ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Db security vaba information age 2010 v5.ppt [compatibility m

?
?
Oracle Hrvatska
Oracle Hrvatska
1 of 26
Sigurnost na nivou baze podataka Nikola Pajnoga?, VABA Morana Kobal Butkovi?, Oracle Hrvatska
Izazovi vezani uz sigurnost podataka ? ?to ?tititi? ? Osjetljivi podaci: povjerljivi, osobni (PII), regulatorni zahtjevi ? Podaci unutar aplikacija razli?itih proizvo?a?a ? Sigurni ?ivotni ciklus: kreiranje, transport, pohranjivanje, backup, test ? Kako za?titi podatke u postoje?im sustavima? ? Transparentno? ? Gubitak podataka, neodobreni pristup, segregacija du?nosti ? Mo?emo li zadovoljiti poslovne zahtjeve? ? Fleksibilno, transparentno, uskla?eno s regulativom? ? Osigurati aplikacije razli?itih proizvo?a?a? ? Mo?emo li smanjiti operativne tro?kove? ? Jednostavno upravljanje? ? Performanse? 2
anketa: Poslovni podaci i rizik The 2009 IOUG Data Security Report: Smanjivanje bud?eta dovodi do pove?anja rizika Samo 21% Samo 20% Samo 12% kriptira osobne kriptira promet kriptira backupe i eksporte podatke u svim prema bazama baza podataka bazama podataka 50% 48% 70% nije svjesno svih ka?e da korisnici mogu koristi auditing, ali se baza s osjetljivim podatke dostupiti mimo samo 18% automatski podacima aplikacije monitorira 61% 67% Manje od 30% nemo?e sprije?iti nemo?e otkriti je li monitorira ?itanje/pisanje administratore da to ra?eno osjetljivih podataka ?itaju/mijenjaju osjetljive podatke
Osiguranje podataka u bazi ? Kriptiranje ? Monitoriranje aktivnosti ? Maskiranje ? Pra?enje promjena ? Klasifikacija ? Otkrivanje i ? Kontrola pristupa procjena ? Sigurne Detection konfiguracije
Oracle Advanced Security Transparent Data Encryption Disk Backups Exports Application Off-Site Facilities ? Kriptiranje podataka na mediju za pohranu ? Transparentno za aplikacije ? Efikasno kriptiranje svih aplikacijskih podataka ? Ugra?eno upravljanje klju?evima
Oracle Advanced Security Kriptiranje mre?nog prometa i poja?ana autentikacija ? Na standardima bazirano kriptiranje podataka na prijenosnom putu ? Autentikacija korisnika i servera kori?tenjem autentikacijskih rje?enja drugih proizvo?a?a ? Izmjene u infrastrukturi nisu potrebne ? Jednostavnost implementacije
Oracle Data Masking Nepovratna deidentifikacija podataka Production Non-Production LAST_NAME SSN SALARY LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 ANSKEKSL 111¡ª23-1111 60,000 BENSON 323-22-2943 60,000 BKJHHEIEDK 222-34-1345 40,000 ? Uklanjanje osjetljivih podataka iz ne-produkcijskih baza podataka ? O?uvanje referencijalnog integriteta i kompatibilnosti aplikacija ? Osjetljivi podaci nikada ne napu?taju baze podataka ? Pro?iriva biblioteka uzoraka i pravila za automatizaciju maskiranja Oracle Confidential 7
Oracle Database Vault Separacija du?nosti i kontrola privilegiranih korisnika Procurement DBA HR Application Finance select * from finance.customers ? Separacija du?nosti administratora baze podataka ? Limitiranje mogu?nosti privilegiranih korisnika ? Konsolidiranje podataka razli?itih aplikacija na siguran na?in ? Nije potrebna prilagodba aplikacija
