6.n.danyukov oracle

<Insert Picture Here>

Опции безопасности в СУБД Oracle
Николай Данюков
к.т.н., ведущий консультант, Oracle CIS

Основные требования заказчиков

Производительность

Масштабируемость

Надежность

Безопасность

Семинар компании «Информзащита» "PCI Compliance: Информационная безопасность в индустрии платежных карт", 8.06.2010, г.Москва

Олег Смолий,
главный специалист Управления
по обеспечению безопасности ВТБ

“… для коммерческой организации я бы поставил потерю
репутации на первое место. Дело в том, что доброе имя
нельзя создать в короткий срок, имея даже очень много
денег. Организации тратят годы на то, чтобы сделать свою
торговую марку узнаваемой, развивают лояльность марке
со стороны клиентов. Между тем, всего одна утечка может
разом перечеркнуть долгие годы усилий.”
- InfoWatch, 31.01.07


Анна Усачева
руководитель пресс-службы
Мосгорсуда

“… Александр Паймуллин был признан виновным в
совершении преступления, предусмотренного
ст.159 ч.4 УК РФ (мошенничество, т. е. хищение
имущества в особо крупном размере), и ему было
назначено наказание в виде 7 лет лишения свободы в
колонии общего режима”

Москва, 23 декабря 2008


Payment Card Industry
(PCI)
Data Security Standard


Защита данных платежных карт

• Требование 3: Должна быть обеспечена защита данных платежных карт
при хранении
Шифрование является важнейшей составляющей защиты данных платежных карт. В случае обхода
мер по защите сети и получения доступа к зашифрованным данным злоумышленник не сможет
узнать содержимое данных или воспользоваться ими без наличия корректных криптографических
ключей.

• 3.4 Номера PAN должны быть приведены к нечитаемому виду вне
зависимости от места хранения (включая данные на портативных носителях,
резервных копиях, в журналах, а также данные, полученные или сохраненные
посредством беспроводных сетей) с помощью одного из перечисленных ниже
способов:
•…
• надежная криптография совместно с процессами и процедурами управления ключами
• …

• Номер (PAN, Primary Account Number)
• Имя держателя карты
• Дата истечения срока действия
• Сервисный код


Transparent
Data Encryption


Oracle Advanced Security
Transparent Data Encryption

Диск

Резервная копия

Экспортированные
данные
Приложение
Другие
данные

• Хранимые данные приведены к нечитаемому
формату
• Не требуется изменять приложение
• Эффективное средство для всех типов
данных
• Встроенные средства управления ключами


Защита на физическом уровне
Прозрачное преобразование данных

75000

Зашифровывание Расшифровывание
данных данных
при записи при чтении

75000 ^#^*>*

Шифрование
Tablespace


Прозрачное шифрование

75000


75000 ^#^*>*



75000


75000 ^#^*>*

Шифрование симметричное
(3DES168, AES128, AES192, AES256)
Ключи шифрования защищаются
внешним ключом


Ключи прозрачного шифрования
Мастер-ключ

Мастер-ключ хранится
в PKCS#12 wallet

11gR2
содержание Wallet
(без видимых изменений)

Утилиты для работы с wallet:
(файл ewallet.p12)
mkwallet, mkstore, orapki, owm


Защита WALLET. Простые рекомендации

• Измените права доступа к каталогу и wallet-файлу
• Directory 700 (owner rwx), ewallet.p12  600 (owner rw)
• Не используйте простые пароли для wallet
• Размещайте wallet вне каталога $ORACLE_BASE, чтобы избежать копирование
этого файла в ходе резервного копирования БД (данные и ключ к ним должны
храниться все же раздельно)
• Например: Можно поместить wallet в каталог
/etc/ORACLE/WALLETS/oracle, который открывается по умолчанию
утилитой Oracle Wallet Manager (требуется изменить значение параметра
ENCRYPTION_WALLET_LOCATION в файле sqlnet.ora)

oracle:/etc> whoami
root
oracle:/etc> mkdir -pv ORACLE/WALLETS/oracle
mkdir: created directory ÒRACLE'
mkdir: created directory ÒRACLE/WALLETS'
mkdir: created directory ÒRACLE/WALLETS/oracle'
oracle:/etc> chown -R oracle:dba ORACLE/*
oracle:/etc> chmod -R 700 ORACLE/*

