Oracle数据库安全及合规遵循解决方案.ppt

Oracle数据库安全及合规遵循解决方案 Oracle技术服务部AdvancedCustomerService王伟民 2 信息爆炸式增长 Source IDC 2008 1 800Exabytes 2006 2011 3 DataBreach 与信息泄密相关的事件 Onceexposed thedataisoutthere thebellcan tbeun rung PUBLICLYREPORTEDDATABREACHES TotalPersonallyIdentifyingInformationRecordsExposed Millions Source DataLossDB 2009 4 OracleDatabaseSecurity业务需求驱动力 数据 业务 系统等多个层面的整合 安全性管理是一种预防性控制 安全控制可加强对法规的遵守 以满足新的隐私和公司治理法规 Sarbanes Oxley HIPAA Gramm Leach Bliley法案 PCIDSS等 的要求 从手动方式转变为自动化方式从检测性法规遵守控制转变为预防性控制自动化预防控制可降低遵守法规的成本自动执行职责分离自动化的证明自动化的审计和报表编制 数据安全的驱动因素 Sarbanes Oxley SOX EuroSOX HIPAAGLBAPCIDSSCASB1386加州资料隐私法案BaselII欧盟新巴塞尔资本协定企业内部控制基本规范 大量的威胁未被发现离岸 外包的系统客户需要监控内部特权人员 合规性 内部 外部威胁 法规要求不断增多 美国健康保险可携性及责任性法案 HIPAA 联邦法规第21章第11部分总统管理与预算局公告A 123美国证交会和国防部的记录保留要求美国爱国者法案Gramm Leach Bliley法案美国联邦量刑指南美国反海外腐败法关于市场工具的第52款 加拿大 欧洲 中东和非洲欧盟隐私法令英国公司法危害物质限用指令 ROHS WEE 亚太地区中国上市公司内部控制指引企业内部控制基本规范J SOX 日本 CLERP9 审计改革和公司信息披露法案 澳大利亚 泰国股票交易所关于公司治理的规定全球国际会计准则新巴塞尔协议 针对全球企业 OECD公司治理原则个人卡信息数据安全标准 8 TopITSecurityPrioritiesForrester StateOfEnterpriseITSecurityAndEmergingTrends Source ForresterResearchInc TheStateOfEnterpriseITSecurityAndEmergingTrends 2009To2010 Jan 25th2010 企业内部控制基本规范中国版 萨班斯法案 10 DataMaskingTDETablespaceEncryptionOracleTotalRecallOracleAuditVaultOracleDatabaseVaultTransparentDataEncryption TDE RealTimeMaskingSecureConfigScanningFineGrainedAuditingOracleLabelSecurityEnterpriseUserSecurityVirtualPrivateDatabase VPD DatabaseEncryptionAPIStrongAuthenticationNativeNetworkEncryptionDatabaseAuditingGovernmentcustomer OracleDatabaseSecurity持续创新 Oracle7 Oracle8i OracleDatabase9i OracleDatabase10g OracleDatabase11g 企业数据库安全策略的三个基石 法规遵循 PCI SOX HIPPA EU 信息安全策略与标准 统一的数据库安全策略与标准 权责分离 RoleSeperation 12 OracleDatabaseSecurity Compliance全面 综合的深度保护 加密 数据屏蔽 访问控制 监控 用户管理及认证 13 OracleDatabaseSecurity全面 综合的深度保护 DatabaseVault LabelSecurity 访问控制 ConfigurationManagement AuditVault TotalRecall 监控 DataMasking AdvancedSecurity SecureBackup 加密与屏蔽 14 Oracle高级安全选项安全的磁盘 磁带导出 网络传输及备份 DataMasking AdvancedSecurity SecureBackup 加密与屏蔽 15 NetworkEncryption TDEColumnEncryption TDETablespaceEncryption StrongAuthentication RMAN TDEFullyEncryptedDatabaseBackupstoDisk HardwareSecurityModule MasterKey OracleWallet EncryptedExports Oracle高级安全选项概览 DatabaseEncryptionArchitecture August2005 TechChoices TheForresterWave DatabaseEncryptionSolutions Q32005 17 Strongauthentication Networkencryption TDEcolumnencryption TDEcolumnencryptionwithHSM