Oracle Audit Vault

<Insert Picture Here>
Oracle Audit Vault
[email protected]
Agenda
•Solução de Segurança Oracle
• Autenticação
• Autorização
• Privacidade e Integridade
• Auditoria
Solução de Segurança Oracle
Segurança no banco de dados
Gerenciamento de identidades
Oracle Advanced Security
Oracle Access Manager
Oracle Label Security
Oracle Identity Manager
Oracle Database Vault
Oracle Identity Federation
Oracle Secure Backup
Oracle Virtual Directory
Oracle Secure Enterprise Search
Oracle Internet Directory
Criptografia de dados
Oracle Directory Integration Platform
Acesso granular
Oracle Enterprise Single Sign-On
Oracle Database Security
30 anos de inovação
Oracle Audit Vault
Oracle Database Vault
DB Security Evaluation #19
Transparent Data Encryption
EM Configuration Scanning
Fine Grained Auditing (9i)
Secure application roles
Client Identifier / Identity propagation
Oracle Label Security
Proxy authentication
Enterprise User Security
Global roles
Virtual Private Database (8i)
1977
Database Encryption API
Strong authentication (PKI, Kerberos, RADIUS)
Native Network Encryption (Oracle7)
Database Auditing
Government customer
2007
Segurança ponta a ponta
Dados
Usuários
KING
Org 10
Network
Org 20
uthenticate
sfING
SCOTT
14220 SCOjd
PIERMAR
17170 ByAgE
SMITH
KNOX
12029
KYTE
17045 gAMES
12032
fONES
HOECHST 18029
MIER
CAREY
Org 30
18031
Admin
Autenticação
Privacidade
e Integridade
das Comunicações
Controle
Privacidade
de Acesso e Integridade
dos Dados
Auditoria
Abrangente
Segurança de Ponta a Ponta
Autenticação
Garantir que o usuário é
realmente quem diz ser.
Autorização
Privacidade e Integridade
Auditoria
Autenticação Reforçada
• Servidores de autenticação suportados
•
•
•
•
•
•
LDAP v3
Kerberos
CyberSafe
Win2K/XP KDC
Entrust
Radius
• Smartcards
• SecurID tokens
• Dispositivos biométricos
Oracle10g
Database
Ex : scanners de retina e de digitais
Security
Server
Segurança de Ponta a Ponta
Autenticação
Autorização
Verificação de quais
privilégios e recursos o
usuário pode acessar.
Privacidade e Integridade
Auditoria
Virtual Private Database
•
•
•
•
Quais linhas cada usuário pode acessar/manipular ?
Regras sensíveis a colunas
Desonera a camada de aplicações
Política
Fine Grained Access + Application Context
as
t
o
N
Analista_SP
Select * from notas_fiscais
Where cod_contrib = 20
Select * from notas_fiscais
Analista_RS
Where cod_contrib = 10
Oracle Label Security
Chevron
Chevron
BP Amoco
Oracle
Label Security
ExxonMobil
BP Amoco
ExxonMobil
Conoco
Para garantir privacidade cria-se diversas
instâncias de banco de dados
aumentando complexidade e custo
administrativo
Conoco
Solução Oracle: Label Security
Segurança centralizada dos dados
reduzindo custos de administração
VPD
Controle de acesso – Label Security
Levels
Vice Presidente
Gerentes
Funcionários
Controle de acesso – Label Security
Levels +
Comercial
Compartments
Vice Presidente
Gerentes
Funcionários
Crédito
Marketing
Controle de acesso – Label Security
Levels
+ Comp.
+ Groups
Vice Presidente
Gerentes
Funcionários
Comercial
Crédito
Marketing
Controle de acesso
User
Alex
Label
VP : Comercial : SP
Tabela
Gerente
: Comercial : SP
Gerente
: Comercial : RS, SC
Funcion.
: Comercial : MG, SP
VP
: Marketing : RJ
Funcion.
: Credito
VP
: Comercial : RS
Levels
User
Scott
Label
Gerente : Comercial : SP
: SP
Groups
Compartments
Oracle Label Security
Integração OLS e OID
Oracle Database Vault
• Benefícios
• Conformidade com Regulamentações
• Prevenção à usuários internos
• Separação de responsabilidades
DBA
10.125.232.12
• Características
• Primeira solução de segurança em banco de
dados que restringe os privilégios dos DBAs
• Controle baseado em IP, horário,etc
• Evita o acesso de “super-usuários”
CRM
Contribuintes
Oracle Database Vault
Financeiro
OE
GL
RH
PER
BEN
Outras aplicações
OLTP
OLAP
Alter System
Segurança de Ponta a Ponta
Autenticação
Autorização
A necessidade de
proteger informações
sensíveis, para que não
sejam vistas nem
alteradas
indiscriminadamente.
