
10 Presnenskaya, “C” XXXXXXXXXX
24/08/1967 01/01/2001
DC3456GH8K DC******8K
641-13-31 ***-**-31
98032-2584 98032-[hidden]
N.Petrov@mail.ru [redacted]@mail.ru
4022-5231-5531-9855 7584-9736-3401-3026
16/09/1986 22/12/1970
FULL
Redaction
- 15. Суперопция Oracle Advanced Security
Редактирование отображаемых данных и шифрование
Transparent Data
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Диск
Резервные
копии
Экспортируемые
данные
Физические
носители
информации
44445511--22117722--99884411--44336688
xxxxxxxx--xxxxxxxx--xxxxxxxx--44336688
Подготовка
счетов
абонентам
Приложение
«Call Center»
Wallet
Encryption
Data Redaction
Конфиденциальные
данные
4451-2172-9841-4368
5106-8395-2095-5938
7830-0032-0294-1827
Public 15
- 16. Маскирование данных для задач тестирования
Превентивный контроль для баз данных
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
LAST_NAME SSN SALARY
ANSKEKSL 323-23-1111 60,000
BKJHHEIEDK 252-34-1345 40,000
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Тестовые БД
Рабочая БД
Oracle Data Masking
• Подмена конфиденциальных данных
приложений
• Ссылочная целостность данных
• Расширяемая библиотека шаблонов и
форматов
• Специализированные шаблоны для
приложений
• Поддержка маскирования данных в БД
сторонних производителей
Public 16
- 17. Data Masking and Subsetting Pack
• Было реализовано ранее • Новые возможности EM 12c
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Masked Data
Pump File
Public 17
Рабочая БД Тестовая БД
010010110010101001001001001001001001001001001000100101
010010010010011100100100100100100100001001001011100100
101010010010101010011010100101010010
Подмножество
данных
Клонирование и
маскирование
010010110010101001001001001001001001001001001000100101
010010010010011100100100100100100100001001001011100100
101010010010101010011010100101010010
Рабочая БД
Одновременное формирование
подмножества данных
и маскирование
Тестовая БД
Операции по уменьшению объема данных
для задач тестирования и их маскирование
проводятся поочередно
Маскирование конфиденциальных данных
проводится одновременно с подготовкой
подмножества тестовых данных требуемого
объема
- 18. Контроль привилегированных пользователей
Превентивный контроль для баз данных Oracle
Отдел
кадров
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Database Vault
• Контроль и ограничение, при необходимости,
прав доступа администраторов к данным
приложений
• Многофакторная авторизация и контроль
выполнения команд
• Защищенные зоны
• Разграничение прав доступа в соответствии со
служебными обязанностями
• Специализированные настройки для
приложений
Application
DBA
Отдел
закупок
Финансовый
отдел
DV_OWNER
select * from finance_customers
Администратор
DBA
DV_ACTMGR
Public 18
- 19. Мандатный доступ
Превентивный контроль для баз данных Oracle
Sensitive
Транзакции
Confidential
Данные отчетов
Отчеты
Confidential Sensitive
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Label Security
• Виртуальное разделение данных для
облачных структур, SaaS, хостинга
• Классификация пользователей и данных с
использованием меток безопасности
• Метки формируются на основе бизнес-правил
• Автоматический контроль доступа на уровне
строк, «прозрачно» для приложений
• Значение метки может использоваться при
настройках других политик доступа
Public 19
Public
- 20. ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ
АДМИНИСТРАТИВНАЯ
Контроль активности
Database Firewall
Аудит и отчетность
Управление ключами и др.
служебной информацией
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Шифрование
Редакция и
Маскирование
Контроль за действиями
привилегированных
пользователей
Анализ привилегий и
поиск конфиденциальных
данных
Управление конфигурациями
Решения Oracle по защите баз данных
Всесторонняя защита для максимальной безопасности
Public 20
- 21. Мониторинг активности и брандмауэр
Детективный контроль для баз данных
«Белый лист» «Черный список»
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault and Database Firewall
• Виртуальное разделение данных для
облачных структур, SaaS, хостинга
• Классификация пользователей и данных с
использованием меток безопасности
• Метки формируются на основе бизнес-правил
• Автоматический контроль доступа на уровне
строк, «прозрачно» для приложений
• Значение метки может использоваться при
настройках других политик доступа
Разрешить
Log
Предупредить
Подменить
Блокировать
Public 21
Анализ
SQL
Политики
Факторы
Пользователи
Приложения
- 22. Аудит, отчетность и предупреждения
Детективный контроль для баз данных
Oracle Database
Firewall
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault and Database Firewall
• Централизованное защищенное хранилище
данных аудита и контроля активности на
основе software appliance
• Готовые к использованию и настраиваемые
пользовательские отчеты
• Консолидация отчетности из различных
источников
• Разграничение полномочий в соответствии с
функциональными обязанностями
Предупреждения
Отчеты
Пользовательские
отчеты
Public 22
Данные аудита
События безопасности
Политики
ОС
системы
хранения
Каталоги
Аудит БД
… другие
данные
Аналитик Аудитор
- 23. Column Old Value New Value
USERID 167 167
POSITION DBA Project Director
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
CREATIONDATE 09/25/2009
17:22:57
09/25/2009
17:22:57
MODIFICATIONDATE 08/20/2010
17:12:10
09/03/2013
12:05:50
Public 23
- 24. Oracle Audit Vault and Database Firewall
Отчет для различных источников данных аудита
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 24
- 25. Oracle Audit Vault and Database Firewall
Новое решение для защиты баз данных
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Предупреждения
Отчеты
Public 25
События по результатам
контроля SQL-трафика
Пользователи
Приложения
Database Firewall
Разрешить
Log
Предупредить
Подменить
Блокировать
Данные аудита
Audit Vault
Server
OS, Directory, File System
Custom Audit Logs
Политики
Аудитор
Аналитик
Пользовательские
отчеты
- 26. ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ
АДМИНИСТРАТИВНАЯ
Контроль активности
Database Firewall
Аудит и отчетность
Управление ключами и др.