TDEcolumnencryptionforSecureFiles TDEtablespaceencryption TDEtablespaceencryptionwithHSM TDEwithExadata OracleDatabase11gRelease2 OracleDatabase11gRelease1 OracleDatabase10gRelease2 OracleDatabase9iRelease2 Oracle高级安全选项功能特性分布 18 Oracle高级安全选项数据传输 存储保护 透明数据加密 TDE 无需应用调整表空间或表字段加密对RMAN备份或Export导出加密加密OracleSecurefiles LOBS 内置的密钥管理自动 透明支持硬件安全模块 HardwareSecurityModule HSM 网络加密SSL TLSNative 无需数字证书高强度认证Kerberos PKI 75000 EncryptedDisks Backups Exports NetworkEncryption StrongAuthentication 19 Oracle高级安全选项Oracle11g透明表空间加密 加密所有的应用数据加密所有的数据文件无需单独加密表字段每个表空间一个Key MasterKey保护表空间Key 2层 高效高性能与Oracle高级压缩集成无需应用调整支持所有数据类型支持索引范围扫描 IndexRangeScan SQLLayer datablocks M b s d7 undoblocks tempblocks flashbacklogs redologs BufferCache SSN 987 65 20 加密案例UltraEdit查看数据文件 加密前 21 加密案例基于字段的加密 加密前 部门字段 oracle raclinux1 stringstest01 dbf z b RACDBTESTOPERATIONSBOSTON SALESCHICAGO RESEARCHDALLAS ACCOUNTINGNEWYORK 加密后 部门字段 root raclinux1oracle stringstest01 dbf z b RACDBTEST zONEWYORK DALLAS Q D0CHICAGO BOSTON 22 加密案例日志文件 root raclinux1oracle stringslog004 dbfNEWYORK DALLAS CHICAGO NZgeBOSTONNEWYORK DALLAS 4li4IECHICAGO BOSTON 1 NEWYORK DALLAS CHICAGO BOSTON 23 Oracle高级安全选项网络加密 对进出Oracle数据库的SQL数据流进行加密AES 256 192 128bitkeys RSARC4 256 128bitkeys 3DES 3and2key Diffie Hellmankeyexchange数据完整性检查SHA 1自动检测篡改 回放 丢包 24 Oracle高级安全选项网络加密 Wireshark监控 25 OracleAdvancedSecurity透明数据加密 DataPump DataPump适用于批量数据导入及导出对导出数据文件进行加密 expdp EncryptedExportfile 4f9kq90b23490bv 9vj943 IB4390 90w3b0aqer9 P 32 OracleDatabase11g Note TheDataPumpexpdpcommandcanacceptapassphraseorusethestrongerOracleAdvancedSecurityMasterKeytoencryptthedata 26 OracleSecureFilesOracle数据库11g新的非结构化数据类型 较本机文件系统更快 更安全地维护非结构化数据透明加密 压缩和消除重复统一的安全模型统一管理结构化数据和非结构化数据高性能和成本效益与LOB数据类型类似 但速度更快且功能更多保证数据库的安全性 可靠性和可扩展性众多LOB接口 方便从LOB进行迁移 27 OracleSecureFiles较本机文件系统更快 更安全 读取性能 写入性能 Mb Sec Mb Sec 文件大小 Mb 文件大小 Mb 28 OracleSecureBackup与磁带备份管理集成 OracleSecureBackupCentralizedTapeBackupManagement Data UNIX Linux Windows NAS Tape OracleDatabases IntegrationwithRMAN 保护备份集保护数据库的备份自动密钥管理高性能不备份已提交的事务的Undo数据高级介质管理自动磁带循环使用基于策略的磁带副本创建 29 VirtualPrivateDatabase实时数据访问控制 与VPD数据字段相关的策略可对敏感数据进行自动屏蔽 whereaccount mgr id sys context APP CURRENT MGR 381 395 9223 431 395 9332 483 562 0912 461 978 8212 581 295 7603 181 095 1232 121 791 4212 701 495 2123 15000 17000 12000 10000 15000 25000 Select fromcustomers VPDPolicy SSN VPD MGRID 148 Almost50 ofallorganizationsexposedProductiondatainnon