or its affiliates. All rights reserved

1

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.

Oracle adatbázis biztonság és újdonságok Fekete Zoltán Principal sales consultant http://blogs.oracle.com/zfekete

ORACLE PRODUCT LOGO 2


The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

3


Oracle Corporation

MÉRET • 36,9 milliárd USD bevétel gördülő 12 hónapos alapon*

INNOVÁCIÓ • 34 000 fejlesztő és mérnök

• #1 – 50 termék/iparág kategóriában

• 18 000 ügyfél support szakértő, 29 nyelven beszélve

• 24 milliárd USD R&D 2004 óta

• 18 000 implementációs konzultáns

• 50 milliárd USD, >80 felvásárlás

• 390 000 ügyfél 145 országban

• 15 millió fejlesztő az Oracle online közösségekben

• 25 000 partner

• Évente 2 millió hallgató támogatása

• 115 000 alkalmazott

• 900 független Oracle felhasználói csoport 500 000 taggal

* GAAP revenue reported in USD as of August 31, 2012

4


Integrált alkalmazás – diszk menedzsment Hardware, OS, Virtualizáció Adatbázis

• Piacvezető önmenedzselő adatbázis képességek • Fizikai és virtuális rendszerek teljes életciklusának menedzselése 5


Köztesszoftverek

• Integrált, mélyreható Middleware menedzsment • WebLogic, SOA, Portal, Identity Mgmt, BI

Alkalmazások

• Fusion alkalmazások teljeskörű menedzsmentje

A teljes kínálat

Teljes, integrált alkalmazás-diszk menedzsment

Oracle Junior/Master program  Évente 1000-1500 fő

közötti regisztrált hallgató  Évente 150-250 fő sikeresen vizsgázó hallgató  Évente 5-25 fő helyezkedett el Oracle szakembert foglakoztató cégeknél

6


Részvétel a Junior/Master programban  1. regisztráció a szemináriumra:

http://www.houg.hu/juniorkepzes  2. Részvétel a szemináriumokon A vizsgarészvételhez minimum 9 előadás  3. Vizsga  4. Sikeres vizsgázók bekerülnek az „Oracle Master” adatbázisba, ezzel lehetőséget kapnak a részvételre a Master képzésben  5. Sikeres megegyezés esetén munkalehetőség és részvétel a Master képzésben

7


Projektek az Oracle-ben http://www.oracle.com/us/corporate/careers/college/064943.pdf http://www.sg.hu/cikkek/95792/az_oracle_is_tobb_it_szakembert_szeretne

8


9


Az előadás témái  Adatbázis titkosítás  Audit Vault and Database Firewall

 Teszt adatbázisok maszkolása  Security újdonságok, Oracle Database stratégia

10


Hol tartunk ma? Oracle Database 11g Release 2  Kipróbált, stabil verzió  Megjelenés: 2009. szeptember 1. Oracle Enterprise Manager  üzemeltetés, monitorozás, menedzsment  EM Cloud Control 12c: 2011. szeptember  EM Cloud Control 12cR2: 2012. szeptember

11


Oracle Database Editions Kiadások, funkciók, opciók

Magas szinten:  http://www.oracle.com/us/products/database/enterprise-

edition/comparisons/index.html

Részletesebben: Oracle Database Licensing Information  http://docs.oracle.com/cd/E11882_01/license.112/e10594.pdf

12


Mennyire biztonságosak az adatbázisok? 2011 IOUG Data Security Survey eredményei

13

70%

Az adatok adatbázis fájlokban vagy a tároló OS szinten olvasható

57%

Direkt elérés is van az adatbázisokhoz (alkalmazás kikerülés)

24%

DBA-k nem érik el az adatokat sem a tárolt eljárásokat

63%

Nem tettek lépéseket az SQL injection támadások megelőzéséért

69%

Nem monitorozzák az érzékeny adatok elérését

48%

Érzékeny adatokat is visznek a teszt/fejlesztői rendszerekbe


Oracle Database Az adatbázisok mélységi védelme

Titkosítás és maszkolás • Oracle Advanced Security • Oracle Secure Backup • Oracle Data Masking, Test Data Man.

