Webinar DataVault Datamasking

Proteja la información

sensible de su BBDD Oracle

Olsen Morales

Administrador de Sistemas Oracle

12-06-2012

Agenda

1. Introducción

2. Oracle Database Vault

3. Oracle Data Masking

4. Licenciamiento

3 avanttic Consultoría Tecnológica

Introducción


1,800 Exabytes

Y se duplican

cada año…

2006 2011

Dos terceras partes de los datos sensibles y regulados residen en

bases de datos…

Más datos que nunca…

Fuente: IDC, 2011


Más regulaciones que nunca…

FISMA

Sarbanes-Oxley

Breach Disclosure

PCI

HIPAA

GLBA PIPEDA

Basel II

LOPD

Directivas europeas

sobre datos

Euro SOX

J SOX

K SOX

SAS 70

AUS/PRO

UK/PRO

Fuente: IT Policy Compliance Group

COBIT

ISO 17799

90% Compañías atrasadas en el cumplimiento

201CMR17

Responsabilidad civil

Sanciones gubernamentales

Enjuiciamiento criminal


Más fugas de información que nunca…

En 2011 se detectaron empresas en 36 países que fueron víctimas de datos

comprometidos


Más amenazas que nunca…

http://www.theage.com.au/national/vodafone-probes-its-security-20110109-19jv5.html

http://www.smh.com.au/technology/security/mobile-security-outrage-private-details-accessible-on-net-20110108-19j9j.html

http://www.infosecisland.com/blogview/12692-TripAdvisor-Member-Emails-Stolen-by-Hacker.html

http://www.epsilon.com/news-events/press-releases/2011/epsilon-notifies-clients-unauthorized-entry-email-system http://www.soe.com/securityupdate/pressrelease.vm


¿Cuál es la fuente de las fugas?

2011 Data Breach

Investigations Report


Information Rights Management

• Encriptación y enmascaramiento

• Control usuarios privilegiados

• Autorización multifactor

• Monitorización y auditoría

• Configuración de seguridad

• Database Firewall

Identity Management

Database Security

Databases

Applications

Content

Infrastructure

• Aprovisionamiento usuarios

• Gestión de roles

• Gestión de permisos

• Control basado en el riesgo

• Directorio Virtual

• Control Acceso a nivel del Documento

• Todas las copias independientemente de su ubicación (incluso mas allá del firewall)

• Auditoría y Revocación

Information

La seguridad en Oracle Seguridad de extremo a extremo


Seguridad en BBDD Oracle Innovación continua

Data Masking

TDE Tablespace Encryption

Oracle Total Recall

Oracle Audit Vault

Oracle Database Vault

Transparent Data Encryption (TDE)

Real Time Masking

Secure Config Scanning

Fine Grained Auditing

Oracle Label Security

Enterprise User Security

Virtual Private Database (VPD)

Database Encryption API

Strong Authentication

Native Network Encryption

Database Auditing

Government customer

Oracle7

Oracle8i

Oracle Database 9i

Oracle Database 10g

Oracle Database 11g


Defensa en profundidad de la BBDD Oracle

Control de acceso

• Oracle Database Vault

• Oracle Label Security

• Virtual Private Database

• Oracle Advanced Security

• Oracle Secure Backup

• Oracle Data Masking

Cifrado y enmascaramiento

Auditoría y monitorización

• Oracle Audit Vault

• Oracle Configuration Management

• Oracle Total Recall

• Oracle Database Firewall

Registro y bloqueo

Cifrado y

enmascaramiento

Control de acceso


Registro y bloqueo


• Database Vault

• Label Security

• Virtual Private

Database

• Advanced Security

• Secure Backup

• Data Masking

• Audit Vault

• Configuration

Management

• Total Recall

Cifrado y

enmascaramiento

Auditoría y

monitorización

Control de

acceso


• Monitorizar y bloquear amenazas antes de llegar a la BBDD

• Seguimiento de cambios y auditoría de la actividad de la BBDD

• Controlar el acceso a los datos dentro de la BBDD

• Impedir el acceso a usuarios externos a la BBDD

• Cifrado de los datos

• Eliminar datos sensibles de entornos no productivos

Seguridad en BBDD Oracle

Registro y bloqueo

Registro y

bloqueo


Cifrado y

enmascaramiento

Auditoría y

monitorización

Control de

acceso










Registro y

bloqueo

• Database Vault

• Label Security

• Virtual Private

Database


• Secure Backup

• Data Masking

• Audit Vault

• Configuration

Management

• Total Recall


Cifrado y

enmascaramiento

Auditoría y

monitorización

Control de

acceso









Control de acceso

Registro y

bloqueo

• Database Vault

• Label Security

• Virtual Private

Database


• Secure Backup

• Data Masking

• Audit Vault

• Configuration

Management

• Total Recall


Cifrado y

enmascaramiento

Auditoría y

monitorización

Control de

acceso









Cifrado y enmascaramiento

Registro y

bloqueo

• Database Vault

• Label Security

• Virtual Private

Database


• Secure Backup

• Data Masking

• Audit Vault

• Configuration

Management

• Total Recall


Cifrado y

enmascaramiento

Auditoría y

monitorización

Control de

acceso




• Controlar el acceso a los datos dentro de la BBDD (Database Vault)