Oracle Database Vault Vi?e-faktorska kontrola pristupa Procurement HR Application Rebates ? Za?tita aplikacijskih podataka i spre?avanje dostupa podacima zaobila?enjem aplikacija ? Definiranje tko, gdje, kada i kako dostupa podatke kori?tenjem pravila i faktora ? Predefinirana pravila pristupa za Oracle aplikacije kao i prilagodba pravila pristupa ovisno o pojedinim aplikacijama
Oracle Audit Vault Automatizirano monitoriranje aktivnosti i izvje?tavanje HR Data ! Alerts Built-in CRM Data Reports Audit Data Custom ERP Data Reports Databases Policies Auditor ? Konsolidiranje podataka o nadzoru u sigurni repozitorij ? Detektiranje i uzbunjivanje o sumnjivim aktivnostima ? Predefinirani izvje?taji u skladu s regulativom ? Centralizirano upravljanje postavkama nadzora
Za?to korisnici u regiji investiraju u sigurnosne opcije baze podataka? ? Advanced Security za kriptiranje osobnih podataka zaposlenika ? Advanced Security za uskla?ivanje s internacionalnom ili nacionalnom regulativom kroz kriptiranje povjerljivih podataka o korisnicima ? DB Vault za separaciju du?nosti pri administraciji baza podataka ? DB Vault za spre?avanje internih korisnika i administratora u dostupu do osjetljivih informacija i dostavljanju tih informacija konkurenciji ? DB Vault, Advanced Security, Data Masking za spre?avanje sigurnosnih incidenata od strane vanjskih suradnika ili administratora koji rade unutar iste kompanije ? Audit Vault kao infrastruktura za nadzor uskla?ena sa zahtjevima auditora ? Audit Vault za dugotrajno pohranjivanje podataka o nadzoru prema zahtjevima nacionalnih banaka
Studija slu?aja Implementacija Oracle Audit Vaulta u VABA Banka Vara?din
VABA d.d. Banka Vara?din ? Osnovana 2005. godine ? Regionalna banka, orijentirana na sjeverozapadnu Hrvatsku ? Pribli?no190 zaposlenih ? 11 poslovnica, 2 sredi?nje lokacije ? Vlastiti razvoj ? Informacijski sustav banke zasnovan na Oracle bazi podataka i IBM Websphere-u na aplikacijskom sloju
Poslovni zahtjevi ? Osigurati nadzor aktivnosti nad produkcijskim okru?enjem banke ? Omogu?iti neporecivost i dokazivost svih radnji nad bazom ? dokumentiranje i bilje?enje korisni?ke aktivnosti ? preventivno odvra?a korisnike od nedozvoljenih aktivnosti ? Jednostavnost izvje??ivanja ? Mogu?nost ?uvanja audit podataka minimalno godinu dana ? Posebna pa?nja usmjerena na proces aplikativnog razvoja ¨C povezivanje zahtjeva poslovne strane s radnjama na bazi
Implementacija Audit Vaulta u sustav VABA banke ? Auditing na bazi implementiran 1.1.2009. ? Do travnja 2010. oko 25 GB podataka ? Relativno jednostavna instalacija ? Audit Vault servis radi malo optere?enje ? Manji problemi tijekom kori?tenja (ve?inom pobolj?ani nakon patchiranja na najnoviju verziju Audit Vaulta 10.2.3.2)
Hardverska infrastruktura ? Hardver: ? Oracle Audit Vault Server: ? Intel server, Xeon CPU, 4 GB RAM ? Red Hat Linux 3.5 ? Oracle Baza: ? Intel server, Xeon CPU, 8 GB RAM ? Windows 2003 klaster ? Manualno prebacivanje Audit Vault servisa u slu?aju pada dijela klastera
Audit Vault - konzola ?Pregled uzbuna po: ?Mjestu nastanka ?Vrsti doga?aja ?Popis posljednjih uzbuna Pregled uzbuna ?Naj?e??e pristupani objekti ?Neuspjele prijave na bazu Oracle Confidential 17
