jueves, 8 de enero de 2015

Oracle Data Masking

Oracle Data Masking ayuda a las organizaciones a cumplir con la privacidad y protección de los datos de mandatos que restringen el uso y el intercambio de información privada, confidencial o de identificación personal (PII).

Con Oracle Data Masking, a la información confidencial, como tarjeta de crédito o números de seguridad social se los puede reemplazar con valores realistas, permitiendo que los datos de producción puedan ser utilizados con seguridad con fines distintos al de producción.


Características
  • La información confidencial, como números de tarjetas de crédito o de seguridad social, se puede reemplazar con valores realistas.
  • Los datos de producción se pueden utilizar de forma segura para desarrollo, prueba, o compartir con los socios de externalización o equipos flotantes.
  • Utiliza una biblioteca de plantillas y normas de formato, los datos que transforman constantemente con el fin de mantener la integridad referencial para aplicaciones.
  • Amplias posibilidades de búsqueda escanear bases de datos empresariales para los datos sensibles y los resultados de rango basadas en la probabilidad de coincidencia.
  • Ayuda a cumplir con los mandatos de protección de datos, tales como la Ley de Responsabilidad Sarbanes-Oxley, Industria de Tarjetas de Pago (PCI) Data Security Standard (DSS) y portabilidad del seguro médico y (HIPAA).
Ventajas de Oracle Data Masking

  • Descubrimiento automático de los datos sensibles y Relaciones.
  • Amplia Formato Masking Biblioteca y plantillas de aplicación para  la versión de OracleE-Business Suite y Oracle Fusion Applications.
  • Transformaciones de enmascaramiento integrales.
  • Subdivisión de Multi Factor.
  • Rápido, Seguro y heterogéneo.

Implementación de Data Masking
Oracle tiene un desarrollo integral de 4 pasos:
  • Find: Esta fase consiste en la identificación y catalogación de datos confidenciales o regulados a través de toda la empresa. Por lo general realizada por los analistas de negocios o de seguridad, el objetivo de este es llegar a la lista completa de los elementos de datos sensibles específicos para la organización y descubrir los asociados como tablas, columnas y relaciones a través de las bases de dato
  • Assess: En esta fase, los desarrolladores o administradores de bases de datos en conjunto con las empresas o analistas de seguridad identifican los algoritmos de enmascaramiento que representan las técnicas óptimas para reemplazar el datos originales sensibles. Los desarrolladores pueden aprovechar la biblioteca enmascaramiento existente o ampliarlo con sus propias rutinas de enmascaramiento.
  • Secure: El administrador de seguridad ejecuta el proceso de enmascaramiento para asegurar los datos sensibles durante los ensayos de enmascaramiento
  • Test (FAST): En el paso final, los usuarios de producción ejecutan procesos de aplicación para poner a prueba si los datos enmascarados resultantes pueden ser entregados a los demás usuarios que no sean de producción. Si el enmascarar rutinas necesitan ser modificados de nuevo, el DBA restaura la base de datos al pre- estado enmascarado, corrige los algoritmos de enmascaramiento y volverá a ejecutar el proceso de enmascaramiento.
Técnicas de Enmascaramiento.
Estas técnicas aseguran que las aplicaciones siguen funcionando sin errores después de enmascarar.


  • Enmascaramiento basado en la condición: esta técnica permite aplicar diferentes formatos de máscara en el mismo conjunto de datos en función de las filas que coincidan con las condiciones. Dos tipos de datos pueden residir en la misma columna, y después de enmascarar las aplicaciones puede ser necesario para mantener las mismas características de la datos aún enmascarado para asegurar la funcionalidad correcta.
  • Compuesto de enmascaramiento: esta técnica se asegura de que se enmascara un conjunto de columnas relacionadas como un grupo para asegurar que los datos enmascarados a través de las columnas relacionadas conservan la misma relación.
  • Enmascaramiento determinista: esta técnica garantiza los valores enmascarados repetibles después de enmascarar, por ejemplo, un número de cliente se enmascara con el mismo valor en todas las bases de datos.
  • Enmascaramiento reversible basado-Key: cuando las empresas tienen que enviar sus datos a un tercero partido para el análisis, informes o cualquier otro proceso de negocio, esta técnica se transforma los datos originales en una representación enmascarada de sí mismo utilizando una clave basada en función de enmascaramiento reversible. Una vez que los datos recupera de la tercera parte, puede recuperar los datos originales invirtiendo el enmascaramiento utilizando la misma clave
Pruebas de Rendimiento.