• Eliminar datos sensibles de entornos no productivos (Data Masking)


Proteja la información sensible de su BBDD

Registro y

bloqueo

• Database Vault

• Label Security

• Virtual Private

Database


• Secure Backup

• Data Masking

• Audit Vault

• Configuration

Management

• Total Recall


Control de acceso




Control de acceso y seguridad en la base de datos

• Segregación de funciones y cotos de seguridad

• Asegura quién, dónde, cuándo y cómo accede a la base de datos:

• Asegura los mínimos privilegios a los usuarios privilegiados

• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos

• Permite consolidar de forma segura los datos de aplicaciones multicompañía

Compras

RR.HH.

Financiero

“DBA” de

aplicación

select * from finance.customers DBA

“DBA” de

seguridad

Aplicación


• Protege la Base de Datos con separación de funciones por

Aplicación/Usuario/Objeto

• Permite implementar controles de lectura/escritura de los datos de

aplicación

• Permite limitar a los DBA’s y súper usuarios el acceso a los datos

sensibles

• Permite administrar los objetos, aún cuando se limite el acceso a

los datos

• Proporciona un conjunto de informes de seguridad para control y

seguimiento de las medidas implementadas

• La protección se implementa con carácter selectivo para usuarios

y objetos concretos

Oracle Database Vault Funcionalidades


Oracle Database Vault Protegiendo aplicaciones existentes

• DBA intenta acceder a

datos de HR

Protección contra accesos

• DBA RRHH intenta acceder a

datos de Fin Eliminando riesgos de seguridad por consolidación de servidores

DBA

DBA RR.HH.

HR

HR Realm

HR

select *

from HR.emp

Fin

DBA Financiero Fin Realm

Fin


Oracle Database Vault Forzando Políticas de Acceso

• Un usuario intenta acceder

desde una IP no autorizada

Regla basada en IP bloquea la acción

• El usuario realiza una tarea no

autorizada en hora productiva

Regla basada en fecha y hora bloquea la acción

HR Realm

HR

Usuario

Select ….

Desarrollador

HR

Create, Alter …

Lunes 3 pm

Fin


Realms

• Firewall de Protección desde dentro de la propia B.D.

• Limita el ámbito de Privilegios del Sistema a aplicar

Factors

• Controles de Acceso de carácter obligatorio

• Posibilidad de Autorizaciones multi-factor

• Posibilidad de Factores a medida (PL/SQL)

Rules / Rule sets

• Asociados a Comandos de BBDD

• Motor de Reglas para manejar eventos de Exito/Fallo

Command Rules

• Reglas globales para controlar el uso de sentencias de BBDD, DDL,

DML, …

Oracle Database Vault Conceptos


Oracle Database Vault Realms - Segregación de funciones (ejemplo)

HR schema

SALES_DBA posee el role DBA y puede borrar tablas de HR

SQL> CONNECT sales_dba/password

SQL> DROP TABLE hr.bonus_it;

Table dropped.

El administrador de Database Vault crea un realm para asegurar las tablas de HR

SQL> DROP TABLE hr.bonus_it;

ORA-20401: Realm Violation for drop table

on HR.BONUS_IT

SALES_DBA intenta borrar la tabla restaurada bonus_it

1

2

3


Oracle Database Vault Realms - Acceso del propio esquema (ejemplo)

HR no puede borrar una tabla de HR dentro del realm

El administrador de Database Vault permite HR

como participante dentro del realm

SQL> DROP TABLE bonus_exec;

Table dropped.

HR es ahora capaz de borrar su propia tabla

4

5

6

SQL> DROP TABLE bonus_exec;

ORA-20401: Realm Violation for drop table

on HR.BONUS_EXEC

HR schema


Oracle Database Vault Factors (ejemplo)

RR.HH.

UPDATE hr.employees

BSANCHEZ INSERT … INTO sh.sales

Externo SELECT * FROM hr.employees

Domain = INTERNET

WorkHours = FINdeSEMANA

Domain = SEGURO


Oracle Database Vault Rule Sets

TRUE or FALSE Rule Set Result

Rule 1 TRUE or FALSE

Rule 2 TRUE or FALSE

Rule n TRUE or FALSE

AND / OR

AND / OR

AND / OR


Oracle Database Vault Rule Sets (ejemplo)

Is machine local? TRUE or FALSE

Is it a weekend? TRUE or FALSE

APP.STATUS column > 0? TRUE or FALSE

TRUE or FALSE Rule Set Result

AND / OR

AND / OR

AND / OR


Crear una regla de comando que permita a los usuarios (incluyendo

DBAs) crear vistas sobre objetos del esquema OE fuera del horario

habitual.