Если Вы забыли пароль для открытия wallet, то оценить шансы
по его подбору (взлому) поможет PKCS#5 RSA “Password-Based Cryptography Standard”


Ключница (Wallet)

• Создать wallet (генерируется мастер-ключ):

alter system set key identified by “e3car61”

• Открыть wallet:
alter system set wallet open identified
by “e3car61”


Защита данных в колонках таблиц

• Зашифровать данные в колонке для существующей таблицы:

alter table credit_rating modify
(person_id encrypt using „AES256‟,);

• Создать новую таблицу с защищаемой колонкой:
create table orders (
order_id number (12),
customer_id number(12),
credit_card varchar2(16) encrypt);

• Не поддерживается шифрование BLOB, CLOB
и ряда других типов данных…
• Размер данных увеличивается (33-48 bytes/row)


Защита данных в колонках таблиц


Данные
колонки
CUST_NAME

alter table banking.customer_tbl modify (cust_name encrypt);


Данные
колонки
CUST_NAME
преобразованы



Мастер-ключ хранится
в PKCS#12 wallet

Таблицы с защищенными
колонками


Ключи защищенных колонок

Ключи колонок защищены
мастер-ключом


Пароль
Таблицы с защищенными
колонками


Доступ к данным разрешен

Данные защищенных
колонок таблиц доступны


Индексирование

• Создание и использование индексов для защищенных колонок :

Alter table credit_rating modify
(person_id encrypt no salt)

Create index person_id_idx on credit_rating
(PERSON_ID)
Select score from credit_rating
where PERSON_ID = '235901';

• Индекс не может использоваться при non-equality поиске
• Индексируемое поле не может быть foreign key


Защита данных в LOB (CLOB, BLOB) колоноках

• Создание новой таблицы с защищаемой LOB колонкой:
create table orders ( doc CLOB
encrypt using „AES128‟)
LOB (doc) STORE AS SECUREFILE
TABLESPACE obe_tbs2 );

• Шифрование LOB колонок возможно только для SECUREFILE
• зашифровываются все строки данных LOB колонки

• Шифрование BFILE и внешних таблиц не поддерживается


Защита объектов в TABLESPACE

• Создание защищенного tablespace:
create tablespace securespace
datafile '/home/user/oradata/secure01.dbf'
size 150m
encryption using '3des168'
default storage(encrypt);

• Алгоритмы: 3DES168, AES128, AES192, AES256 Tablespace
• Существующее табличное пространство
не может быть зашифровано
• Ключ tablespace может быть изменен
• Обязательно использование опции SALT
Ключ физически хранится в Datafile Header Block.
Если файлов несколько, то он записывается в каждый из заголовков


Transparent Data Encryption: Ключи

Ключи таблиц зашифрованы
с использованием
мастер-ключа

Мастер-ключи
хранятся в ключнице
формата PKCS#12

Пароль

Tablespace Tablespace ключ хранится
мастер-ключ
в Datafile Header Block


Различие в преобразовании данных

SQL Layer SQL Layer

Buffer Cache
Колонки Табличные
Buffer Cache “SSN = 834-63-..” пространства

“*M$b@^s%&d7”

data blocks data blocks
“*M$b@^s%&d7” “*M$b@^s%&d7”
undo temp undo temp
blocks blocks blocks blocks
redo flashback redo flashback
logs logs logs logs


Transparent Data Encryption: Ключ

Ключи таблиц зашифрованы
11gR2 с использованием
мастер-ключ
можно изменить мастер-ключа

хранится в ключнице
формата PKCS#12

Пароль

Tablespace ключ хранится
в Datafile Header Block


Права доступа

Database DBA



Пароль для доступа к Wallet
отличается от system и DBA паролей
нет доступа к Wallet

Database DBA



Доступ к данным
разрешен

Database DBA

Пароль



SELECT ANY TABLE
Доступ к данным
разрешен

Database DBA

Пароль


Как защитить данные от инсайдеров ?

SELECT ANY TABLE

Database DBA

Пароль


Так ли хороши «альтернативные» СЗИ?

