Db security vaba information age 2010 v6.ppt [compatibility m

Sigurnost na nivou baze podataka

Nikola Pajnogač, VABA
Morana Kobal Butković, Oracle Hrvatska

Izazovi vezani uz sigurnost podataka

• Što štititi?
• Osjetljivi podaci: povjerljivi, osobni (PII), regulatorni zahtjevi
• Podaci unutar aplikacija različitih proizvoñača
• Sigurni životni ciklus: kreiranje, transport, pohranjivanje, backup, test
• Kako zaštiti podatke u postojećim sustavima?
• Transparentno?
• Gubitak podataka, neodobreni pristup, segregacija dužnosti
• Možemo li zadovoljiti poslovne zahtjeve?
• Fleksibilno, transparentno, usklañeno s regulativom?
• Osigurati aplikacije različitih proizvoñača?
• Možemo li smanjiti operativne troškove?
• Jednostavno upravljanje?
• Performanse?

2

anketa: Poslovni podaci i rizik
The 2009 IOUG Data Security Report:
Smanjivanje budžeta dovodi do povećanja rizika

Samo 21% Samo 20% Samo 12%
kriptira osobne kriptira promet kriptira backupe i eksporte
podatke u svim prema bazama baza podataka
bazama podataka
50% 48% 70%
nije svjesno svih kaže da korisnici mogu koristi auditing, ali se
baza s osjetljivim podatke dostupiti mimo samo 18% automatski
podacima aplikacije monitorira

61% 67% Manje od 30%
nemože spriječiti nemože otkriti je li monitorira čitanje/pisanje
administratore da to rañeno osjetljivih podataka
čitaju/mijenjaju osjetljive
podatke

Osiguranje podataka u bazi

• Kriptiranje • Monitoriranje
aktivnosti
• Maskiranje
• Praćenje promjena
• Klasifikacija
• Otkrivanje i
• Kontrola pristupa
procjena
• Sigurne
Detection konfiguracije

Oracle Advanced Security
Transparent Data Encryption

Disk

Backups

Exports

Application
Off-Site
Facilities

• Kriptiranje podataka na mediju za pohranu
• Transparentno za aplikacije
• Efikasno kriptiranje svih aplikacijskih podataka
• Ugrañeno upravljanje ključevima

Oracle Advanced Security
Kriptiranje mrežnog prometa i pojačana autentikacija

• Na standardima bazirano kriptiranje podataka na prijenosnom putu
• Autentikacija korisnika i servera korištenjem autentikacijskih
rješenja drugih proizvoñača
• Izmjene u infrastrukturi nisu potrebne
• Jednostavnost implementacije

Oracle Data Masking
Nepovratna deidentifikacija podataka

Production Non-Production
LAST_NAME SSN SALARY LAST_NAME SSN SALARY

AGUILAR 203-33-3234 40,000 ANSKEKSL 111—23-1111 60,000

BENSON 323-22-2943 60,000 BKJHHEIEDK 222-34-1345 40,000

• Uklanjanje osjetljivih podataka iz ne-produkcijskih baza podataka
• Očuvanje referencijalnog integriteta i kompatibilnosti aplikacija
• Osjetljivi podaci nikada ne napuštaju baze podataka
• Proširiva biblioteka uzoraka i pravila za automatizaciju maskiranja

Oracle Confidential 7

Oracle Database Vault
Separacija dužnosti i kontrola privilegiranih korisnika

Procurement
DBA
HR
Application
Finance
select * from finance.customers

• Separacija dužnosti administratora baze podataka
• Limitiranje mogućnosti privilegiranih korisnika
• Konsolidiranje podataka različitih aplikacija na siguran način
• Nije potrebna prilagodba aplikacija

Oracle Database Vault
Više-faktorska kontrola pristupa

Procurement

HR

Application Rebates

• Zaštita aplikacijskih podataka i sprečavanje dostupa podacima
zaobilaženjem aplikacija
• Definiranje tko, gdje, kada i kako dostupa podatke korištenjem pravila i
faktora
• Predefinirana pravila pristupa za Oracle aplikacije kao i prilagodba
pravila pristupa ovisno o pojedinim aplikacijama

Oracle Audit Vault
Automatizirano monitoriranje aktivnosti i izvještavanje

HR Data ! Alerts

Built-in
CRM Data Reports
Audit
Data Custom
ERP Data Reports

Databases Policies
Auditor

• Konsolidiranje podataka o nadzoru u sigurni repozitorij
• Detektiranje i uzbunjivanje o sumnjivim aktivnostima
• Predefinirani izvještaji u skladu s regulativom
• Centralizirano upravljanje postavkama nadzora

