6.n.danyukov oracle
-
Upload
informzaschita -
Category
Technology
-
view
813 -
download
0
description
Transcript of 6.n.danyukov oracle
<Insert Picture Here>
Опции безопасности в СУБД Oracle
Николай Данюков
к.т.н., ведущий консультант, Oracle CIS
Безопасность
Основные требования заказчиков
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Производительность
Масштабируемость
Надежность
“… для коммерческой организации я бы поставил потерю
репутации на первое место. Дело в том, что доброе имя
нельзя создать в короткий срок, имея даже очень много
денег. Организации тратят годы на то, чтобы сделать свою
торговую марку узнаваемой, развивают лояльность марке
со стороны клиентов. Между тем, всего одна утечка может
разом перечеркнуть долгие годы усилий.”
Олег Смолий,главный специалист Управления
по обеспечению безопасности ВТБ
- InfoWatch, 31.01.07
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
“… Александр Паймуллин был признан виновным в
совершении преступления, предусмотренного
ст.159 ч.4 УК РФ (мошенничество, т. е. хищение
имущества в особо крупном размере), и ему было
назначено наказание в виде 7 лет лишения свободы в
колонии общего режима”
Анна Усачева
руководитель пресс-службы
Мосгорсуда
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Москва, 23 декабря 2008
Payment Card Industry
(PCI)
Data Security Standard
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Защита данных платежных карт
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
• Требование 3: Должна быть обеспечена защита данных платежных карт при хранении
• 3.4 Номера PAN должны быть приведены к нечитаемому виду внезависимости от места хранения (включая данные на портативных носителях, резервных копиях, в журналах, а также данные, полученные или сохраненные посредством беспроводных сетей) с помощью одного из перечисленных ниже способов:
• …• надежная криптография совместно с процессами и процедурами управления ключами• …
Шифрование является важнейшей составляющей защиты данных платежных карт. В случае обхода мер по защите сети и получения доступа к зашифрованным данным злоумышленник не сможет узнать содержимое данных или воспользоваться ими без наличия корректных криптографическихключей.
• Номер (PAN, Primary Account Number)
• Имя держателя карты
• Дата истечения срока действия
• Сервисный код
Transparent
Data Encryption
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Oracle Advanced SecurityTransparent Data Encryption
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Диск
Резервная копия
Экспортированныеданные
Другие данные
• Хранимые данные приведены к нечитаемому формату
• Не требуется изменять приложение
• Эффективное средство для всех типов данных
• Встроенные средства управления ключами
Приложение
Шифрование
Tablespace
Защита на физическом уровне Прозрачное преобразование данных
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Расшифровывание данных
при чтении
Зашифровывание данных
при записи
75000 ^#^*>*
75000
Защита на физическом уровнеПрозрачное шифрование
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Расшифровывание данных
при чтении
Зашифровывание данных
при записи
75000 ^#^*>*
75000
Ключи шифрования защищаютсявнешним ключом
Шифрование симметричное
(3DES168, AES128, AES192, AES256)
Защита на физическом уровнеПрозрачное шифрование
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Расшифровывание данных
при чтении
Зашифровывание данных
при записи
75000 ^#^*>*
75000
Ключи прозрачного шифрованияМастер-ключ
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Мастер-ключ хранится
в PKCS#12 wallet
(файл ewallet.p12)Утилиты для работы с wallet:
mkwallet, mkstore, orapki, owm
11gR2содержание Wallet(без видимых изменений)
Прозрачное шифрованиеЗащита WALLET. Простые рекомендации
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
• Измените права доступа к каталогу и wallet-файлу• Directory 700 (owner rwx), ewallet.p12 600 (owner rw)
• Не используйте простые пароли для wallet• Размещайте wallet вне каталога $ORACLE_BASE, чтобы избежать копирование
этого файла в ходе резервного копирования БД (данные и ключ к ним должны храниться все же раздельно)