Изменение
стандартных
процедур
SGA обработки

Неправильная работа с SGA может
привести к потере данных


Реализация программы
управления уязвимостями

• Требование 6: Должна обеспечиваться безопасность при разработке и
поддержке систем и приложений
…Если выполняется разработка приложений внутри организации, большого количества уязвимостей
можно избежать, используя стандартные процессы разработки систем и приемы безопасного
программирования.

• 6.2 Должен существовать процесс идентификации вновь обнаруженных
уязвимостей безопасности (например, подписка на рассылки, связанные с
информационной безопасностью и обнаружением уязвимостей, свободно
доступные в сети Интернет). Должно выполняться обновление стандартов
конфигурирования с целью устранения новых обнаруженных уязвимостей.

• Цель данного требования состоит в том, что организации должны своевременно узнавать о
новых уязвимостях для того, чтобы они могли защищать свои сети и внедрять процедуры
устранения вновь обнаруженных и имеющих отношение к их системам уязвимостей в свои
стандарты конфигурирования.


Обновления


Реализация программы
управления уязвимостями

• Требование 6: Должна обеспечиваться безопасность при разработке и
поддержке систем и приложений
…Если выполняется разработка приложений внутри организации, большого количества уязвимостей
можно избежать, используя стандартные процессы разработки систем и приемы безопасного
программирования.

• 6.3.2 Должны быть разделены среды разработки, тестирования и
эксплуатации
• Разделяются среды разработки/тестирования и среды эксплуатации и используются
механизмы контроля доступа для реализации разделения этих сред

• 6.3.4 Для тестирования или разработки не должны использоваться данные из
среды эксплуатации (реальные номера PAN)

• Данные из среды эксплуатации (реальные номера PAN) не используются для
тестирования и разработки или уничтожаются перед вводом в эксплуатацию
Пояснение: В среде разработки обычно осуществляется менее жесткий контроль за
обеспечением безопасности. Использование в такой среде реальных данных
позволит потенциальным злоумышленникам, равно как и разработчикам, получить
неавторизованный доступ к информации, используемой в эксплуатационной среде


Data Masking Pack


Утечки информации
При разработке и тестировании сложных приложений

Data Masking Pack
Oracle Enterprise Manager

Данные, представленные для
тестирования


Oracle Data Masking Pack
Концепция

LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000

BENSON 323-22-2943 60,000
D‟SOUZA 989-22-2403 80,000
FIORANO 093-44-3823 45,000

LAST_NAME SSN SALARY
ANSKEKSL 111—23-1111 40,000

BKJHHEIEDK 111-34-1345 60,000

KDDEHLHESA 111-97-2749 80,000
FPENZXIEK 111-49-3849 45,000



Процедура преобразования данных
EM Data Masking Pack : Workflow

OFF-LINE
Database
Masking



Реализация мер
по строгому контролю доступа

• Требование 7: Доступ к данным платежных карт должен быть ограничен
в соответствии со служебной необходимостью
Данное требование обеспечивает то, что доступ к критичным данным может быть осуществлен
только авторизованными сотрудниками.

• 7.1 Доступ к вычислительным ресурсам и данным платежных карт должен
быть предоставлен только тем сотрудникам, которым он необходим для
выполнения должностных обязанностей

• Права привилегированных пользователей ограничены минимально достаточными
полномочиями, необходимыми для выполнения их должностных обязанностей
• Назначение полномочий в системах сотрудникам выполняется в соответствии с
должностью и выполняемыми функциями
• Для предоставления полномочий необходимо наличие заявки с перечнем
запрашиваемых прав, утвержденной руководством
• Использование автоматизированных систем контроля доступа


Database Vault

”Руководителям организаций важно,
чтобы администраторы баз данных
управляли базами данных,
Noel Yuhanna,
а не данными ...” Senior Analyst
Forrester Research
“Microsoft, IBM и Sybase не имеют аналогичных средств”


Oracle® Database Vault ?