Demostración General de Oracle Data Masking.
VIDEO 
TUTORIAL.

Oracle Data Masking.
Para mejor resolución cambiar a HD.


Link: https://www.youtube.com/watch?v=ByInqNDrcvE

Bibliografía:


Publicado por en No hay comentarios:

miércoles, 10 de diciembre de 2014

Oracle Database Vault (DV)

Oracle Database Vault ofrece potentes controles de seguridad para ayudar a proteger datos de las aplicaciones de acceso no autorizado y cumplir con la privacidad y la los requisitos reglamentarios.


Los controles pueden ser desplegados para bloquear a la cuenta privilegiada el acceso a los datos de aplicaciones y operaciones sensibles de control dentro de la base de datos mediante la autorización de factores múltiples.


La seguridad de las aplicaciones existentes pueden ser aumentados a través del análisis de los privilegios y roles

Características
  • Implementa controles preventivos en accesos de usuarios privilegiados a los datos de la aplicación.
  • Controla el acceso a la base de datos con políticas de múltiples factores que están basadas en factores integrados como hora del día, dirección IP, nombre de la aplicación y método de autenticación.
  • Consolida bases de datos y usuarios privilegiados de forma segura para proteger los datos de la empresa.
  • Descubre y reporta cargos y privilegios de los usuarios capturados en el tiempo de ejecución usado en la base de datos.
Beneficios
  • La prevención de los usuarios privilegiados (DBA) accedan a información confidencial de aplicaciones.
  • Proporcionar controles fuertes dentro de la base de datos sobre quién puede hacer qué y controles sobre cuándo y cómo se puede acceder a aplicaciones, datos y bases de datos
  • Proporcionar análisis privilegio para todos los usuarios y las aplicaciones dentro de la base de datos para ayudar a lograr modelo de privilegios menos y crea las bases de datos y aplicaciones más seguro
  • Prevención comprometidos cuentas de usuarios privilegiados de ser utilizado para robar datos confidenciales o realizar 
  • Protege de forma proactiva los datos de aplicaciones almacenados en la base de datos de Oracle.
  • Restringe el acceso adhoc a datos de aplicaciones al prevenir que los usuarios ronden la aplicación.
  • Usa políticas de múltiples factores que están reforzadas en la base de datos para mayor seguridad y rendimiento.
  • Políticas predeterminadas certificadas para Oracle E-Business Suite, Oracle’s PeopleSoft y Siebel CRM; y aplicaciones SAP.
  • Permite la reducción de la superficie de ataque sin interrumpir la actividad empresarial.
Casos de uso de DV.


Control SQL con Oracle Database Vault.

Oracle Database Vault puede ser usado para controlar comandos SQL que pueden afectar a la seguridad, disponibilidad de la aplicación y la base de datos.

Estos introducen una capa adicional de normas y controles antes de que cualquier comando SQL se ejecute incluyendo CONNECT de la base de datos, DROP TABLE, TRUNCATE TABLE y DROP TABLESPACE,etc.

Factores incorporadas tales como IP, nombre de host y el nombre de usuario de la sesión se pueden utilizar para hacer cumplir los controles de los comandos SQL dentro de la base de datos.






Análisis de privilegio en tiempo de ejecución con Oracle Database Vault
Este sirve para endurecer aún más la aplicación mediante la identificación de los privilegios y funciones utilizadas en base al uso real de los roles y privilegios por parte del usuario o desde dentro de la aplicación.


Análisis de privilegio permite a los clientes:
  • Informe sobre los privilegios reales y papeles utilizados en la base de datos
  • Identificar los privilegios y roles no utilizados por los usuarios y aplicaciones
  • Reducir el riesgo, ayudando a cumplir privilegio menos para los usuarios y las aplicaciones



Separación de tareas.

Permite un enfoque sistemático hacia la seguridad que fortalece los controles internos dentro de la base de datos.


Componentes Database Vault.


Realms.