Zašto korisnici u regiji investiraju u
sigurnosne opcije baze podataka?
• Advanced Security za kriptiranje osobnih podataka zaposlenika
• Advanced Security za usklañivanje s internacionalnom ili nacionalnom
regulativom kroz kriptiranje povjerljivih podataka o korisnicima
• DB Vault za separaciju dužnosti pri administraciji baza podataka
• DB Vault za sprečavanje internih korisnika i administratora u dostupu
do osjetljivih informacija i dostavljanju tih informacija konkurenciji
• DB Vault, Advanced Security, Data Masking za sprečavanje
sigurnosnih incidenata od strane vanjskih suradnika ili administratora
koji rade unutar iste kompanije
• Audit Vault kao infrastruktura za nadzor usklañena sa zahtjevima
auditora
• Audit Vault za dugotrajno pohranjivanje podataka o nadzoru prema
zahtjevima nacionalnih banaka

Studija slučaja

Implementacija Oracle Audit Vaulta u
VABA Banka Varaždin

VABA d.d.
Banka Varaždin

• Osnovana 2005. godine
• Regionalna banka, orijentirana na sjeverozapadnu
Hrvatsku
• Približno 190 zaposlenih
• 11 poslovnica, 2 središnje lokacije
• Vlastiti razvoj
• Produkcijski sustav banke zasnovan na Oracle bazi
podataka i Javi kao aplikacijskom sloju

Poslovni zahtjevi

• Osigurati nadzor aktivnosti nad produkcijskim okruženjem
banke
• Omogućiti neporecivost i dokazivost svih radnji nad bazom
• dokumentiranje i bilježenje korisničke aktivnosti
• preventivno odvraća korisnike od nedozvoljenih aktivnosti
• Jednostavnost izvješćivanja
• Mogućnost čuvanja audit podataka minimalno godinu dana
• Posebna pažnja usmjerena na proces aplikativnog razvoja
– povezivanje zahtjeva poslovne strane s radnjama na bazi

Implementacija Audit Vaulta
u sustav VABA banke

• Auditing na bazi implementiran 1.1.2009.
• Do travnja 2010. oko 25 GB podataka
• Relativno jednostavna instalacija
• Audit Vault servis radi malo opterećenje
• Manji problemi tijekom korištenja (većinom poboljšani
nakon patchiranja na najnoviju verziju Audit Vaulta
10.2.3.2)

Infrastruktura

• Hardver/OS:
• Oracle Audit Vault Server:
• Intel server, Xeon CPU, 4 GB RAM
• Red Hat Linux 3.5
• Oracle Baza:
• Intel server, Xeon CPU, 8 GB RAM
• Windows 2003 klaster
• Manualno prebacivanje Audit Vault servisa u slučaju
pada dijela klastera

Audit Vault - konzola

Centralni pregled sustava
• Pregled uzbuna po:
• Mjestu nastanka
• Vrsti dogañaja
Pregled uzbuna
• Popis posljednjih
uzbuna
• Najčešće pristupani
objekti
• Neuspjele prijave na
bazu


Postavke auditinga

• Postavke auditinga (Audit Policy) su centralizirano
definirane na jednaki način za sve korisničke i
povlaštene (SYSDBA, SYSOPER, …) račune na bazi
• Za ostale račune prati se prijava i odjava na bazu

Izvještavanje

Predefinirani izvještaji
• Što je sve korisnik A radio na bazi podataka
• Što je privilegirani korisnik radio u posljednja 24 sata
• Pristup i mijenjanje podataka/procedura
• Promjene strukture baze podataka
• Akcije visoko privilegiranih korisnika/administratora
• Dodavanje novih korisničkih računa te prava pristupa
• Rana detekcija sumnjivih aktivnosti

Primjer izvještaja

• Promjene na spremljenim procedurama

Primjer izvještaja

• Primjer pogrešne prijave na sustav

Primjer izvještaja

• Dodavanje rola i privilegija


Primjer izvještaja

• Mogućnost proširivanja izvještaja
Mogućnost
proširivanja
izvještaja raznim
varijablama, čak do
nivoa kompletnog
SQL-a.


Alerting sustav

• Lako postavljanje uzbuna na odreñene dogañaje na
sustavu

Zaključak

Što smo dobili:
• Potpun nadzor nad svim radnjama provedenim nad
produkcijskom bazom podataka
• Nadzor i mogućnost mapiranja radnji u bazi s
zahtjevima poslovne strane
• Moguća rekonstrukcija svih radnji u slučaju potrebe ili
incidentne situacije
• Malo opterećenje produkcijskog okruženja
• Nužnost kvalitetne uspostave procesa aplikativnog
razvoja
• Usklañenost s člankom 21. Odluke HNB-a(2007)


Db security vaba information age 2010 v6.ppt [compatibility m

Db security vaba information age 2010 v6.ppt [compatibility m

More Related Content

Viewers also liked (18)

Similar to Db security vaba information age 2010 v6.ppt [compatibility m (20)

More from Oracle Hrvatska (19)

Db security vaba information age 2010 v6.ppt [compatibility m