Privacidade e Integridade
Auditoria
Criptografia no Transporte
Todos os protocolos : SQL*Net, Net8, IIOP, Thick JDBC,
Thin JDBC
Web
Server
Oracle
Servers
Browser Clients
SQL Clients
Configuração Criptografia de Rede
Criptografia no Armazenamento
First
Diana
Paul
Julia
Steven
Last
Roberts
Nelson
Patterson
Drake
Store Id
100
200
100
300
Credit Card
!3Asjfk234
#k230d23*
[email protected]
#dkal3j49I3!
• Chave simétrica armazenada em uma wallet
protegida por senha no S.O
Segurança de Ponta a Ponta
Autenticação
Autorização
Privacidade e Integridade
Auditoria
Processo que assegura
que as atividades dos
usuários estão gravadas
e eventos suspeitos são
revisados.
Desafios da Auditoria
• O que deve-se auditar?
• Dados modificados:
• Quem realizou?
• O que realizou?
• Consulta de dados sensíveis:
• Quem consultou?
• Quem tentou consultar?
• Auditoria x Tecnologia
• Como auditar as atividades no banco, sem impacto na
performance?
Auditoria : Fine-grained Auditing
Política de Auditoria
Não
auditado
...
WHERE SALARY > 10000
AUDIT COLUMN =
SALARY
SELECT NAME,
ADDRESS FROM EMP
SELECT NAME, SALARY
FROM EMP WHERE
POSITION = ‘VP’
Registros Auditados
EES
Y
O
L
EMP
SELECT NAME,
SALARY FROM EMP
WHERE POSITION =
‘VP’, <timestamp>,
<username>, etc.
Oracle Audit Vault
Confie,mas verifique.
• Coletar e consolidar dados de auditoria
• A partir do Oracle 9i Release 2
• Simplifica geração de relatórios
Monitor
• Pré-definidos
• Customizados
• Detecta e previne ataques internos
Políticas
Segurança
Relatórios
• Alerta atividade suspeita
• Escalável e seguro
• Database Vault, Advanced Security
• Partitioning
• Diminui custos com políticas de auditoria
Oracle 9iR2
• Centralização do
gerenciamento/provisionamento de políticas
10gR2
10gR1
(Futuro)
Outras fontes
Oracle Audit Vault - Relatórios
• Relatórios pré-definidos
•
•
•
•
•
Atividade de usuários DBAs
Acesso a dados confidenciais
Grant aos perfis
Atividade de DDLs
Login/logout
• Relatórios – usuário final
• O que determinado usuário fez no
banco financeiro?
• O que um usuário fez nos BDs?
• Quem acessou dados sensíveis?
• Relatórios customizados
• Oracle BI Publisher, Application
Express, ou outras ferramentas
Oracle Audit Vault - Alertas
• Alertas podem ser definidos para:
• Leitura de dados sensíveis
• Criação de usuários em sistemas
confidenciais
• Privilégios em sistemas
confidenciais
• Grant de “DBA”
• Falhas de logins dos usuários
• …
• Alertas são avaliados na chegada
• Gera relatórios de comportamentos
suspeitos
Oracle Audit Vault - Políticas
Banco RH
• Políticas de auditoria
centralizadas
• Compara com configurações
existentes nas fontes
• Provisionamento centralizado
• Mostrar conformidade
Banco
Financeiro
Config de
privilágios
Config de
auditoria
SOX
Banco CRM
Configuração
de privacidade
Audit Vault
Administrator
Oracle Audit Vault Data Warehouse
Escalável e Flexível
• Audit Warehouse
• Permite Business Intelligence
• Criação de relatórios
• Audit Vault Warehouse - Dimensões
• Tempo, Servidor, Fonte, Usuário, Evento, …
• Metadados documentados
• Ferramentas de BI
• Desempenho e escalabilidade
• Particionamento embutido
• Escalável
• Certificado para o Oracle RAC
Oracle Audit Vault - Segurança
• Proteção nativa
•
•
Transmissão criptografada de
dados
Separação de funções
• Audit Vault Administrator
• Audit Vault Auditor
• Utiliza
•
•
Oracle Database Vault
Oracle Advanced Security
Oracle Audit Vault - Dashboard
Visão global de segurança e conformidade