• Опция СУБД Oracle 10g Release 2 EE
Oracle 11g EE
или Oracle 9i R2 (9.2.0.8) EE
• Возможность ограничивать (исключать)
доступ к данным приложений со стороны
администратора базы данных (DBA)
• Обеспечение доступа к данным на основе
динамически настраиваемых правил
• Повышение защищенности объектов БД
от несанкционированных изменений
• Разделение полномочий пользователей в
• Обеспечивает возможность безопасной
соответствии с их функциональными
консолидации IT-ресурсов организации
обязанностями и надежный внутренний
контроль • Все механизмы “встроены” в БД Oracle


Oracle Database Vault
Защита от внутренних нарушителей

Снабжение
DBA
HR

Приложение Финансы

•select * from finance.customers

• Привилегированные пользователи не смогут злоупотреблять
своими правами
• Разделение полномочий по функциональным обязанностям
• Защита от запрещенных действия внутри БД
• Обеспечение доступа к данным приложений только через
приложения (запрет «прямого» доступа к данным)


Защищенная область
Пример использования

Пользователь SYSTEM
может просматривать
конфиденциальные данные
SELECT ANY TABLE

hr.employees


Database Vault
Интерфейс администратора


Создана


Результат применения

Даже пользователь SYSTEM
не может просматривать
защищенные данные
SELECT ANY TABLE

hr.employees


Реализация мер
по строгому контролю доступа

• Требование 12: Должна поддерживаться политика информационной
безопасности, регламентирующая деятельность сотрудников и
контрагентов
Продуманная политика информационной безопасности определяет стратегию защиты информации
в компании и распределяет обязанности за обеспечение безопасности. Все сотрудники должны быть
осведомлены о необходимости защиты данных и своих обязанностях по их защите.

• 12.2 Должны быть разработаны типовые периодически выполняемые
процедуры обеспечения безопасности, соответствующие требованиям
данного стандарта (например, процедуры управления пользовательскими
учетными записями и процедуры анализа журналов регистрации событий).

• Действующие постоянно процедуры защиты выступают в качестве «настольных
инструкций» для использования сотрудниками при выполнении своих повседневных
обязанностей по администрированию и поддержке систем. Недокументированные
действующие процедуры защиты могут привести к тому, что сотрудники не будут
знать полный круг своих обязанностей, к процессам, которые не смогут быть
воспроизведены в кратчайшие сроки новыми сотрудниками, а также к потенциальным
уязвимостям в этих процессах, которые могут предоставить злоумышленнику
возможность получения доступа к критичным системам и ресурсам.


Многофакторная авторизация
Правила (Rule Sets)

Локальный компьютер ? TRUE or FALSE

AND / OR

Рабочие часы ? TRUE or FALSE

AND / OR

AND / OR
APP.STATUS column > 0 ? TRUE or FALSE

Rule Set Result TRUE or FALSE


Динамическая настройка правил
Создание правила Non Work Hourse

HR


Список контролируемых команд
Command Rule Flexibility

Alter Database Alter Database Alter Table
Alter Function Audit Alter Tablespace
Alter Package Body Alter Procedure Alter Profile
Alter Session Alter System Alter Synonym
Alter Table Alter Trigger Alter User
Password Alter Tablespace Alter View
Change Password Connect Comment
Create Function Create Index Create Package
Create Database Link Create Procedure Create Role
Create Package Body Create User Create View
Create Table Grant Insert
Noaudit Rename Lock Table
Create Tablespace Create Trigger Truncate Table
Update Insert Delete
Execute Select


Фактор DOMAIN. Диапазоны IP-адресов

HIGHLY SECURE

SECURE

NOT SECURE


Фактор DOMAIN. Проверка

ORCL_DBV

IP 192.168.214.51

IP 192.168.214.251


Правила выполнения команд
Запрет команды ALTER SYSTEM

1

2

3


Отчеты и аудит

• Более 30 предустановленных
отчетов о выполнении политик
безопасности
• Аудит попыток нарушений
защиты
• Отчеты по защищенным
областям (Realms), выполнении
правил (Rules) и условий
(Factors)
• Списки системных и
пользовательских привилегий
на доступ и обработку данных


123317, Россия, Москва,
Пресненская наб.,10
Москва-Сити,
бизнес-центр "Башня на Набережной",
Блок С

Nikolay.Danyukov@oracle.com

6.n.danyukov oracle

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie 6.n.danyukov oracle

Ähnlich wie 6.n.danyukov oracle (20)

Mehr von Informzaschita

Mehr von Informzaschita (10)

6.n.danyukov oracle