数据库安全与企业管理器融合解决方案.ppt

,Copyright2014Oracleand/oritsaffiliates.Allrightsreserved.|,数据库安全与企业管理器融合解决方案,目录,Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析,1,2,3,数据等级分类数据加密、通道加密数据屏蔽、脱敏配置变更管理数据备份和恢复身份和权限管理、职责分离AdvancedSecurityDataMaskingDatabaseVaultSecureBackupLifecycleManagementLabelSecurityIdentityManagement,DBA行为追踪和分析用户行追踪和分析IP行为追踪和分析用户增改删追踪权限增改删追踪数据增改删追踪存储过程增改删追踪配置增改删追踪AuditVaultTotalRecallDatabaseFirewallLifecycleManagementIdentityManagement,SQL注入拦截非法访问拦截数据破坏拦截敏感数据访问拦截DatabaseFirewallDatabaseVault,事后审计,事前防范,事中拦截,数据安全管理的三个阶段,DatabaseVaultLabelSecurityIdentityManagement,AdvancedSecuritySecureBackupDataMasking,Oracle数据安全纵深防护方案,AuditVaultTotalRecallConfigurationManagement,DatabaseFirewall,在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据,事前阻止,事中防护、预警,事后追溯,用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据“改不了”运维操作“跑不掉”,OracleDatabaseFirewall第一道防线,监视数据库活动防止未授权的数据库访问、SQL注入、权限或角色升级、对敏感数据的非法访问等。通过高度精确的SQL语法分析避免代价高昂的误报。基于白名单和黑名单的灵活的SQL级实施选项可伸缩的体系结构让企业可以适应各种部署模式适用于SOX、PCI和其他法规的内置和自定义合规性报告,可以为任何用户或应用程序定义“允许的”行为白名单可以包括诸如时间、日期、网络、应用程序等内置因素为任何应用程序自动生成白名单立即拒绝不符合策略的事务数据库将只按照您的要求和愿望来处理数据,白名单,应用程序,阻止,允许,OracleDatabaseFirewall主动安全模型,OracleDatabaseFirewall被动安全模型,停止不接受的特定SQL命令、用户或模式的访问防止权限或角色提升以及对敏感数据的未授权访问黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素根据您的业务和安全目标有选择地阻止事务的任何部分,阻止,允许,黑名单,应用程序,OracleDatabaseFirewall快速和灵活的部署,串联：所有数据库流量都经过OracleDatabaseFirewall并联/被动：数据库防火墙连接到SPAN端口或TAP可选的基于主机的远程或本地监视器可将网络流量从数据库主机发送到数据库防火墙可将非网络数据库活动发送到数据库防火墙，以识别本地控制台或远程会话的未授权使用,数据库服务器,用户,并联,数据库防火墙,应用服务器,串联,基于主机的代理,路由器,10,DatabaseVault是什么？,一般的OracleDatabaseDBA控制所有的权限,数据库管理员,DBA,账户管理员,应用管理员,数据库起动/停止不能访问实际的数据！,用户的创建修改、配置文件的创建変更修改、访问的授权不能访问实际的数据！,应用数据的管理、访问权限的分配,从DB的起动停止到所有用户对象以及安全设置、系统权限的执行都可以控制。存在着由于DBA自身引起数据泄露、非法数据操作等等的极大风险！,数据库管理,安全规则管理,应用数据的管理,数据库管理,账户管理,应用数据的管理,账户管理,安全管理员,基于安全规则对访问控制进行设置、管理不能访问实际的数据！,安全规则管理,OracleDatabaseVault将管理权限分配到各个管理员,强大而灵活的访问安全控制选件,回避将管理权限集中到一元的风险，根据工作要求分配恰当的权限给多个管理员，加强数据库管理的安全,11,DatabaseVault的工作机制,一般的OracleDatabase有权限就可以访问,OracleDatabaseVault必须满足条件才可以访问,有合适的系统/对象权限的角色,有合适的系统/对象权限的角色,CONNECT角色,检查控制要求,禁止,允许,CONNECT角色,基于安全规则设置一些复杂条件的访问控制只有满足条件的情况下、才允许使用相应的系统/对象权限可以时间星期IP地址客户信息等等、组合多种条件灵活地控制访问,12,域违规报告可证明的预防控制措施,内置审计和报告功能域违规报告权限报告，如“谁担任着DBA角色？”