6.n.danyukov oracle

<Insert Picture Here>

Опции безопасности в СУБД Oracle

Николай Данюков

к.т.н., ведущий консультант, Oracle CIS

Безопасность

Основные требования заказчиков

Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва

Производительность

Масштабируемость

Надежность

“… для коммерческой организации я бы поставил потерю

репутации на первое место. Дело в том, что доброе имя

нельзя создать в короткий срок, имея даже очень много

денег. Организации тратят годы на то, чтобы сделать свою

торговую марку узнаваемой, развивают лояльность марке

со стороны клиентов. Между тем, всего одна утечка может

разом перечеркнуть долгие годы усилий.”

Олег Смолий,главный специалист Управления

по обеспечению безопасности ВТБ

- InfoWatch, 31.01.07


“… Александр Паймуллин был признан виновным в

совершении преступления, предусмотренного

ст.159 ч.4 УК РФ (мошенничество, т. е. хищение

имущества в особо крупном размере), и ему было

назначено наказание в виде 7 лет лишения свободы в

колонии общего режима”

Анна Усачева

руководитель пресс-службы

Мосгорсуда


Москва, 23 декабря 2008

Payment Card Industry

(PCI)

Data Security Standard


Защита данных платежных карт


• Требование 3: Должна быть обеспечена защита данных платежных карт при хранении

• 3.4 Номера PAN должны быть приведены к нечитаемому виду внезависимости от места хранения (включая данные на портативных носителях, резервных копиях, в журналах, а также данные, полученные или сохраненные посредством беспроводных сетей) с помощью одного из перечисленных ниже способов:

• …• надежная криптография совместно с процессами и процедурами управления ключами• …

Шифрование является важнейшей составляющей защиты данных платежных карт. В случае обхода мер по защите сети и получения доступа к зашифрованным данным злоумышленник не сможет узнать содержимое данных или воспользоваться ими без наличия корректных криптографическихключей.

• Номер (PAN, Primary Account Number)

• Имя держателя карты

• Дата истечения срока действия

• Сервисный код

Transparent

Data Encryption


Oracle Advanced SecurityTransparent Data Encryption


Диск

Резервная копия

Экспортированныеданные

Другие данные

• Хранимые данные приведены к нечитаемому формату

• Не требуется изменять приложение

• Эффективное средство для всех типов данных

• Встроенные средства управления ключами

Приложение

Шифрование

Tablespace

Защита на физическом уровне Прозрачное преобразование данных


Расшифровывание данных

при чтении

Зашифровывание данных

при записи

75000 ^#^*>*

75000

Защита на физическом уровнеПрозрачное шифрование



при чтении


при записи

75000 ^#^*>*

75000

Ключи шифрования защищаютсявнешним ключом

Шифрование симметричное

(3DES168, AES128, AES192, AES256)

Защита на физическом уровнеПрозрачное шифрование



при чтении


при записи

75000 ^#^*>*

75000

Ключи прозрачного шифрованияМастер-ключ


Мастер-ключ хранится

в PKCS#12 wallet

(файл ewallet.p12)Утилиты для работы с wallet:

mkwallet, mkstore, orapki, owm

11gR2содержание Wallet(без видимых изменений)

Прозрачное шифрованиеЗащита WALLET. Простые рекомендации


• Измените права доступа к каталогу и wallet-файлу• Directory 700 (owner rwx), ewallet.p12 600 (owner rw)

• Не используйте простые пароли для wallet• Размещайте wallet вне каталога $ORACLE_BASE, чтобы избежать копирование

этого файла в ходе резервного копирования БД (данные и ключ к ним должны храниться все же раздельно)

• Например: Можно поместить wallet в каталог /etc/ORACLE/WALLETS/oracle, который открывается по умолчанию утилитой Oracle Wallet Manager (требуется изменить значение параметра ENCRYPTION_WALLET_LOCATION в файле sqlnet.ora)

oracle:/etc> whoamirootoracle:/etc> mkdir -pv ORACLE/WALLETS/oraclemkdir: created directory ÒRACLE'mkdir: created directory ÒRACLE/WALLETS'mkdir: created directory ÒRACLE/WALLETS/oracle'oracle:/etc> chown -R oracle:dba ORACLE/*oracle:/etc> chmod -R 700 ORACLE/*