Postavke auditinga ? Postavke auditinga (Audit Policy) su centralizirano definirane na jednaki na?in za sve korisni?ke i povla?tene (SYSDBA, SYSOPER, ¡­) ra?une na bazi ? Za ostale ra?une prati se prijava i odjava na bazu
Izvje?tavanje Predefinirani izvje?taji ? ?to je sve korisnik A radio na bazi podataka ? ?to je privilegirani korisnik radio u posljednja 24 sata ? Pristup i mijenjanje podataka/procedura ? Promjene strukture baze podataka ? Akcije visoko privilegiranih korisnika/administratora ? Dodavanje novih korisni?kih ra?una te prava pristupa ? Rana detekcija sumnjivih aktivnosti
Primjer izvje?taja ? Promjene na spremljenim procedurama
Primjer izvje?taja ? Primjer pogre?ne prijave na sustav
Primjer izvje?taja ? Dodavanje rola i privilegija Oracle Confidential 22
Primjer izvje?taja ? Mogu?nost pro?irivanja izvje?taja Mogu?nost pro?irivanja izvje?taja raznim varijablama, ?ak do nivoa kompletnog SQL-a. Oracle Confidential 23
Alerting sustav ? Lako postavljanje uzbuna na odre?ene doga?aje na sustavu
Zaklju?ak ?to smo dobili: ? Potpun nadzor nad svim radnjama provedenim nad produkcijskom bazom podataka ? Nadzor i mogu?nost mapiranja radnji u bazi s zahtjevima poslovne strane ? Mogu?a rekonstrukcija svih radnji u slu?aju potrebe ili incidentne situacije ? Malo optere?enje produkcijskog okru?enja ? Nu?nost kvalitetne uspostave procesa aplikativnog razvoja Oracle Confidential 25
Db security vaba information age 2010 v5.ppt [compatibility m

More Related Content

Db security vaba information age 2010 v5.ppt [compatibility m

  • 1. Sigurnost na nivou baze podataka Nikola Pajnoga?, VABA Morana Kobal Butkovi?, Oracle Hrvatska
  • 2. Izazovi vezani uz sigurnost podataka ? ?to ?tititi? ? Osjetljivi podaci: povjerljivi, osobni (PII), regulatorni zahtjevi ? Podaci unutar aplikacija razli?itih proizvo?a?a ? Sigurni ?ivotni ciklus: kreiranje, transport, pohranjivanje, backup, test ? Kako za?titi podatke u postoje?im sustavima? ? Transparentno? ? Gubitak podataka, neodobreni pristup, segregacija du?nosti ? Mo?emo li zadovoljiti poslovne zahtjeve? ? Fleksibilno, transparentno, uskla?eno s regulativom? ? Osigurati aplikacije razli?itih proizvo?a?a? ? Mo?emo li smanjiti operativne tro?kove? ? Jednostavno upravljanje? ? Performanse? 2
  • 3. anketa: Poslovni podaci i rizik The 2009 IOUG Data Security Report: Smanjivanje bud?eta dovodi do pove?anja rizika Samo 21% Samo 20% Samo 12% kriptira osobne kriptira promet kriptira backupe i eksporte podatke u svim prema bazama baza podataka bazama podataka 50% 48% 70% nije svjesno svih ka?e da korisnici mogu koristi auditing, ali se baza s osjetljivim podatke dostupiti mimo samo 18% automatski podacima aplikacije monitorira 61% 67% Manje od 30% nemo?e sprije?iti nemo?e otkriti je li monitorira ?itanje/pisanje administratore da to ra?eno osjetljivih podataka ?itaju/mijenjaju osjetljive podatke
  • 4. Osiguranje podataka u bazi ? Kriptiranje ? Monitoriranje aktivnosti ? Maskiranje ? Pra?enje promjena ? Klasifikacija ? Otkrivanje i ? Kontrola pristupa procjena ? Sigurne Detection konfiguracije