служебной информацией
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Шифрование
Редакция и
Маскирование
Контроль за действиями
привилегированных
пользователей
Анализ привилегий и
поиск конфиденциальных
данных
Управление конфигурациями
Решения Oracle по защите баз данных
Всесторонняя защита для максимальной безопасности
Public 26
- 27. Растет число ключей шифрования и мест их хранения…
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Public
27
«Одиночная»
СУБД
Несколько БД
на одном
сервере RAC
Data Guard
- 28. Необходимо выполнять требования регуляторов
PCI DSS v3.0
Ноябрь 2013
3.5 Ключи шифрования должны храниться безопасно (3.5.2), хранить
ключи шифрования в как можно меньшем количестве мест (3.5.3),
максимально уменьшить количество лиц, имеющих доступ к
ключам шифрования. (3.5.1)
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Public
28
«Одиночная»
СУБД
Несколько БД
на одном
сервере RAC
Data Guard
3.6 Процедуры управления ключами должны устанавливать
криптопериод для каждого типа ключей, а также процесс их
изменения по завершении установленного криптопериода (3.6.4)
…
- 29. Централизованное хранение данных Wallet
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 29
«Одиночная»
СУБД
GoldenGate
Несколько БД
на одном
сервере
RAC
Data Guard
- 31. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Регистрация и настройка
Public 31
1. Одноразовый (One-time) token
2. Пакет (jar) для установки
3. Установка пакета
4. Сертификаты,
бинарные файлы и
параметры
конфигурации
5. Совместное использование
- 32. Сохранение данных Wallet в OKV
/etc/ORACLE/WALLETS/oracle CUSTOMER_DB_WALLET
./okvutil upload -t WALLET -l /etc/ORACLE/WALLETS/oracle -g CUSTOMER_DB_WALLET
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 32
WALLET
- 33. Пример – Wallet не открылся (испорчен файл)
/etc/ORACLE/WALLETS/oracle
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 33
WALLET
SQL startup
ORACLE instance started.
Total System Global Area 801701888 bytes
Fixed Size 2257520 bytes
Variable Size 272633232 bytes
Database Buffers 520093696 bytes
Redo Buffers 6717440 bytes
Database mounted.
ORA-28365: wallet is not open
- 34. Решение – восстановление Wallet из OKV
/etc/ORACLE/WALLETS/oracle CUSTOMER_DB_WALLET
./okvutil download -t WALLET -l /etc/ORACLE/WALLETS/oracle -g CUSTOMER_DB_WALLET
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public 34
WALLET
NEW WALLET PASSWORD: *****
Резервная копия
- 35. Анализ использования привилегий и ролей
Административный контроль для Oracle Database 12c
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Database 12c Enterprise
• Подключение средств контроля используемых
привилегий и ролей
• Отчет о текущем состоянии использования
привилегий и ролей
• Помощь по отмене неиспользуемых
привилегий
• Сохранение только тех привилегий, которые
необходимы, что позволяет снизить уровень
угроз безопасности
Public 35
Анализ
используемых
привилегий и ролей
Create…
Drop…
Modify…
DBA role
APPADMIN role
- 36. Поиск конфиденциальных данных
Административный контроль для Oracle Database 12c
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Enterprise Manager 12c
• Сканирование баз данных Oracle на наличие
конфиденциальных данных
Public 36
• Встроенные (можно расширять) описания
данных для поиска
• Изучение модели данных приложений
• Полная информация для проведения контроля
за конфиденциальными данными
(шифрование, редакция, маскирование,
аудит…)
- 37. Поиск конфиденциальных данных
Административный контроль для Oracle Database 12c
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Database Lifecycle Management
• Изучение и классификация баз данных
• Сканирование на соответствие требованиям
нормативных документов, рекомендаций и
стандартов
• Обнаружение несанкционированных
изменений
• Автоматическое исправление
• Средства обновления и обеспечения
Изучение
Public 37
Сканирование
Мониторинг
Обновление
- 38. ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ
АДМИНИСТРАТИВНАЯ
Контроль активности
Database Firewall
Аудит и отчетность
Анализ привилегий
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Шифрование
Редакция и
Маскирование
Контроль за действиями
привилегированных
пользователей