Если Вы забыли пароль для открытия wallet, то оценить шансы по его подбору (взлому) поможет PKCS#5 RSA “Password-Based Cryptography Standard”

Прозрачное шифрованиеКлючница (Wallet)


• Создать wallet (генерируется мастер-ключ):

alter system set key identified by “e3car61”

• Открыть wallet:

alter system set wallet open identified

by “e3car61”

Прозрачное шифрованиеЗащита данных в колонках таблиц


alter table credit_rating modify

(person_id encrypt using „AES256‟,);

• Зашифровать данные в колонке для существующей таблицы:

create table orders (order_id number (12),customer_id number(12),credit_card varchar2(16) encrypt);

• Создать новую таблицу с защищаемой колонкой:

• Не поддерживается шифрование BLOB, CLOBи ряда других типов данных…

• Размер данных увеличивается (33-48 bytes/row)

Прозрачное шифрованиеЗащита данных в колонках таблиц



Данные

колонки

CUST_NAME

alter table banking.customer_tbl modify (cust_name encrypt);


Данные

колонки

CUST_NAME

преобразованы

Ключи прозрачного шифрованияМастер-ключ


Мастер-ключ хранится

в PKCS#12 wallet

Таблицы с защищенными

колонками

Ключи колонок защищены

мастер-ключом

Пароль

Ключи прозрачного шифрованияКлючи защищенных колонок


Мастер-ключ

Таблицы с защищенными

колонками

Данные защищенных

колонок таблиц доступны

Ключи прозрачного шифрованияДоступ к данным разрешен


Прозрачное шифрованиеИндексирование


Alter table credit_rating modify

(person_id encrypt no salt)

Create index person_id_idx on credit_rating

(PERSON_ID)

Select score from credit_rating

where PERSON_ID = '235901';

• Создание и использование индексов для защищенных колонок :

• Индекс не может использоваться при non-equality поиске

• Индексируемое поле не может быть foreign key

Прозрачное шифрованиеЗащита данных в LOB (CLOB, BLOB) колоноках


create table orders ( doc CLOBencrypt using „AES128‟)LOB (doc) STORE AS SECUREFILETABLESPACE obe_tbs2 );

• Создание новой таблицы с защищаемой LOB колонкой:

• Шифрование LOB колонок возможно только для SECUREFILE

• зашифровываются все строки данных LOB колонки

• Шифрование BFILE и внешних таблиц не поддерживается

Прозрачное шифрованиеЗащита объектов в TABLESPACE


create tablespace securespace

datafile '/home/user/oradata/secure01.dbf'

size 150m

encryption using '3des168'

default storage(encrypt);

• Создание защищенного tablespace:

• Алгоритмы: 3DES168, AES128, AES192, AES256

• Существующее табличное пространство

не может быть зашифровано

• Ключ tablespace может быть изменен

• Обязательно использование опции SALT

Tablespace

Ключ физически хранится в Datafile Header Block.

Если файлов несколько, то он записывается в каждый из заголовков

Oracle Advanced SecurityTransparent Data Encryption: Ключи

Мастер-ключи хранятся в ключнице формата PKCS#12

Tablespace ключ хранится

в Datafile Header Block

Tablespace мастер-ключ

Ключи таблиц зашифрованыс использованиеммастер-ключа

Пароль


Oracle Advanced SecurityРазличие в преобразовании данных


SQL Layer

data blocks

“*M$b@^s%&d7”

undo blocks

temp blocks

flashbacklogs

redo logs

Buffer Cache

“SSN = 834-63-..”

SQL Layer

data blocks

“*M$b@^s%&d7”

undo blocks

temp blocks

flashbacklogs

redo logs

Buffer Cache

“*M$b@^s%&d7”

Колонки Табличныепространства

Oracle Advanced SecurityTransparent Data Encryption: Ключ

Мастер-ключ хранится в ключнице формата PKCS#12

Tablespace ключ хранится

в Datafile Header Block

Ключи таблиц зашифрованыс использованиеммастер-ключа

Пароль

11gR2мастер-ключможно изменить


Права доступа


Database DBA



Database DBA

Пароль для доступа к Wallet

отличается от system и DBA паролей

нет доступа к Wallet



Database DBA

Пароль

Доступ к данным

разрешен

Мастер-ключ



Database DBA

ПарольМастер-ключ


разрешен



Database DBA



разрешен

SELECT ANY TABLE

Права доступаКак защитить данные от инсайдеров ?