• Например: Можно поместить wallet в каталог /etc/ORACLE/WALLETS/oracle, который открывается по умолчанию утилитой Oracle Wallet Manager (требуется изменить значение параметра ENCRYPTION_WALLET_LOCATION в файле sqlnet.ora)
oracle:/etc> whoamirootoracle:/etc> mkdir -pv ORACLE/WALLETS/oraclemkdir: created directory `ORACLE'mkdir: created directory `ORACLE/WALLETS'mkdir: created directory `ORACLE/WALLETS/oracle'oracle:/etc> chown -R oracle:dba ORACLE/*oracle:/etc> chmod -R 700 ORACLE/*
Если Вы забыли пароль для открытия wallet, то оценить шансы по его подбору (взлому) поможет PKCS#5 RSA “Password-Based Cryptography Standard”
Прозрачное шифрованиеКлючница (Wallet)
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
• Создать wallet (генерируется мастер-ключ):
alter system set key identified by “e3car61”
• Открыть wallet:
alter system set wallet open identified
by “e3car61”
Прозрачное шифрованиеЗащита данных в колонках таблиц
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
alter table credit_rating modify
(person_id encrypt using „AES256‟,);
• Зашифровать данные в колонке для существующей таблицы:
create table orders (order_id number (12),customer_id number(12),credit_card varchar2(16) encrypt);
• Создать новую таблицу с защищаемой колонкой:
• Не поддерживается шифрование BLOB, CLOBи ряда других типов данных…
• Размер данных увеличивается (33-48 bytes/row)
Прозрачное шифрованиеЗащита данных в колонках таблиц
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Данные
колонки
CUST_NAME
alter table banking.customer_tbl modify (cust_name encrypt);
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Данные
колонки
CUST_NAME
преобразованы
Ключи прозрачного шифрованияМастер-ключ
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Мастер-ключ хранится
в PKCS#12 wallet
Таблицы с защищенными
колонками
Ключи колонок защищены
мастер-ключом
Пароль
Ключи прозрачного шифрованияКлючи защищенных колонок
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Мастер-ключ
Таблицы с защищенными
колонками
Данные защищенных
колонок таблиц доступны
Ключи прозрачного шифрованияДоступ к данным разрешен
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Прозрачное шифрованиеИндексирование
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Alter table credit_rating modify
(person_id encrypt no salt)
Create index person_id_idx on credit_rating
(PERSON_ID)
Select score from credit_rating
where PERSON_ID = '235901';
• Создание и использование индексов для защищенных колонок :
• Индекс не может использоваться при non-equality поиске
• Индексируемое поле не может быть foreign key
Прозрачное шифрованиеЗащита данных в LOB (CLOB, BLOB) колоноках
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
create table orders ( doc CLOBencrypt using „AES128‟)LOB (doc) STORE AS SECUREFILETABLESPACE obe_tbs2 );
• Создание новой таблицы с защищаемой LOB колонкой:
• Шифрование LOB колонок возможно только для SECUREFILE
• зашифровываются все строки данных LOB колонки
• Шифрование BFILE и внешних таблиц не поддерживается
Прозрачное шифрованиеЗащита объектов в TABLESPACE
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
create tablespace securespace
datafile '/home/user/oradata/secure01.dbf'
size 150m
encryption using '3des168'
default storage(encrypt);
• Создание защищенного tablespace:
• Алгоритмы: 3DES168, AES128, AES192, AES256
• Существующее табличное пространство
не может быть зашифровано
• Ключ tablespace может быть изменен
• Обязательно использование опции SALT
Tablespace
Ключ физически хранится в Datafile Header Block.
Если файлов несколько, то он записывается в каждый из заголовков
Oracle Advanced SecurityTransparent Data Encryption: Ключи
Мастер-ключи хранятся в ключнице формата PKCS#12
Tablespace ключ хранится
в Datafile Header Block
Tablespace мастер-ключ
Ключи таблиц зашифрованыс использованиеммастер-ключа
Пароль
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Oracle Advanced SecurityРазличие в преобразовании данных
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
SQL Layer
data blocks
“*M$b@^s%&d7”
undo blocks
temp blocks
flashbacklogs
redo logs
Buffer Cache
“SSN = 834-63-..”