Поиск конфиденциальных
данных
Управление конфигурациями
Решения Oracle по защите баз данных
Всесторонняя защита для максимальной безопасности
Public 38
- 39. Документация. New Features Guide
Раздел «1.9 Security»
1.9.1 Data Encryption, Hashing and Redaction
• 1.9.1.1 Oracle Data Redaction
• 1.9.1.2 Support for Secure Hash Algorithm SHA-2 in Oracle
Database
1.9.2 Database Security Enhancements
• 1.9.2.1 Auditing Enabled By Default
• 1.9.2.2 Code-Based Security
• 1.9.2.3 Data Guard Support for Separation of Duty (SoD)
• 1.9.2.4 Enhanced Security of Audit Data
• 1.9.2.5 Increased Security When Using
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public
SELECT ANY DICTIONARY
• 1.9.2.6 Last Login Time Information
• 1.9.2.7 Oracle Database Vault Mandatory Realms
• 1.9.2.8 Oracle Label Security Metadata Export and Import
• 1.9.2.9 Password Complexity Check
• 1.9.2.10 Privilege Analysis
• 1.9.2.11 Resource Role Default Privileges
• 1.9.2.12 Separation of Duty for Audit Administration
• 1.9.2.13 Separation of Duty for Database Administration
• 1.9.2.14 SYSBACKUP Administration Privilege
- 40. Документация. New Features Guide
Раздел «1.9 Security»
1.9.3 Encryption Key Management Enhancements
• 1.9.3.1 Updated Key Management Framework
1.9.4 Improve Security Manageability, Administration
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public
and Integration
• 1.9.4.1 Oracle Database Vault Persistent Protections
• 1.9.4.2 Simplified Oracle Database Vault and
Oracle Label Security Installation
• 1.9.4.3 Transparent Sensitive Data Protection
• 1.9.4.4 VPD Fine-Grained Context-Sensitive Policies
1.9.5 Protect the Database Server From Outside
• 1.9.5.1 Restricted Service Registration for Oracle RAC
1.9.6 Real Application Security
• 1.9.6.1 Real Application Security
1.9.7 Security Optimizations
• 1.9.7.1 Unified Context-Based Database Audit Architecture
- 42. Клиенты во всем мире доверяют нашим решениям
• SquareTwo Enables Fast Growth with Oracle Database Solutions
SquareTwo enables fast growth and regulatory compliance with Oracle Database security defense-in-depth
solutions including Oracle Database Firewall, Oracle Data Masking, and Oracle Advanced
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Public 42
Security
• National Marrow Donor Program Database Defense-in-Depth
NMDP Secures life-saving patient and donor data with Oracle Advanced Security, Oracle Database
Vault, and Oracle Data Masking
• T-Mobile Protects 35 Million Subscribers Using Oracle
T-Mobile explains how they use Oracle Database Firewall, Oracle Advanced Security, and Oracle Data
Masking to secure sensitive data across the organization in both Oracle and non-Oracle databases
• TransUnion Interactive Uses Database Firewall for Compliance
Hear how TransUnion Interactive protects customer data and meets regulatory compliance with
database actviity monitoring using Oracle Database Firewall
• ETS Complies with PCI DSS Using Oracle Advanced Security
Educational Testing Service secures personally identifiable information (PII) and complies with
regulatory requirements with Oracle Advanced Security
- 43. • Data Sheets
• Whitepapers
• Web-семинары
• Учебные примеры
• События,
мероприятия
• Новости
• Другое …
Oracle Database Security. Ресурсы
www.oracle.com/database/security
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public
- 44. Oracle Database Security. Ресурсы
http://security-orcl.blogspot.ru/search/label/Certification
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Public
- 45. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Security
Решение о сертификации Oracle Linux
#3338
28/12/2010
Public
3-й класс защищенности (НСД-3)
2-й уровень контроля (НДВ-2)
- 46. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Oracle Security
Сертификат Oracle Linux v5.5 x86_64
#3095
13/02/2014
3-й класс защищенности (НСД-3)
2-й уровень контроля (НДВ-2)
Public
- 47. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Р еше н и я OR AC L E
п о о б е с п е ч е н ию
и нфо рма ц и о н н о й
б е з о п а с н о с т и
Public 47
- 48. QQAA
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Nikolay.Danyukov@Oracle.com
Andrey.Gusakov@Oracle.com
Public 48