  • 5. Oracle Advanced Security Transparent Data Encryption Disk Backups Exports Application Off-Site Facilities ? Kriptiranje podataka na mediju za pohranu ? Transparentno za aplikacije ? Efikasno kriptiranje svih aplikacijskih podataka ? Ugra?eno upravljanje klju?evima
  • 6. Oracle Advanced Security Kriptiranje mre?nog prometa i poja?ana autentikacija ? Na standardima bazirano kriptiranje podataka na prijenosnom putu ? Autentikacija korisnika i servera kori?tenjem autentikacijskih rje?enja drugih proizvo?a?a ? Izmjene u infrastrukturi nisu potrebne ? Jednostavnost implementacije
  • 7. Oracle Data Masking Nepovratna deidentifikacija podataka Production Non-Production LAST_NAME SSN SALARY LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 ANSKEKSL 111¡ª23-1111 60,000 BENSON 323-22-2943 60,000 BKJHHEIEDK 222-34-1345 40,000 ? Uklanjanje osjetljivih podataka iz ne-produkcijskih baza podataka ? O?uvanje referencijalnog integriteta i kompatibilnosti aplikacija ? Osjetljivi podaci nikada ne napu?taju baze podataka ? Pro?iriva biblioteka uzoraka i pravila za automatizaciju maskiranja Oracle Confidential 7
  • 8. Oracle Database Vault Separacija du?nosti i kontrola privilegiranih korisnika Procurement DBA HR Application Finance select * from finance.customers ? Separacija du?nosti administratora baze podataka ? Limitiranje mogu?nosti privilegiranih korisnika ? Konsolidiranje podataka razli?itih aplikacija na siguran na?in ? Nije potrebna prilagodba aplikacija
  • 9. Oracle Database Vault Vi?e-faktorska kontrola pristupa Procurement HR Application Rebates ? Za?tita aplikacijskih podataka i spre?avanje dostupa podacima zaobila?enjem aplikacija ? Definiranje tko, gdje, kada i kako dostupa podatke kori?tenjem pravila i faktora ? Predefinirana pravila pristupa za Oracle aplikacije kao i prilagodba pravila pristupa ovisno o pojedinim aplikacijama
  • 10. Oracle Audit Vault Automatizirano monitoriranje aktivnosti i izvje?tavanje HR Data ! Alerts Built-in CRM Data Reports Audit Data Custom ERP Data Reports Databases Policies Auditor ? Konsolidiranje podataka o nadzoru u sigurni repozitorij ? Detektiranje i uzbunjivanje o sumnjivim aktivnostima ? Predefinirani izvje?taji u skladu s regulativom ? Centralizirano upravljanje postavkama nadzora
  • 11. Za?to korisnici u regiji investiraju u sigurnosne opcije baze podataka? ? Advanced Security za kriptiranje osobnih podataka zaposlenika ? Advanced Security za uskla?ivanje s internacionalnom ili nacionalnom regulativom kroz kriptiranje povjerljivih podataka o korisnicima ? DB Vault za separaciju du?nosti pri administraciji baza podataka ? DB Vault za spre?avanje internih korisnika i administratora u dostupu do osjetljivih informacija i dostavljanju tih informacija konkurenciji ? DB Vault, Advanced Security, Data Masking za spre?avanje sigurnosnih incidenata od strane vanjskih suradnika ili administratora koji rade unutar iste kompanije ? Audit Vault kao infrastruktura za nadzor uskla?ena sa zahtjevima auditora ? Audit Vault za dugotrajno pohranjivanje podataka o nadzoru prema zahtjevima nacionalnih banaka