ProductionenvironmentsOnly16 haveasysteminplacefordeidentifyingsensitivedata2010IOUGDataSecurityReport ApplicationDevelopers ITServiceProviders Businesspartners MarketResearch ClinicalResearch DataMaskingPack离线数据屏蔽 31 DataMaskingPack离线数据屏蔽 敏感数据保护对敏感数据进行转化保护不影响生产数据内置的发现功能支持利用外键定义维持表之间的关系支持客户化关系定义 测试或开发库 生产库 DataMasking版本支持 SupportOracleDatabase9 2through11 2AllOracleApplicationsontheaboveDBplatformsAvailableinOracleEnterpriseManagerGridControl10 2 0 4 11 1OracleEnterpriseManagerDatabaseControl11 2 DataMasking实施方法论 FindAssessSecureTest 34 Oracle数据库访问控制细粒度访问控制 DatabaseVault LabelSecurity 访问控制 DataMasking AdvancedSecurity SecureBackup 35 OracleDatabaseVault超级用户监控 DBA访问人力资源数据 合规遵循 防止内部越权 人力资源访问财务数据 消除业务系统整合导致的潜在安全风险 DBA HRApp SELECT FROMHR EMP FINApp 36 OracleDatabaseVault实时数据访问控制 37 OracleDatabaseVault内置要素概览 用户名字认证方法会话用户代理身份网络机器名客户端IP网络协议其他可定义客户化 数据库IP实例主机名SID运行时语言日期时间 38 OracleDatabaseVault权责分离 账户管理新账户将由DatabaseVault管理员创建安全管理DatabaseVault使用不同于DBA或SYSDBA的单独账户进行管理传统的数据库管理账户管理 安全管理与传统的数据库管理分离 39 OracleLabelSecurity基于Label的访问控制 UserLabelAuthorization 敏感数据保护可对数据记录行分配数据标签可对应用用户分配用户标签使用内置的算法实现对表的透明访问灵活 可定制基于策略的架构增强的选项权限经验证安全的存储过程完整的API OracleLabelSecurityLabel组件 40 Confidential HighlySensitive US Sensitive HR US Level Compartment Group 41 OracleLabelSecurity保护数据安全 细粒度审计FGA鉴别数据访问权限的滥用 加密与数据库连接的所有协议防止嗅探及篡改 PKI及LDAP集中管理 强认证 数据私密性 审计 虚拟私有数据库VPD行标签安全LabelSecurity增强行级数据安全 存储数据加密保护超级敏感数据 数据安全 网络安全 统一用户身份 42 OracleLabelSecurity保护数据安全 细粒度审计FGA鉴别数据访问权限的滥用 加密与数据库连接的所有协议防止嗅探及篡改 PKI及LDAP集中管理 强认证 数据私密性 审计 虚拟私有数据库VPD行标签安全LabelSecurity增强行级数据安全 存储数据加密保护超级敏感数据 数据安全 网络安全 统一用户身份 Oracle企业版附加安全选项独特 创造性的 功能强大的行级安全系统基于VPD部件 细粒度访问控制FGAC增加基于标签访问控制的架构增加内部安全包 使用敏感标签限制内部访问该设计基于日益迫切而又严厉的政府及商业行级安全需求数据访问基于敏感标签 及可自定义的强制选项 OracleLabelSecurity行标签安全 VPD OLS 区别 企业版的组成部分客户开发安全策略定制开发 企业版的安全选件Oracle提供安全策略和行标签安全架构无需开发 都提供API s可用于托管数据库内的集中安全在行级别限制访问 VPD OLS 相同点 45 OracleDatabaseSecurity安全升级及配置管理 DatabaseVault LabelSecurity ConfigurationManagement AuditVault TotalRecall 监控 DataMasking AdvancedSecurity SecureBackup 46 AuditingintheOracleDatabase健壮 灵活 精确 业界最先进语句 审计基于Schema对象的DDL DML权限 审计使用特定系统权限的语句特定用户或用户组细粒度审计基于策略的条件审计灵活度高表审计支持XML支持Windows时间查看器及系统日志 47 Monitor Policies Reports Security OracleAuditVaultAuditVault概览 OracleDatabases DB2 Sybase beta MicrosoftSQLServer 48 OracleAuditVault报表 自动数据过滤 基于条件高亮特定记录 客户化报表 图形化报表显示 49 OracleAuditVault告警通过告警发现安全威胁 有效的扫描可对审计数据进行扫描可定制的告警 如 直接访问敏感数据在特定系统上新建用户权限授予DBA权限管理失败的系统登录 50 