共有20多种报告易于设置和管理Web界面API,OracleDatabaseVault在数据库内部实施安全策略,自动的、可自定义的DBA职责分离及受保护的领域使用规则和因素管理人员、地点、时间和方式对特权数据库用户执行最小权限防止应用程序绕行、实施企业数据治理安全地整合应用程序数据或支持多承租方数据管理,应用程序DBA,select*fromfinance.customers,DBA,安全DBA,应用程序,采购,HR,财务,OracleDatabaseVault域保护,数据库DBA查看人力资源数据合规性和防止内部人员查看信息,HRDBA查看财务数据,消除服务器整合后的风险,可以很容易的将域应用于现有的应用程序中，对性能影响极小,OracleDatabaseVault规则和多因素授权,人力资源部DBA,基于IP地址的规则阻止动作,基于日期和时间的规则阻止动作,因素和命令规则提供灵活和可修改的安全控制,Oracle高级安全性动态和静态数据,OracleAdvancedSecurity,写入数据时自动加密#*,读取数据时自动解密75000,加密磁带备份、磁盘备份及数据导出(RC4、DES),网络加密(RC4、DES、AES),),(,强身份认证(Kerberos,PKI、SSL),透明数据加密(TDE),Oracle8i首先引入了OracleAdvancedSecurity，其中融合了网络加密、数据库加密和强身份验证，有助于客户解决隐私与合规性要求。,透明数据加密(TDE)无需应用修改表空间加密与列级加密内置密钥管理加密RMAN备份集和数据泵导出集加密OracleSecurefiles(LOBS)网络加密SSL/TLS强验证Kerberos,PKIRADIUS,OracleDataMasking对身缠数据进行不可逆的数据脱敏再用于非生产环境,使应用程序数据安全地使用于非生产环境防止应用程序开发人员和测试人员看到生产数据用于数据屏蔽自动化的可扩展模板库和策略自动保留引用完整性，以便应用程序能够继续正常运行,生产数据库,非生产数据库,数据永不离开数据库,OracleAuditVault实时审计数据库活动,将数据库审计线索整合到安全集中的信息库中检测并警告可疑活动，包括特权用户适用于SOX、PCI和其他法规的现成的合规性报告例如，特权用户审计、权限、失败的登录、受管制数据更改使用报告生成、通知、证明、存档等简化了审计。,审计数据,策略,审计人员,OracleTotalRecall跟踪对敏感数据的更改,selectsalaryfromempASOFTIMESTAMP02-MAY-0912.00AMwhereemp.title=admin,透明地跟踪应用程序数据随时间的更改数据库中高效、抗干扰的归档存储使用SQL实时访问应用程序的历史数据简化的突发事件取证和恢复,OracleTotalRecall,功能简介Oracle11g数据库的新选件；用于生成和管理历史数据；帮助企业利用历史数据来了解市场趋势和客户行为；主要特点易于配置，轻松地实现历史数据的捕获，不需要更改任何应用程序；捕获过程性能开销低，捕获到的历史数据以压缩形式存储，减少存储的开销；完善的保护机制，任何人（甚至管理员）都不能直接修改已保存的历史数据；无缝地查看过去的任何时间点上的归档数据；自动执行历史数据管理，数据库自动实施规则、发送警报，无需DBA介入；,DatabaseVaultLabelSecurityIdentityManagement,AdvancedSecuritySecureBackupDataMasking,Oracle数据安全纵深防护方案,AuditVaultTotalRecallConfigurationManagement,DatabaseFirewall,在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据,事前阻止,事中防护、预警,事后追溯,用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据“改不了”运维操作“跑不掉”,议程,Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析,目录,Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析,1,2,3,关于EM12c,应用管理（OracleApps+客户化应用管理）,企业就绪框架（全新可扩展架构）,云管理（云自服务、自动伸缩、自动供应等）,计费与容量规划（云资源测量与计费）,中间件管理（监控与通知/自动性能诊断/端到端等）,数据库管理（监控与通知/自动性能诊断/自动SQL优化等）,应用质量管理（数据脱敏/功能测试/压力测试/真实应用测试等）,配置管理（资产列表/配置历史/配置对比/配置标准化等）,Exa系列管理（软硬件一体化管理）,合规与补丁管理（法规遵从/补丁建议/批量打补丁/与MOS集成等）,EM：集中式数据库运维管理+业务驱动型应用管理,全生命周期管理数据库运维生命周期预警、监控、诊断、分析、优化、验证、实施、对比数据库管理生命周期供应、补丁、配置、变更、合规、高可用、安全、日常操作数据库云生命周期管理整合、自服务、计费、伸缩,IT基础设施管理集中、可伸缩、动态监控集成的云堆栈管理传统的“从应用到磁盘”的端到端管理自动分析能力与知识库可扩展接口与自定义插件,用户体验管理用户体验监控业务驱动应用管理业务监控与可视化服务等级管理,深入,深入,合规化,自动化,智能化,集中化,标准化,主动化,支撑,支撑,防火墙,软件库,资料库（存储库）,OMS,HTTP(S),JDBC,EM架构概览,代理,插件,目标,命令行接口,操作台,EM可扩展性,目标插件的创建者：Oracle例如：OracleDatabase,WebLogic,Exadata