Hozzáférés szabályozás • Oracle Database Vault • Oracle Label Security

Monitorozás Titkosítás és maszkolás Hozzáférés szabályozás Monitorozás Blokkolás és logolás

14


• Oracle Audit Vault & Database Firewall • Oracle Configuration Management • Oracle Total Recall

Blokkolás és logolás • Oracle Audit Vault & Database Firewall

Oracle Database Editions

15


Oracle Advanced Security Adatbázis titkosítás, OS-szintű védelem, akár HSM (HW Sec. Module) Diszk

Alkalmazás

Mentés Export Szállítás

• Minden alkalmazás adat hatékony titkosítása (jobb mint az alkalmazás-szintű titkosítás), Transparent Data Encryption • Tablespace vagy column encryption • Mozgó adatok szabványos titkosítása, network encryption • Erős authentikáció támogatása • Az alkalmazások nem változnak!!! 16


Végpontok közötti adattitkosítás Táblatér titkosításra HW támogatás Oracle Solaris 11 és SPARC T4  CPU-intenzív titkosító utasítások

automatikusan a SPARC T4 titkosító gyorsítóján hajtódnak végre

Unified Key Management

SSL

SSL

SSL

Weblogic

Storage

SSL

 Nagyteljesítményű biztonság

Intel® CPUs w AES-NI: a set of New Instructions for the Advanced Encryption Standard. 17


Oracle Fusion Middleware

SSL

Oracle Database

SOAP

 Oracle DB Advanced Security

Transparent Data Encryption (TDE) hardver gyorsítással

SSL

IPsec (VPN)

Solaris ZFS File System

Storage

Tablespace Encrypt

Oracle Database Vault Felelősségi körök szétválasztása, kiváltságos felhasználók szabályozása 

Az alkalmazások biztonságának megkerülése ellen  Az előírásoknak való megfelelés: Sarbanes-Oxley, Graham-Leach Bliley, Basel II, Hpt 13/b, Tpt 101/a erős belső szabályozást és a felelősségi körök szétválasztását igényli.  A belső támadások elleni védekezés kikényszeríti az üzemeltetési biztonsági szabályok betartását. - Ki, mikor, hol férhet hozzá az adatokhoz.  Adatbázis konszolidációs stratégia: megelőző intézkedés kell a kiváltságos (DBA, fejlesztő, SYSTEM, ...) felhasználókkal szemben.

18


Oracle Database Vault Felelősségi körök szétválasztása kiváltságos felhasználók szabályozása

Procurement

DBA

HR

Alkalmazás

Finance

select * from finance.customers

 DBA feladatok szétválasztása  Kiváltságos felhasználók korlátozása

 Adatok biztonságos konszolidációja  Nincs szükség alkalmazás változtatásra  Támogatja az Oracle Exadata-t is 19


Bemutatjuk

20


Database auditálási esetek 

Az adatbázis tevékenységekről átfogó információgyűjtés – Ki, mit, mikor, hol? – Előtte/utána értékek – Teljes végrehajtási és alkalmazási környezet, a séma infóval együtt



Auditáljunk minden utat az adatbázishoz – SQL végrehajtás a tárolt eljárásokban – Közvetlen kapcsolatok – Ütemezett és operatív tevékenységek

 21

Hogyan? Gyakran ugyanabban az adatbázisban!!! Rizikó!


Adatbázis tevékenység monitorozási esetek 

A hálózaton jövő adatbázis tevékenységek monitorozása – Az SQL-ből gyűjteni: ki, mit, mikor, hol?

– Valós idejű monitorozás, nem érinti a DB szerver munkáját



Megakadályozni: SQL injection és nem engedélyezett tev.



A szervezet biztonsági előírásainak (sec. policy) megfelelés – Adatelérés: csak az engedélyezett utakon/módokon – Adatelérés: csak munkaidőben

– Adatelérés: csak az engedélyezett eszközökkel – Adatelérés: csak az engedélyezett munkaállomásokról – ... 22


Miért nehéz a pontos célzás? Miért fontos? • 10 000 tranzakció/s 

864 millió/nap • 0,001% fals pozitív  60 000 hiba/hét • Baj történhet: akár egy fals negatív!!! • Reguláris kifejezések egyezés vizsgálatánál könnyű tévedni