SQL Layer
data blocks
“*M$b@^s%&d7”
undo blocks
temp blocks
flashbacklogs
redo logs
Buffer Cache
“*M$b@^s%&d7”
Колонки Табличныепространства
Oracle Advanced SecurityTransparent Data Encryption: Ключ
Мастер-ключ хранится в ключнице формата PKCS#12
Tablespace ключ хранится
в Datafile Header Block
Ключи таблиц зашифрованыс использованиеммастер-ключа
Пароль
11gR2мастер-ключможно изменить
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Права доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Database DBA
Права доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Database DBA
Пароль для доступа к Wallet
отличается от system и DBA паролей
нет доступа к Wallet
Права доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Database DBA
Пароль
Доступ к данным
разрешен
Мастер-ключ
Права доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Database DBA
ПарольМастер-ключ
Доступ к данным
разрешен
Права доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Database DBA
ПарольМастер-ключ
Доступ к данным
разрешен
SELECT ANY TABLE
Права доступаКак защитить данные от инсайдеров ?
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Database DBA
ПарольМастер-ключ
SELECT ANY TABLE
Права доступаТак ли хороши «альтернативные» СЗИ?
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
S G AS G A
Неправильная работа с SGA может
привести к потере данных
Изменениестандартныхпроцедуробработки
Реализация программы
управления уязвимостями
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
• Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений
• 6.2 Должен существовать процесс идентификации вновь обнаруженных уязвимостей безопасности (например, подписка на рассылки, связанные с информационной безопасностью и обнаружением уязвимостей, свободно доступные в сети Интернет). Должно выполняться обновление стандартовконфигурирования с целью устранения новых обнаруженных уязвимостей.
…Если выполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессы разработки систем и приемы безопасного программирования.
• Цель данного требования состоит в том, что организации должны своевременно узнавать о новых уязвимостях для того, чтобы они могли защищать свои сети и внедрять процедуры устранения вновь обнаруженных и имеющих отношение к их системам уязвимостей в свои стандарты конфигурирования.
Обновления
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Реализация программы
управления уязвимостями
• Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений
• 6.3.2 Должны быть разделены среды разработки, тестирования и эксплуатации
• Разделяются среды разработки/тестирования и среды эксплуатации и используются механизмы контроля доступа для реализации разделения этих сред
…Если выполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессы разработки систем и приемы безопасного программирования.
• 6.3.4 Для тестирования или разработки не должны использоваться данные из среды эксплуатации (реальные номера PAN)
• Данные из среды эксплуатации (реальные номера PAN) не используются для тестирования и разработки или уничтожаются перед вводом в эксплуатацию
Пояснение: В среде разработки обычно осуществляется менее жесткий контроль за обеспечением безопасности. Использование в такой среде реальных данных позволит потенциальным злоумышленникам, равно как и разработчикам, получить неавторизованный доступ к информации, используемой в эксплуатационной среде
Data Masking Pack
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Утечки информацииПри разработке и тестировании сложных приложений
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Данные, представленные для
тестирования
Data Masking Pack
Oracle Enterprise Manager
45,000093-44-3823FIORANO
80,000989-22-2403D‟SOUZA
60,000323-22-2943BENSON
40,000203-33-3234AGUILAR
SALARYSSNLAST_NAME
45,000111-49-3849FPENZXIEK
80,000111-97-2749KDDEHLHESA
60,000111-34-1345BKJHHEIEDK
40,000111—23-1111ANSKEKSL
SALARYSSNLAST_NAME
Oracle Data Masking PackКонцепция
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Данные, представленные для
тестирования
Процедура преобразования данныхEM Data Masking Pack : Workflow
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Данные, представленные для
тестирования
OFF-LINE
Database
Masking
Реализация мер
по строгому контролю доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
• Требование 7: Доступ к данным платежных карт должен быть ограниченв соответствии со служебной необходимостью
• 7.1 Доступ к вычислительным ресурсам и данным платежных карт должен быть предоставлен только тем сотрудникам, которым он необходим для выполнения должностных обязанностей
• Права привилегированных пользователей ограничены минимально достаточнымиполномочиями, необходимыми для выполнения их должностных обязанностей
• Назначение полномочий в системах сотрудникам выполняется в соответствии с должностью и выполняемыми функциями
• Для предоставления полномочий необходимо наличие заявки с перечнем запрашиваемых прав, утвержденной руководством
• Использование автоматизированных систем контроля доступа
Данное требование обеспечивает то, что доступ к критичным данным может быть осуществлен только авторизованными сотрудниками.
Database Vault
Noel Yuhanna,
Senior Analyst
Forrester Research
”Руководителям организаций важно,
чтобы администраторы баз данных
управляли базами данных,
а не данными ...”