OracleAuditVault策略审计策略的集中管理 策略定义集中式的策略管理SOX HIPAA策略审计设置可抽取已定义的策略支持手工重设策略策略分发策略可分发到特定的审计库策略维护新核准的策略将与现有策略进行比照 SOXAuditSettings PrivilegeUserAuditSettings PrivacyAuditSettings FinancialDatabase CustomerDatabase HRDatabase OracleAuditVault 51 OracleDatabaseAuditing审计的必要性 超级权限拥有者审计所有操作数据库层面DDL操作Create drop altertableCreate drop alteruserCreate dropdatabaselinkCreate drop alterview 登录失败敏感数据访问审计对高密级数据访问进行审计 52 OracleAuditVault AV HOME demo secconf sql ALTERANYPROCEDURECREATEANYJOBDROPANYTABLEALTERANYTABLECREATEANYLIBRARYDROPPROFILEALTERDATABASECREATEANYPROCEDUREDROPUSERALTERPROFILECREATEANYTABLEEXEMPTACCESSPOLICYAUDITROLEBYACCESS CREATEEXTERNALJOBGRANTANYOBJECTPRIVILEGEALTERSYSTEMCREATEPUBLICDATABASELINKGRANTANYPRIVILEGEALTERUSERCREATESESSIONGRANTANYROLEAUDITSYSTEMCREATEUSERAUDITSYSTEMBYACCESSDROPANYPROCEDURE 53 OracleAuditVaultCPU资源开销 OriginalworkloadCPU1 08 for10audit seccaseOriginalworkloadCPU1 56 for100audit seccase AuditSource Internaltesting Source 4x32GB3GHzIntelXeonsRHEL3 0 running2OracleDatabase10 2 0 3 0AVServer 2x6GB3GHzIntelXeonsRHEL3 0 AVServer10 2 2 0 0 54 OracleTotalRecall安全变更跟踪 selectsalaryfromempASOFTIMESTAMP 02 MAY 0912 00AM whereemp title admin 透明的 数据变更历史 痕迹跟踪高效 安全的归档数据管理及维护可对历史 归档数据的实时数据访问提供真实详尽的数据 供 错误修复 争议裁决 55 OracleConfigurationManagementVulnerabilityAssessment SecureConfiguration 数据库发现与系统管理基于最佳实践的定期安全扫描对非授权配置调整进行主动防止及侦测内置了大量符合公司治理的配置管理报表 ConfigurationManagement Audit VulnerabilityManagement Fix Analysis Analytics Prioritize PolicyManagement Assess Classify Monitor Discover AssetManagement 56 ConfigurationManagementPack安全的配置管理 OracleDatabaseFirewall数据库防火墙 Application Database Administrators DataMustBeProtectedattheSource DatabaseApplicationUsers WebUsers OracleDatabaseFirewall数据库防火墙业务驱动 CustomersneedfirstlineofdefencetomonitorandprotectagainstexistingandemergingthreatsHackersbreachdatabasesfromthewebexploitingvulnerabilitiesinapplicationsStolencredentialsexploitedforunauthorizeduse Application Database DatabaseFirewall Monitordatabaseactivitytohelppreventunauthorizedactivity applicationbypassandSQLinjectionsHighlyaccurateSQLgrammarbasedanalysisWhite list black list andexception listbasedsecuritypoliciesBuilt inandcustomcompliancereportsforregulations OracleDatabaseFirewall数据库防火墙前沿防护 White listbasedpoliciesenforcenormalorexpectedbehaviorPoliciesevaluatefactorssuchastime day network andapplicationEasilygeneratewhite listsforanyapplicationOutofpolicySQLstatementscanbelogged