23


"(?:\b(?:(?:s(?:elect\b(?:.{1,100}?\b(?:(?:length|count|top)\b.{1,100}?\bfro m|from\b.{1,100}?\bwhere)|.*?\b(?:d(?:ump\b.*\bfrom|ata_type)|(?:to_(?:num be|cha)|inst)r))|p_(?:(?:addextendedpro|sqlexe)c|(?:oacreat|prepar)e|execu te(?:sql)?|makewebtask)|ql_(?:longvarchar|variant))|xp_(?:reg(?:re(?:movem ultistring|ad)|delete(?:value|key)|enum(?:value|key)s|addmultistring|write )|e(?:xecresultset|numdsn)|(?:terminat|dirtre)e|availablemedia|loginconfig |cmdshell|filelist|makecab|ntsec)|

u(?:nion\b.{1,100}?\bs

elect|tl_(?:file|http))|group\b.*\bby\b.{1,100}?\bhaving|d(?:elete\b\W *?\bfrom|bms_java)|load\b\W*?\bdata\b.*\binfile|(?:n?varcha|tbcreato)r)\b| i(?:n(?:to\b\W*?\b(?:dump|out)file|sert\b\W*?\binto|ner\b\W*?\bjoin)\b|(?: f(?:\b\W*?\(\W*?\bbenchmark|null\b)|snull\b)\W*?\()|a(?:nd\b ?(?:\d{1,10}|[\'\"][^=]{1,10}[\'\"]) ?[=<>]+|utonomous_transaction\b)|o(?:r\b ?(?:\d{1,10}|[\'\"][^=]{1,10}[\'\"]) ?[=<>]+|pen(?:rowset|query)\b)|having\b ?(?:\d{1,10}|[\'\"][^=]{1,10}[\'\"]) ?[=<>]+|print\b\W*?\@\@|cast\b\W*?\()|(?:;\W*?\b(?:shutdown|drop)|\@\@vers ion)\b|'(?:s(?:qloledb|a)|msdasql|dbo)')“ [Source: ModSecurity, Web Application Firewall]

Egyre több a követelmény...  Biztonság, megfelelés: Felderítés és megelőzés  Rugalmasság: Auditálás és/vagy monitorozás; hálózati

topológia  Kiterjeszthetőség: egyéb forrásokból is

 Skálázhatóság: akár rendszerek ezreit  Egyszerűség: bevezetés és működtetés, min. költség

24


Egyre több a követelmény...  Audit rekordok: – database audit trail vagy – Fájlok OS szinten

 Műveletek: privilégium, séma, objektum, utasítás.  AUDIT_TRAIL initializációs paraméter: – DB – database audit trail (SYS.AUD$), kivéve ami kötelezően OS-be

– DB_EXTENDED – AUDIT_TRAIL=DB plusz SQL bind és SQL text oszlopok – XML – XML, OS fájl – XML_EXTENDED – AUDIT_TRAIL=XML plusz SQL bind és SQL text oszl. – OS (javasolt): audit records  OS fájl

25


Oracle Audit Vault and Database Firewall Felismerés/megelőzés Oracle és nem-Oracle adatbázisokhoz Database Firewall

Felhasználók

Allow Log Alert Substitute

Alkalmazások

Block

Firewall Events

Auditor

Reports Alerts

Security Manager

Audit adatok

!

Policies

Audit Vault

26


OS, Directory Services, File system & Custom Audit Logs

Egy közös Audit & esemény Repository  Oracle Database Enterprise Edition technológiával – Titkosítás, tömörítés, particionálás, skálázhatóság, nagy

rendelkezésre állás, stb. – Nyílt séma: rugalmas jelentéskészítés

 Information lifecycle man.: célspecifikus adatmegtartás  Központi web felület, egyszerű adminisztráció

 Parancssor utility: automatizálás és szkriptelés

27


Kiterjesztett vállalati auditálás 

Adatbázisok: Oracle, SQL Server, DB2 LUW, Sybase ASE



Új audit források – OS: Microsoft Windows, Solaris – Directory Services: Active Directory

– File rendszer: Oracle ACFS



Audit Collection Pluginek saját audit forrásokhoz – XML file: saját audit elemeket a kanonikus audit elemekre képezi le – XML audit fájlból és adatbázis táblákból gyűjti az adatokat

28


AVDF architektúra: több lehetőség In-Line Blocking and Monitoring Remote Monitoring Out-of-Band Monitoring