Database DBA


SELECT ANY TABLE

Права доступаТак ли хороши «альтернативные» СЗИ?


S G AS G A

Неправильная работа с SGA может

привести к потере данных

Изменениестандартныхпроцедуробработки

Реализация программы

управления уязвимостями


• Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений

• 6.2 Должен существовать процесс идентификации вновь обнаруженных уязвимостей безопасности (например, подписка на рассылки, связанные с информационной безопасностью и обнаружением уязвимостей, свободно доступные в сети Интернет). Должно выполняться обновление стандартовконфигурирования с целью устранения новых обнаруженных уязвимостей.

…Если выполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессы разработки систем и приемы безопасного программирования.

• Цель данного требования состоит в том, что организации должны своевременно узнавать о новых уязвимостях для того, чтобы они могли защищать свои сети и внедрять процедуры устранения вновь обнаруженных и имеющих отношение к их системам уязвимостей в свои стандарты конфигурирования.

Обновления



Реализация программы

управления уязвимостями

• Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений

• 6.3.2 Должны быть разделены среды разработки, тестирования и эксплуатации

• Разделяются среды разработки/тестирования и среды эксплуатации и используются механизмы контроля доступа для реализации разделения этих сред

…Если выполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессы разработки систем и приемы безопасного программирования.

• 6.3.4 Для тестирования или разработки не должны использоваться данные из среды эксплуатации (реальные номера PAN)

• Данные из среды эксплуатации (реальные номера PAN) не используются для тестирования и разработки или уничтожаются перед вводом в эксплуатацию

Пояснение: В среде разработки обычно осуществляется менее жесткий контроль за обеспечением безопасности. Использование в такой среде реальных данных позволит потенциальным злоумышленникам, равно как и разработчикам, получить неавторизованный доступ к информации, используемой в эксплуатационной среде

Data Masking Pack


Утечки информацииПри разработке и тестировании сложных приложений


Данные, представленные для

тестирования

Data Masking Pack

Oracle Enterprise Manager

45,000093-44-3823FIORANO

80,000989-22-2403D‟SOUZA

60,000323-22-2943BENSON

40,000203-33-3234AGUILAR

SALARYSSNLAST_NAME

45,000111-49-3849FPENZXIEK

80,000111-97-2749KDDEHLHESA

60,000111-34-1345BKJHHEIEDK

40,000111—23-1111ANSKEKSL

SALARYSSNLAST_NAME

Oracle Data Masking PackКонцепция




Процедура преобразования данныхEM Data Masking Pack : Workflow




OFF-LINE

Database

Masking

Реализация мер

по строгому контролю доступа


• Требование 7: Доступ к данным платежных карт должен быть ограниченв соответствии со служебной необходимостью

• 7.1 Доступ к вычислительным ресурсам и данным платежных карт должен быть предоставлен только тем сотрудникам, которым он необходим для выполнения должностных обязанностей

• Права привилегированных пользователей ограничены минимально достаточнымиполномочиями, необходимыми для выполнения их должностных обязанностей

• Назначение полномочий в системах сотрудникам выполняется в соответствии с должностью и выполняемыми функциями

• Для предоставления полномочий необходимо наличие заявки с перечнем запрашиваемых прав, утвержденной руководством

• Использование автоматизированных систем контроля доступа

Данное требование обеспечивает то, что доступ к критичным данным может быть осуществлен только авторизованными сотрудниками.

Database Vault

Noel Yuhanna,

Senior Analyst

Forrester Research

”Руководителям организаций важно,

чтобы администраторы баз данных

управляли базами данных,

а не данными ...”

“Microsoft, IBM и Sybase не имеют аналогичных средств”


Oracle® Database Vault ?