“Microsoft, IBM и Sybase не имеют аналогичных средств”
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Oracle® Database Vault ?
• Опция СУБД Oracle 10g Release 2 EEOracle 11g EE
• Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных (DBA)
• Обеспечение доступа к данным на основе динамически настраиваемых правил
• Повышение защищенности объектов БДот несанкционированных изменений
• Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
или Oracle 9i R2 (9.2.0.8) EE
• Обеспечивает возможность безопаснойконсолидации IT-ресурсов организации
• Все механизмы “встроены” в БД Oracle
Oracle Database VaultЗащита от внутренних нарушителей
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Снабжение
HR
Финансы
•select * from finance.customers
DBA
• Привилегированные пользователи не смогут злоупотреблять своими правами
• Разделение полномочий по функциональным обязанностям
• Защита от запрещенных действия внутри БД
• Обеспечение доступа к данным приложений только через приложения (запрет «прямого» доступа к данным)
Приложение
Защищенная область Пример использования
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Пользователь SYSTEMможет просматривать конфиденциальные данные
SELECT ANY TABLE
hr.employees
Database VaultИнтерфейс администратора
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Защищенная областьСоздана
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Защищенная область Результат применения
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Даже пользователь SYSTEMне может просматривать защищенные данные
SELECT ANY TABLE
hr.employees
Реализация мер
по строгому контролю доступа
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
• Требование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов
• 12.2 Должны быть разработаны типовые периодически выполняемые процедуры обеспечения безопасности, соответствующие требованиям данного стандарта (например, процедуры управления пользовательскими учетными записями и процедуры анализа журналов регистрации событий).
• Действующие постоянно процедуры защиты выступают в качестве «настольных инструкций» для использования сотрудниками при выполнении своих повседневных обязанностей по администрированию и поддержке систем. Недокументированные действующие процедуры защиты могут привести к тому, что сотрудники не будут знать полный круг своих обязанностей, к процессам, которые не смогут быть воспроизведены в кратчайшие сроки новыми сотрудниками, а также к потенциальным уязвимостям в этих процессах, которые могут предоставить злоумышленнику возможность получения доступа к критичным системам и ресурсам.
Продуманная политика информационной безопасности определяет стратегию защиты информации в компании и распределяет обязанности за обеспечение безопасности. Все сотрудники должны быть осведомлены о необходимости защиты данных и своих обязанностях по их защите.
Многофакторная авторизацияПравила (Rule Sets)
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Локальный компьютер ? TRUE or FALSE
Рабочие часы ? TRUE or FALSE
APP.STATUS column > 0 ? TRUE or FALSE
TRUE or FALSERule Set Result
AND / OR
AND / OR
AND / OR
Динамическая настройка правилСоздание правила Non Work Hourse
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
HR
Список контролируемых командCommand Rule Flexibility
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
Alter Database Alter Database Alter Table
Alter Function Audit Alter Tablespace
Alter Package Body Alter Procedure Alter Profile
Alter Session Alter System Alter Synonym
Alter Table Alter Trigger Alter User
Password Alter Tablespace Alter View
Change Password Connect Comment
Create Function Create Index Create Package
Create Database Link Create Procedure Create Role
Create Package Body Create User Create View
Create Table Grant Insert
Noaudit Rename Lock Table
Create Tablespace Create Trigger Truncate Table
Update Insert Delete
Execute Select
Многофакторная авторизацияФактор DOMAIN. Диапазоны IP-адресов
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
NOT SECURE
SECURE
HIGHLY SECURE
Многофакторная авторизацияФактор DOMAIN. Проверка
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
ORCL_DBV
IP 192.168.214.251
IP 192.168.214.51
Правила выполнения командЗапрет команды ALTER SYSTEM
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
1
2
3
Отчеты и аудит
• Более 30 предустановленных
отчетов о выполнении политик
безопасности
• Аудит попыток нарушений
защиты
• Отчеты по защищенным
областям (Realms), выполнении
правил (Rules) и условий
(Factors)
• Списки системных и
пользовательских привилегий
на доступ и обработку данных
Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва
123317, Россия, Москва, Пресненская наб.,10Москва-Сити, бизнес-центр "Башня на Набережной",Блок С