Alkalmazások és felhasználók

HA Mode Audit Audit Vault Vault Primary Standby Soft appliance 29


Audit adatok Audit Agentek

Egyszerű adminisztrátori felület

30


Alapértelmezett jelentések

31


Készen kapott megfelelőségi jelentések

32


Adatok több forrásrendszer típusból

33


Tárolt eljárás hívások auditja A hálózaton nem minden látható

34


Teljeskörű audit adatok

35


SQL Injection támadások blokkolása

36


Kiterjedt riasztási szűrő feltételek

37


Teljesítmény és skálázhatóság  Audit Vault – Sok száz heterogén adatbázis és más rendszer monitorozását és

auditálását támogatja – Sokfajta hardvert támogat

 Database Firewall – A döntési idő független a policy-ban a szabályok számától – Multi-eszköz / multi-process / multi-core skálázhatóság – 8 core: 30 000 – 60 000 tranzakció/s

39


Telepítési kényelem 

Soft-appliance csomagolás a firewall és a szerver komponensre



Egyszerű telepítés és kiterjesztés – Előre konfigurált elemek; induláshoz csak a hálózati beállítások kellenek – Akár auditálással akár monitorozással lehet kezdeni – HA mód



Agent telepítés és upgrade – Egyetlen jar fájllal – Minden collection plugin & lokális hálózat monitorozás – Adminisztrátori eszközök a nagy rendszerekhez telepítéshez



40

Audit policy management és integrált audit trail törlés


Oracle Database biztonsági megoldások Teljes biztonsági platform

41

MEGELŐZÉS

FELDERÍTÉS

ADMINISZTRÁCIÓ

Encryption, Redaction, Masking

Activity Monitoring

Privilege Analysis

Privileged User Controls

Database Firewall

Sensitive Data Discovery

Data Access Controls

Auditing and Reporting

Configuration Scanning


Database Auditing teljesítmény Oracle Database 11g Eredeti workload CPU 50%, 250 audit rekord/s Plusz áteresztési idő

Plusz CPU

OS

1,39%

1,75%

XML

1,70%

3,51%

XML, Extended

3,70%

5,36%

Audit Trail beáll.

Nagy U.S. Telekommunikációs cég validálta, Oracle Audit Vault

42


Oracle Audit Vault and Database Firewall SQL Injection védelem, Pozitív biztonsági modell SELECT * from stock where catalog-no='PHE8131' Applications

SELECT * from stock where catalog-no=‘ ' union select cardNo,0,0 from Orders --’

White List Allow Block Databases

• Az „Allowed” (megengedett) bármely felhasználóra v. alkalmazásra definiálható • Automatizált „fehér lista” generálás bármely alkalmazáshoz • Nem engedélyezett tranzakciók: felderítés / blokkolás / riasztás 43


Oracle Audit Vault and Database Firewall Tevékenységek korlátozása: Negatív biztonsági modell SELECT * FROM v$session

Black List Block

DBA activity via Applications DBA activity via Approved Workstation

SELECT * FROM v$session

Allow + Log

• Nem kívánt SQL-ek megállítása, felhasználó/séma elérés

• „Fekete lista”: hét napja, hálózat, alkalmazás, felhasználó név, OS név, ... • Rugalmasság az engedélyezett felh., aktivitás monitorozással

44


Oracle Audit Vault and Database Firewall Rugalmas policy kikényszerítés Log Allow

SELECT * FROM accounts Alert Ez lesz belőle SELECT * FROM Substitute dual where 1=0

Alkalmazások

Block

• SQL nyelvi elemzés SQL ut. sokaságát „cluster”-ekbe csoportosítja • A döntési idő független a policy-ban a szabályok számától

• SQL-szintű: blokkolás, kicserélés, riasztás és engedés, csak logolás • SQL helyettesítés: kikerüli a támadást az alkalmazás zavarása nélkül 45


Biztonságos teszt/fejlesztői környezetek Oracle Data Masking ÉLES környezet

TESZT környezet

LAST_NAME

SSN

SALARY

LAST_NAME

SSN

AGUILAR

203-33-3234

40,000

SMITH

111—23-1111

60,000

BENSON

323-22-2943

60,000

MILLER

222-34-1345

40,000

• Biztonságos teszt/fejl. környezet, szenzitív adatok maszkolása • Szenzitív adat sosem hagyja el az adatbázist • Kiterjeszthető formátum könyvtár • Kifinomult maszkolás: feltételes, összetett, determinisztikus

• Integrált maszkolás és klónozás 46


SALARY

Összegzés: Data Masking

 Segít az információ megosztását

az adatvédelmi előírásoknak megfelelően végrehajtani.  Egységes alkalmazás maszk formátumok a teljes szervezetre.  Növeli a DBA hatékonyságát a szenzitív adatok automatizált, hatékony maszkolásával.