Un dominio es una agrupación funcional de esquemas de bases de datos, objetos y papeles que se debe proteger.Por ejemplo, puede agrupar un conjunto de esquemas, objetos y funciones que están relacionadas con contabilidad, ventas o recursos humanos. Después de agrupar éstos en un realms, puede utilizar el dominio para controlar el uso de los privilegios del sistema de cuentas o roles específicos. Esto le permite proporcionar controles de acceso de grano fino para cualquier persona que quiera utilizar estos esquemas, objetos y papeles.


Rules Sets.

Un conjunto de reglas es una colección de una o más reglas que se pueden asociar con realm authorization, command rule, factor assignment, o secure application role. El conjunto de reglas evalúa como verdadera o falsa sobre la base de la evaluación de cada regla que contiene y el tipo de evaluación ( All True o ​​cualquier verdadero ). La regla dentro de un conjunto de reglas es una expresión de PL / SQL que se evalúa como verdadera o falsa.Se puede tener la misma regla en múltiples conjuntos de reglas.


Command Rules.

Una regla de comandos es una regla especial que se puede crear para controlar cómo los usuarios pueden ejecutar casi cualquier sentencia SQL, incluyendo SELECT , ALTER SYSTEM , lenguaje de definición de base de datos (DDL) y lenguaje de manipulación de datos (DML). Reglas de comando deben trabajar con conjuntos de reglas para determinar si se permite el comunicado.


Factors.

 Un factor es una variable o atributo llamado, tal como una ubicación del usuario, la dirección IP, base de datos o usuario de la sesión. Puede utilizar factores de actividades como la autorización de cuentas de base de datos para conectarse a la base de datos o la creación de filtrado lógica para restringir la visibilidad y capacidad de gestión de datos. Cada factor puede tener una o más identidades. Una identidad es el valor real de un factor. Un factor puede tener varias identidades en función del método de recuperación de factor o su identidad de mapeo lógica.

Secure application roles.

 Una función de aplicación segura es una función especial de base de datos Oracle que se pueden activar en base a la evaluación de una regla de Oracle Database Vault establecido.


Label Security Policies.

Oracle Database Vault ofrece capacidades de control de acceso que se pueden integrar con Oracle Label Security. La opción de base de datos Oracle Label Security se integra con Oracle Enterprise Manager Database Control, que permite al administrador de seguridad para definir la política de seguridad de etiqueta y aplicarla a los objetos de base de datos. Oracle Label Security también ofrece una colección de APIs PL / SQL que pueden ser utilizados por un desarrollador de aplicaciones de base de datos para proporcionar la política de seguridad de etiquetas y protecciones.

Oracle Database Vault Reporting and Monitoring Tools.

Puede generar informes sobre las distintas actividades que los monitores Vault Oracle Database. Además, puede supervisar los cambios de política, violación de seguridad intentos, y la configuración de base de datos y los cambios estructurales.




Pasos para Habilitar DV.
1) Habilitar dv
  chopt enable dv.
2) Subir servicios.
3)dbca.

3)Crear tablespace.

3)Crear el owner y el account manager.

3)Abrir consola de Database Vault.

VIDEO 
TUTORIAL.

DV Primera Parte.
Para mejor resolución ponerle HD 720p en configuración- calidad.




Link: https://www.youtube.com/watch?v=2SqidYa0GHI

DV Segunda Parte.

Link: https://www.youtube.com/watch?v=Nukj-B-zVqk

Bibliografía:
  • http://www.oracle.com/technetwork/database/security/database-vault-ds-12c-1898877.pdf
  • http://www.oracle.com/us/products/database/options/database-vault/overview/index.html
  • http://www.oracle.com/technetwork/database/options/database-vault/database-vault-wp-12c-1896142.pdf?ssSourceSiteId=ocomen
  • http://www.oracle.com/technetwork/database/options/database-vault/index.html
  • http://www.oracle.com/technetwork/es/documentation/317467-esa.pdf
Publicado por en No hay comentarios:

jueves, 20 de noviembre de 2014

Oracle Advanced Security (ASO)