• Опция СУБД Oracle 10g Release 2 EEOracle 11g EE

• Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных (DBA)

• Обеспечение доступа к данным на основе динамически настраиваемых правил

• Повышение защищенности объектов БДот несанкционированных изменений

• Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль


или Oracle 9i R2 (9.2.0.8) EE

• Обеспечивает возможность безопаснойконсолидации IT-ресурсов организации

• Все механизмы “встроены” в БД Oracle

Oracle Database VaultЗащита от внутренних нарушителей


Снабжение

HR

Финансы

•select * from finance.customers

DBA

• Привилегированные пользователи не смогут злоупотреблять своими правами

• Разделение полномочий по функциональным обязанностям

• Защита от запрещенных действия внутри БД

• Обеспечение доступа к данным приложений только через приложения (запрет «прямого» доступа к данным)

Приложение

Защищенная область Пример использования


Пользователь SYSTEMможет просматривать конфиденциальные данные

SELECT ANY TABLE

hr.employees

Database VaultИнтерфейс администратора


Защищенная областьСоздана


Защищенная область Результат применения


Даже пользователь SYSTEMне может просматривать защищенные данные

SELECT ANY TABLE

hr.employees

Реализация мер

по строгому контролю доступа


• Требование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов

• 12.2 Должны быть разработаны типовые периодически выполняемые процедуры обеспечения безопасности, соответствующие требованиям данного стандарта (например, процедуры управления пользовательскими учетными записями и процедуры анализа журналов регистрации событий).

• Действующие постоянно процедуры защиты выступают в качестве «настольных инструкций» для использования сотрудниками при выполнении своих повседневных обязанностей по администрированию и поддержке систем. Недокументированные действующие процедуры защиты могут привести к тому, что сотрудники не будут знать полный круг своих обязанностей, к процессам, которые не смогут быть воспроизведены в кратчайшие сроки новыми сотрудниками, а также к потенциальным уязвимостям в этих процессах, которые могут предоставить злоумышленнику возможность получения доступа к критичным системам и ресурсам.

Продуманная политика информационной безопасности определяет стратегию защиты информации в компании и распределяет обязанности за обеспечение безопасности. Все сотрудники должны быть осведомлены о необходимости защиты данных и своих обязанностях по их защите.

Многофакторная авторизацияПравила (Rule Sets)


Локальный компьютер ? TRUE or FALSE

Рабочие часы ? TRUE or FALSE

APP.STATUS column > 0 ? TRUE or FALSE

TRUE or FALSERule Set Result

AND / OR

AND / OR

AND / OR

Динамическая настройка правилСоздание правила Non Work Hourse


HR

Список контролируемых командCommand Rule Flexibility


Alter Database Alter Database Alter Table

Alter Function Audit Alter Tablespace

Alter Package Body Alter Procedure Alter Profile

Alter Session Alter System Alter Synonym

Alter Table Alter Trigger Alter User

Password Alter Tablespace Alter View

Change Password Connect Comment

Create Function Create Index Create Package

Create Database Link Create Procedure Create Role

Create Package Body Create User Create View

Create Table Grant Insert

Noaudit Rename Lock Table

Create Tablespace Create Trigger Truncate Table

Update Insert Delete

Execute Select

Многофакторная авторизацияФактор DOMAIN. Диапазоны IP-адресов


NOT SECURE

SECURE

HIGHLY SECURE

Многофакторная авторизацияФактор DOMAIN. Проверка


ORCL_DBV

IP 192.168.214.251

IP 192.168.214.51

Правила выполнения командЗапрет команды ALTER SYSTEM


1

2

3

Отчеты и аудит

• Более 30 предустановленных

отчетов о выполнении политик

безопасности

• Аудит попыток нарушений

защиты

• Отчеты по защищенным

областям (Realms), выполнении

правил (Rules) и условий

(Factors)

• Списки системных и

пользовательских привилегий

на доступ и обработку данных


123317, Россия, Москва, Пресненская наб.,10Москва-Сити, бизнес-центр "Башня на Набережной",Блок С

[email protected]

6.n.danyukov oracle

Technology

Transcript of 6.n.danyukov oracle