Oracle Database Vault Command Rules (ejemplo)


Oracle Database Vault Command Rules (ejemplo)


Oracle Database Vault Informes


Cifrado y Enmascaramiento

Oracle Data Masking


Oracle Enterprise Manager 12c Utilidades para popular entornos no productivos

Entornos no

productivos

Application Data Modeling

(identificación de datos sensibles)

Data Subsetting

(subconjunto de datos)

Data Masking

(enmascaramiento de datos)


Oracle Data Masking Anonimización irreversible de datos en entornos no productivos

• Transfiere datos de aplicación de forma segura a entornos no productivos

• Evita que desarrolladores de aplicaciones accedan a datos reales de producción

• Librerías y políticas extensibles para la automatización del enmascaramiento de

datos

• Se preserva la integridad referencial por lo que las aplicaciones continúan

funcionando correctamente

NOMBRE DNI SALARIO

ZFDGFAKJIJ 81331100-J 25,000

ASDTYHJUK 87766348-S 30,000

NOMBRE DNI SALARIO

ANA PÉREZ 12345678-A 30,000

PEDRO SÁNCHEZ 98765432-Z 25,000

Producción Desarrollo


Oracle Data Masking Proceso de enmascaramiento

Produccion Staging

Test

Desarrollo

Clonado

Mask

Clonado


Oracle Data Masking Datos nuevos y legibles con las propiedades de los datos reales

(tipo, tamaño, formato)

LAST_NAME SSN SALARY

ANSKEKSL 111-23-1111 40,000

BKJHHEIEDK 111-34-1345 60,000

KDDEHLHESA 111-97-2749 80,000

FPENZXIEK 111-49-3849 45,000

LAST_NAME SSN SALARY

AGUILAR 203-33-3234 40,000

BENSON 323-22-2943 60,000

D’SOUZA 989-22-2403 80,000

FIORANO 093-44-3823 45,000


• Detección automática de integridad referencial al enmascarar claves primarias:

• Implícita – forzada por DB

• Explícita – forzada por la aplicación

• Cambios agrupados en columnas dependientes

• Librería de formatos de enmascaramiento

• Visualización de ejemplo “pre-view”

• Templates

• Define una vez, ejecuta múltiples veces

• Incremental

• Código generado eficiente para grandes volúmenes de datos

Oracle Data Masking Características principales


Oracle Data Masking Referential Integrity Enforcement

Database

enforced

Application

enforced


Random Number/String/Date, Shuffle, Substring, Table Column

Oracle Data Masking Librería de formatos de enmascaramiento


Formatos para tipos comunes de datos sensibles, como números de

tarjetas de crédito, de teléfono, códigos de seguro social, etc.

Oracle Data Masking Librería de formatos de enmascaramiento


Oracle Data Masking Formatos definidos por el usuario


• Basada en condiciones: Formatos de máscara diferentes sobre el

mismo conjunto de datos en función de las filas que cumplen las

condiciones

Ejemplo: Código identificación personal basada en el país de origen

• Compuesta: Asegura que un conjunto de columnas relacionadas se

enmascara como un grupo, para garantizar que se mantiene la

coherencia y relación después de enmascarar

Ejemplo: Ciudad + estado + código postal como un grupo

• Determinista: Permite repetir valores ocultados después de ejecutar

el proceso de enmascaramiento

Ejemplo: Número cliente ocultado con mismo valor en varias BBDD

Oracle Data Masking Técnicas sofisticadas de ocultación


• Valida la unicidad de las

claves

• Coherencia de los

formatos con los tipos de

las columnas

• Espacio disponible

• Restricciones de

constraints

• Que existan particiones

por defecto

Oracle Data Masking Validación previa


• Import/Export XML con definiciones de enmascaramiento

• Generación de script de enmascaramiento en PL/SQL (friendly)

• Post-Mask SQL para LOBs, attachments, valores acumulados, …

• Generación de REDO para permitir FLASHBACK al estado previo

en test

Optimizaciones:

Recolección de estadísticas antes y después del proceso

Una operación bulk para todas las columnas de una tabla

CTAS para recrear las tablas enmascaradas

Sentencias con NOLOGGING

Paralelismo

Oracle Data Masking Ejecución


Licenciamiento


• Ambas son opciones de BBDD Enterprise Edition

• Se licencian del mismo modo que la BBDD asociada:

• Por NUP o por Processors

• Igual número de licencias

• Data Masking no es necesario licenciarlo en las BBDD de destino

Licenciamiento Oracle Database Vault y Oracle Data Masking

Produccion Staging

Test

Desarrollo

Clonado

Mask

Clonado


Preguntas

Para más información contacte con nosotros a través de [email protected]

MADRID

Orense 85

28020 Madrid

Tel. 91 116 17 89

BARCELONA

Aragó 182, 4º planta

08011 Barcelona

Tel. 93 151 84 51

[email protected]

Date post:	12-Jun-2015
Category:	Documents
Upload:	avanttic-consultoria-tecnologica
View:	801 times
Download:	3 times

Webinar DataVault Datamasking

Documents