47


Integrált az adat részhalmaz képzéssel Test Data Management Pack  Application Data Model alapú  Automatikus adatkivonat

(WHERE) clause generálás  Adat részhalmaz méret becslés  Late-binding paraméter támogatás  Nagy teljesítményű végrehajtás – 1 Terabyte -> 200 GB (20%)

68 perc alatt 48


Idő (FY:2011) Dimenzió (Régió) Helyigény (10%)

Integrált az adat részhalmaz képzéssel Data Masking és Test Data Management Pack

49


További információ:

50

Web

http://www.oracle.com/database/security http://www.oracle.com/technetwork/database/security

Ügyfél sikerek

http://www. oracle.com/goto/database/security-customers

Hírlevelek

Security Inside Out Database Insider

Közösségi média

LinkedIn Group: Database Insider Twitter: Oracle Database

Blogok

http://blogs.oracle.com/securityinsideout http://blogs.oracle.com/databaseinsider


HOUG Konferencia 2013. április 8-10. Siófok, Hotel Azúr

 http://www.houg.hu/

51


HOUG Konf. 2013.04.10. Security szekció  Az adatbázis-biztonság fokozása: audit, SQL szűrés, titkosítás –

Fekete Zoltán, Oracle  Identity Management a felhőben? – Egerszegi Krisztián, CDSYS  Biztonságosabb mobil alkalmazások – Fábián Péter, Oracle  Biztonságos alkalmazások fejlesztése – Schäffer Krisztián,

cloudbreaker.co  Információbiztonsági szabályozás ma és holnap Magyarországon –

Krasznai Csaba, HP  Kerekasztal beszélgetés: Információbiztonsági szabályozás Mo-on – Moderátor Kristóf Csaba, biztonságportál.hu Résztvevők: Egerszegi Krisztián, Compliance Data Systems Kft.; Fábián Péter, Oracle Hungary; Horváth Gergely Krisztián, CISA CISM, Magyar Nemzeti Vagyonkezelő; Krasznai Csaba, HP; Papp Péter Kancellár,; Schäffer Krisztián, cloudbreaker.co 52


HOUG Konf. 2013.04.09. Database szekció  Tárolóhely csökkentés és folyamatoptimalizáció archiválással – Csókás

Péter, K&H Bank, Mentsl Attila, Oracle  Oracle’s Public Cloud for Database and Application Developers  ORFK: Robotzsaru rendszer az Exadata Database Machine rendszeren –

ORFK  Oracle Application Express fejlesztés a felhőben – Izsák Tamás,

APPWORKS  Oracle Enterprise Manager Cloud Control 12c és Grid Control 11g

összehasonlítás – Péntek Csaba, National Instruments Hungary Kft.  Kerekasztal beszélgetés: IaaS, Cloud, Pluggable databases

53


HOUG Konf. 2013.04.10. Database szekció  MySQL Cluster és Hadoop mint Big Data platform – Erdélyi Ernő,

Component Soft Kft.  iwiw, Oracle Database Appliance – Stahl István  „Segítség, összementem!" - Egy adattárház története a kezdetektől a

SuperCluster-Exadata rendszerig – Kránicz László, OTP Bank  E-Irattár rendszer fejlesztése Oracle APEX-ben – Tajti Tibor, QNSZT Kft.  Mérésadatgyűjtő és elemző rendszer terve Exadata Database Machine

alapon, Dr. Szemes Péter Tamás – Debreceni Egyetem, Épület-mechatronikai Kutató Központ, Szabad Miklós Xperteam Zrt.  Oracle Database stratégia: következő lépések, következő verzió – Fekete

Zoltán, Oracle Hungary

54


55


56


or its affiliates. All rights reserved

Recommend Documents