  • 12. Studija slu?aja Implementacija Oracle Audit Vaulta u VABA Banka Vara?din
  • 13. VABA d.d. Banka Vara?din ? Osnovana 2005. godine ? Regionalna banka, orijentirana na sjeverozapadnu Hrvatsku ? Pribli?no190 zaposlenih ? 11 poslovnica, 2 sredi?nje lokacije ? Vlastiti razvoj ? Informacijski sustav banke zasnovan na Oracle bazi podataka i IBM Websphere-u na aplikacijskom sloju
  • 14. Poslovni zahtjevi ? Osigurati nadzor aktivnosti nad produkcijskim okru?enjem banke ? Omogu?iti neporecivost i dokazivost svih radnji nad bazom ? dokumentiranje i bilje?enje korisni?ke aktivnosti ? preventivno odvra?a korisnike od nedozvoljenih aktivnosti ? Jednostavnost izvje??ivanja ? Mogu?nost ?uvanja audit podataka minimalno godinu dana ? Posebna pa?nja usmjerena na proces aplikativnog razvoja ¨C povezivanje zahtjeva poslovne strane s radnjama na bazi
  • 15. Implementacija Audit Vaulta u sustav VABA banke ? Auditing na bazi implementiran 1.1.2009. ? Do travnja 2010. oko 25 GB podataka ? Relativno jednostavna instalacija ? Audit Vault servis radi malo optere?enje ? Manji problemi tijekom kori?tenja (ve?inom pobolj?ani nakon patchiranja na najnoviju verziju Audit Vaulta 10.2.3.2)
  • 16. Hardverska infrastruktura ? Hardver: ? Oracle Audit Vault Server: ? Intel server, Xeon CPU, 4 GB RAM ? Red Hat Linux 3.5 ? Oracle Baza: ? Intel server, Xeon CPU, 8 GB RAM ? Windows 2003 klaster ? Manualno prebacivanje Audit Vault servisa u slu?aju pada dijela klastera
  • 17. Audit Vault - konzola ?Pregled uzbuna po: ?Mjestu nastanka ?Vrsti doga?aja ?Popis posljednjih uzbuna Pregled uzbuna ?Naj?e??e pristupani objekti ?Neuspjele prijave na bazu Oracle Confidential 17
  • 18. Postavke auditinga ? Postavke auditinga (Audit Policy) su centralizirano definirane na jednaki na?in za sve korisni?ke i povla?tene (SYSDBA, SYSOPER, ¡­) ra?une na bazi ? Za ostale ra?une prati se prijava i odjava na bazu
  • 19. Izvje?tavanje Predefinirani izvje?taji ? ?to je sve korisnik A radio na bazi podataka ? ?to je privilegirani korisnik radio u posljednja 24 sata ? Pristup i mijenjanje podataka/procedura ? Promjene strukture baze podataka ? Akcije visoko privilegiranih korisnika/administratora ? Dodavanje novih korisni?kih ra?una te prava pristupa ? Rana detekcija sumnjivih aktivnosti
  • 20. Primjer izvje?taja ? Promjene na spremljenim procedurama
  • 21. Primjer izvje?taja ? Primjer pogre?ne prijave na sustav
  • 22. Primjer izvje?taja ? Dodavanje rola i privilegija Oracle Confidential 22
  • 23. Primjer izvje?taja ? Mogu?nost pro?irivanja izvje?taja Mogu?nost pro?irivanja izvje?taja raznim varijablama, ?ak do nivoa kompletnog SQL-a. Oracle Confidential 23
  • 24. Alerting sustav ? Lako postavljanje uzbuna na odre?ene doga?aje na sustavu
  • 25. Zaklju?ak ?to smo dobili: ? Potpun nadzor nad svim radnjama provedenim nad produkcijskom bazom podataka ? Nadzor i mogu?nost mapiranja radnji u bazi s zahtjevima poslovne strane ? Mogu?a rekonstrukcija svih radnji u slu?aju potrebe ili incidentne situacije ? Malo optere?enje produkcijskog okru?enja ? Nu?nost kvalitetne uspostave procesa aplikativnog razvoja Oracle Confidential 25