alerted blockedorsubstitutedwithaharmlessSQLstatementSQLsubstitutionfoilsattackerswithoutdisruptingapplications WhiteList Applications Block Allow OracleDatabaseFirewall数据库防火墙基于乐观安全模型的增强防护 OracleDatabaseFirewall数据库防火墙基于悲观安全模型的增强防护 StopspecificunwantedSQLcommands user orschemaaccessPreventprivilegeorroleescalationandunauthorizedaccesstosensitivedataBlacklistpoliciescanevaluatefactorssuchasday time network andapplication Block Allow BlackList Applications Block Log Allow Alert Substitute InnovativeSQLgrammartechnologyreducesmillionsofSQLstatementsintoasmallnumberofSQLcharacteristicsor clusters FlexibleenforcementatSQLlevel block substitute alertandpass logonlySQLsubstitutionfoilsattackerswithoutdisruptingapplicationsCentralizedpolicymanagementandreportingSuperiorperformanceandpolicyscalability OracleDatabaseFirewall数据库防火墙ScalableandSafePolicyEnforcement Applications OracleDatabaseFirewall数据库防火墙报表 DatabaseFirewalllogdataconsolidatedintoreportingdatabaseDozensofbuiltinreportsthatcanbemodifiedandcustomizedDatabaseactivityandprivilegeduserreportsEntitlementsreportingfordatabaseattestationandauditSupportsdemonstratingcontrolsforPCI SOX HIPAA etc LoggedSQLstatementscanbesanitizedofsensitivePIIdata OracleDatabaseFirewall数据库防火墙架构 In lineblockingandmonitoring orout of bandmonitoringmodesHighavailabilitywithparallelfirewallsMonitoringofremotedatabasesbyforwardingnetworktrafficApplicationagnosticSupportforOracleandnon OracleDatabases In LineBlockingandMonitoring HAMode InboundSQLTraffic Out of BandMonitoring PolicyAnalyzer 65 OracleDatabaseSecurity全面 综合的深度保护 DatabaseVault LabelSecurity AccessControl ConfigurationManagement AuditVault TotalRecall Monitoring DataMasking AdvancedSecurity SecureBackup EncryptionandMasking Current PlannedUseofEnablingTechnologies allrespondents Usingplannedvs currentasaproxyforyear over yeargrowthratesshowsnear termmarketopportunityCurrentevaluationsindicatestrongmarketinterestindatabaseencryption datamasking tokenization CurrentUseofEnablingTechnologies byMaturityClass Best in Classhavemoreaggressivelydeployedavarietyoftechnologiesdesignedtoprotectthedatabase 68 一 Oracle数据库安全评估服务 常见业务 痛点 合规遵循 内部治理难以获得来自IT系统的支持过度授权 如授予应用用户DBA角色缺省安装 缺省用户及口令 弱口令 口令重复且永不过期备份数据随意存放 如保存在移动存储设备不透明的间接授权导致对象 系统权限放大版本老 旧 69 一 Oracle数据库安全评估服务 安全评估服务流程 安全评估调查问卷 Questionnaire检查清单 CheckList评估工具SecurityAssessmentTool SATOracle安全信息定制脚本RemoteDiagnosisAssistant RDA交