Oracle Audit Vault
Transcrição
Oracle Audit Vault
<Insert Picture Here> Oracle Audit Vault [email protected] Agenda •Solução de Segurança Oracle • Autenticação • Autorização • Privacidade e Integridade • Auditoria Solução de Segurança Oracle Segurança no banco de dados Gerenciamento de identidades Oracle Advanced Security Oracle Access Manager Oracle Label Security Oracle Identity Manager Oracle Database Vault Oracle Identity Federation Oracle Secure Backup Oracle Virtual Directory Oracle Secure Enterprise Search Oracle Internet Directory Criptografia de dados Oracle Directory Integration Platform Acesso granular Oracle Enterprise Single Sign-On Oracle Database Security 30 anos de inovação Oracle Audit Vault Oracle Database Vault DB Security Evaluation #19 Transparent Data Encryption EM Configuration Scanning Fine Grained Auditing (9i) Secure application roles Client Identifier / Identity propagation Oracle Label Security Proxy authentication Enterprise User Security Global roles Virtual Private Database (8i) 1977 Database Encryption API Strong authentication (PKI, Kerberos, RADIUS) Native Network Encryption (Oracle7) Database Auditing Government customer 2007 Segurança ponta a ponta Dados Usuários KING Org 10 Network Org 20 uthenticate sfING SCOTT 14220 SCOjd PIERMAR 17170 ByAgE SMITH KNOX 12029 KYTE 17045 gAMES 12032 fONES HOECHST 18029 MIER CAREY Org 30 18031 Admin Autenticação Privacidade e Integridade das Comunicações Controle Privacidade de Acesso e Integridade dos Dados Auditoria Abrangente Segurança de Ponta a Ponta Autenticação Garantir que o usuário é realmente quem diz ser. Autorização Privacidade e Integridade Auditoria Autenticação Reforçada • Servidores de autenticação suportados • • • • • • LDAP v3 Kerberos CyberSafe Win2K/XP KDC Entrust Radius • Smartcards • SecurID tokens • Dispositivos biométricos Oracle10g Database Ex : scanners de retina e de digitais Security Server Segurança de Ponta a Ponta Autenticação Autorização Verificação de quais privilégios e recursos o usuário pode acessar. Privacidade e Integridade Auditoria Virtual Private Database • • • • Quais linhas cada usuário pode acessar/manipular ? Regras sensíveis a colunas Desonera a camada de aplicações Política Fine Grained Access + Application Context as t o N Analista_SP Select * from notas_fiscais Where cod_contrib = 20 Select * from notas_fiscais Analista_RS Where cod_contrib = 10 Oracle Label Security Chevron Chevron BP Amoco Oracle Label Security ExxonMobil BP Amoco ExxonMobil Conoco Para garantir privacidade cria-se diversas instâncias de banco de dados aumentando complexidade e custo administrativo Conoco Solução Oracle: Label Security Segurança centralizada dos dados reduzindo custos de administração VPD Controle de acesso – Label Security Levels Vice Presidente Gerentes Funcionários Controle de acesso – Label Security Levels + Comercial Compartments Vice Presidente Gerentes Funcionários Crédito Marketing Controle de acesso – Label Security Levels + Comp. + Groups Vice Presidente Gerentes Funcionários Comercial Crédito Marketing Controle de acesso User Alex Label VP : Comercial : SP Tabela Gerente : Comercial : SP Gerente : Comercial : RS, SC Funcion. : Comercial : MG, SP VP : Marketing : RJ Funcion. : Credito VP : Comercial : RS Levels User Scott Label Gerente : Comercial : SP : SP Groups Compartments Oracle Label Security Integração OLS e OID Oracle Database Vault • Benefícios • Conformidade com Regulamentações • Prevenção à usuários internos • Separação de responsabilidades DBA 10.125.232.12 • Características • Primeira solução de segurança em banco de dados que restringe os privilégios dos DBAs • Controle baseado em IP, horário,etc • Evita o acesso de “super-usuários” CRM Contribuintes Oracle Database Vault Financeiro OE GL RH PER BEN Outras aplicações OLTP OLAP Alter System Segurança de Ponta a Ponta Autenticação Autorização A necessidade de proteger informações sensíveis, para que não sejam vistas nem alteradas indiscriminadamente. Privacidade e Integridade Auditoria Criptografia no Transporte Todos os protocolos : SQL*Net, Net8, IIOP, Thick JDBC, Thin JDBC Web Server Oracle Servers Browser Clients SQL Clients Configuração Criptografia de Rede Criptografia no Armazenamento First Diana Paul Julia Steven Last Roberts Nelson Patterson Drake Store Id 100 200 100 300 Credit Card !3Asjfk234 #k230d23* [email protected] #dkal3j49I3! • Chave simétrica armazenada em uma wallet protegida por senha no S.O Segurança de Ponta a Ponta Autenticação Autorização Privacidade e Integridade Auditoria Processo que assegura que as atividades dos usuários estão gravadas e eventos suspeitos são revisados. Desafios da Auditoria • O que deve-se auditar? • Dados modificados: • Quem realizou? • O que realizou? • Consulta de dados sensíveis: • Quem consultou? • Quem tentou consultar? • Auditoria x Tecnologia • Como auditar as atividades no banco, sem impacto na performance? Auditoria : Fine-grained Auditing Política de Auditoria Não auditado ... WHERE SALARY > 10000 AUDIT COLUMN = SALARY SELECT NAME, ADDRESS FROM EMP SELECT NAME, SALARY FROM EMP WHERE POSITION = ‘VP’ Registros Auditados EES Y O L EMP SELECT NAME, SALARY FROM EMP WHERE POSITION = ‘VP’, <timestamp>, <username>, etc. Oracle Audit Vault Confie,mas verifique. • Coletar e consolidar dados de auditoria • A partir do Oracle 9i Release 2 • Simplifica geração de relatórios Monitor • Pré-definidos • Customizados • Detecta e previne ataques internos Políticas Segurança Relatórios • Alerta atividade suspeita • Escalável e seguro • Database Vault, Advanced Security • Partitioning • Diminui custos com políticas de auditoria Oracle 9iR2 • Centralização do gerenciamento/provisionamento de políticas 10gR2 10gR1 (Futuro) Outras fontes Oracle Audit Vault - Relatórios • Relatórios pré-definidos • • • • • Atividade de usuários DBAs Acesso a dados confidenciais Grant aos perfis Atividade de DDLs Login/logout • Relatórios – usuário final • O que determinado usuário fez no banco financeiro? • O que um usuário fez nos BDs? • Quem acessou dados sensíveis? • Relatórios customizados • Oracle BI Publisher, Application Express, ou outras ferramentas Oracle Audit Vault - Alertas • Alertas podem ser definidos para: • Leitura de dados sensíveis • Criação de usuários em sistemas confidenciais • Privilégios em sistemas confidenciais • Grant de “DBA” • Falhas de logins dos usuários • … • Alertas são avaliados na chegada • Gera relatórios de comportamentos suspeitos Oracle Audit Vault - Políticas Banco RH • Políticas de auditoria centralizadas • Compara com configurações existentes nas fontes • Provisionamento centralizado • Mostrar conformidade Banco Financeiro Config de privilágios Config de auditoria SOX Banco CRM Configuração de privacidade Audit Vault Administrator Oracle Audit Vault Data Warehouse Escalável e Flexível • Audit Warehouse • Permite Business Intelligence • Criação de relatórios • Audit Vault Warehouse - Dimensões • Tempo, Servidor, Fonte, Usuário, Evento, … • Metadados documentados • Ferramentas de BI • Desempenho e escalabilidade • Particionamento embutido • Escalável • Certificado para o Oracle RAC Oracle Audit Vault - Segurança • Proteção nativa • • Transmissão criptografada de dados Separação de funções • Audit Vault Administrator • Audit Vault Auditor • Utiliza • • Oracle Database Vault Oracle Advanced Security Oracle Audit Vault - Dashboard Visão global de segurança e conformidade