,Exalogic,Siebel,IBMDB2,SQLServer合作伙伴例如：MySQL,EMC,NetApp,F5BIG-IP,Entuity你也可以利用EDK开发,通过此链接了解更多：,EM管理模式实例,故障分类分析,EM企业管理平台,应用数据库分布,活动会话历史（ASH）+自动负载库（AWR）+自动数据库诊断（ADDM）,TopSQL,度量/阀值,告警/规则/规则集/行动,监控模版/分组,IO问题,软硬解析,配置问题,内存问题,XXXX,XXXX,XXXX,XXXX,XXXX,RAC相关,监控层,扩展功能（接口等）,诊断层,数据采集汇总层,代理与插件,核心：数据库运维理念,SQL自动优化引擎+SQL监视+数据库基础层优化,执行计划,索引建议,分区建议,统计信息,执行路径,SQLProfile,优化层,数据库层,报告/报表,热块,锁/栓竞争,等待事件,重组对象,STS,实时SQL监控,验证层,SQL性能,整体负载,Script,JOB,数据传输与存储,实施层,举重若轻：EM的自动化诊断,问题出在哪儿？EM自动分析你还需要关注SQL！,改善最艰难的工作,更多的后台保障：安全、合规与健康检查,通过“配置与合规”满足法规要求,更多的后台保障：批量补丁,通过“补丁检测与分发”防患于未然,更多的后台保障：报表与定制,自由加工EM收集到的数据，并进行各种报表设计,完整云生命周期管理,整合：DBaaS架构,EM支持从10gr2到12c的所有版本,不断增加的整合度,自动化：自助供应,请求通过web页面从目录选择最终使用者填写表单、设置口令数据库自动创建,请求IT部门IT采购、供应硬件、操作系统与网络等DBA安装Oracle11gR2+GridInfrastructure+RACDBA然后创建数据库,通过DBaaS，几分钟内即可交付,传统方法,DBaaS,监管：资源使用,所有云资源的全局视图理解CBD与PDB的关系云数据库的：监控、诊断、优化、管理,计费：灵活的计费标准,RealApplicationTesting在业务系统改造时的一般测试流程,目前的测试方法,20天,20天,80天,模拟的负载生成,120天,24天,为准备测试制作工作负载所需要的工时,测试环境搭建的工时,普通的不真实的应用测试,生产环境,测试环境,10000个用户,两个测试员模拟1000个用户,RAC,应用服务器,42,用RealApplicationTesting来减少测试准备时间,生产环境(以上),测试环境,客户模拟,RealApplicationTesting,抓取生产环境中的实际工作负载，然后在测试环境中忠实再现！,抓取,重放,至:,从:,数据库重放,全部工作流,部分工作流,低风险,高风险,自动,手工加强,真实生产环境负载,人造的工作负载,天级的开发,月级的开发,数据库重放：变化的支持,不支持的变化,支持的变化,数据库升级、打补丁Schema,参数RAC节点,内联接操作系统平台,操作系统升级CPU,内存存储等等.,中间层,存储,外部客户端需求的记录,运维路线图：五件事,标准化环境,自动化运营,流程化维护,支撑未来云化数据中心,控制应用质量,议程,Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析,目录,Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析,1,2,3,案例一山东移动AVDF部署架构,（1）DBFW,数据库报文镜像,交换机（备）,应用服务器,交换机(主),17,18,案例一山东移动AVDF总结,通过针对营收系统数据库的监控，AVDF快速展现了：AVDF可以主动学习和了解被保护数据库的SQL情况；通过制定白名单、黑名单及例外策略来实现对数据库的保护AVDF的驾驶舱，可实时洞察数据库当前正遭遇的安全压力和威胁趋势AVDF可对危险操作进行告警和拦截AVDF的行为追踪功能，可以协助日后安全事件的调查AVDF的SQL注入阻止功能，可以在应用层面防止黑客的入侵AVDF丰富的报表功能，通过多个视角、多个维度来分析和展示数据库系统在安全方面的运行状况。,案例二江苏移动AVDF主要保护点,对第三方维护人员的行为进行追踪和审计对数据库存储过程用户角色权限更改进行审计对数据库登陆进行追踪和审计对嫌疑人的行为进行追踪和审计对数据库对象的访问进行追踪和审计对新员工、离职员工的行为进行追踪和审计对数据库管理员的行为进行追踪和审计,对非授权IP的访问提出告警对规避应用逻辑的访问提出告警对敏感数据的访问提出告警对SQL注入提出告警,案例三中国电信DataMasking客户总结,针对电信ITSM服务管理系统的DataMasking：Datamasking可以满足应用系统指定表的指定字段敏感信息的屏蔽。Datamasking操作建议在包含有Stagingdatabase的环境中进行，确保Stagingdatabase的敏感信息被屏蔽后无安全隐患再将其分发到各个测试/开发库。Datamasking操作对现有生产系统无任何影响。Datamasking是EM中的管理包，所有操作均在web页面中进行，非常方便。内建丰富的datamaskingformatlibrary满足多种应用的需求。提供多种datamasking操作方法并支持用户自定义datamaskingdefinition。快速生成datamasking定义脚本并支持datamasking定义的xml格式导出与导入，为其他数据库的datamasking操作带来便捷。,案例四中