Oracle Advanced Security, es una opción utilizada con Oracle Database Enterprise Edition, el cual proporciona dos controles preventivos importantes para proteger datos sensibles en la fuente que son el cifrado de base de datos ( cifrado de datos transparente (TDE) y redacción sobre la marcha de los datos de visualización.
Características
  • Proporciona cifrado de datos transparente y redacción dentro de la base de datos Oracle.
  • Ayuda a los requisitos reglamentarios de dirección, incluyendo PCI DSS y HIPAA HiTech.
  • Sobrecarga de rendimiento mínimo y no hay cambios en las aplicaciones.
  • Se integra con las tecnologías de Oracle, incluyendo Oracle Exadata, Oracle Advanced Compression, Oracle GoldenGate, y más
Arquitectura de ASO.
Redacción de datos.
Es la redacción sobre la marcha de los datos sensibles en los resultados de consulta de base de datos antes de mostrar las aplicaciones para que los usuarios no autorizados no puedan ver los datos sensibles.
Los datos almacenados permanecen inalterados, mientras que los datos antes de salir de la base de datos se transforman y redactan.
Reduce la exposición de información sensible y ayuda a prevenir la explotación de los defectos de aplicación que pueden revelar datos confidenciales en páginas de la aplicación.
Oracle Advanced Security Security Data Redaction soporta un número de diferentes transformaciones que pueden redactar todos los datos en columnas especificadas, preservar determinadas piezas de los datos, o al azar generar datos de sustitución.

Beneficios de la Redacción de datos
  • En tiempo real de datos de aplicación redacción sensible basado en contexto de sesión de base de datos.
  • Gestión de políticas simplificado incluye biblioteca de políticas de redacción con apuntar y hacer clic definición.
  • Política de aplicación coherente en toda la empresa aplica directamente a los datos.
  • Evita las fugas de datos a los usuarios finales de aplicaciones.
Cifrado de datos transparente (TDE)
Detiene los atacantes sin pasar por la base de datos y la lectura de la información sensible desde el almacenamiento mediante el cifrado de datos en la capa de base de datos.
Cifrado de datos transparente reside en una capa óptima dentro de la base de datos para evitar la derivación de la base de datos sin dejar de ser transparente para las aplicaciones y fácil de implementar.
TDE puede cifrar columnas de las tablas de aplicaciones individuales o espacios de tabla de aplicaciones enteras.
Lo más importante, la gestión de claves cifrado integrado de dos niveles de TDE ofrece la gestión completa del ciclo de vida clave, el seguimiento de las claves a través de su curso de la vida con los atributos de metadatos útiles, y la rotación de clave de encriptación asistida, el cambio a una nueva llave maestra sin tiempo de inactividad.
El alto nivel de protección proporcionado por TDE sigue las normas comunes para el cifrado fuerte.

      • Protección de datos confidenciales mediante cifrado TDE Column.
      Se puede utilizar para cifrar los datos específicos de las tablas de aplicación tales como números de tarjetas de crédito.
      Es útil cuando las tablas de bases de datos son grandes, sólo un pequeño número de columnas debe estar encriptada, y las columnas son conocidas.
        • Protección de aplicaciones enteras con el uso de tablas de cifrado TDE
        Protege tablas de aplicaciones enteras mediante la encriptación los espacios de tabla subyacentes. Cifra de tablas de aplicación independientemente de la sensibilidad de los datos y con independencia de su tipo de datos. 
        Es útil cuando la base de datos contiene una gran cantidad datos de sensibles a ser cifrados y las columnas residen en muchos lugares diferentes.
        El cifrado de tablas se integra con Oracle Recovery Manager (copia de seguridad y restauración), Oracle Data Pump (movimiento de datos), Oracle Active Data Guard (redundancia y conmutación por error), y Oracle Golden Gate (replicación). TDE también se integra con las características internas de la base de datos como la de rehacer para evitar posibles fugas de datos en los registros.
        Beneficios de Cifrado de datos transparente
        • Protege los datos de aplicaciones de forma rápida y fácilmente con el espacio de tabla entera o cifrado de la columna.
        • Cifrado integral a través del ciclo de vida de datos, incluyendo copias de seguridad y las exportaciones.
        • La integración con los módulos de líderes en la industria de seguridad de hardware (HSM) o soluciones de gestión de claves en toda la empresa.
        Comandos para realizar un wallet.
        1) Ingresar la localizacion del wallet en el archivo sqlnet.ora


        2) Crear el wallet.
              ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "password";

        3) Abrir el wallet.
        ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "password"
        EXTERNAL SECURE PASSWORD STORE

        1) Crear el wallet.
        mkstore -wrl /home/oracle/ASO/wallet -create

        2) Añadir credenciales de usuario.
        mkstore -wrl /home/oracle/ASO/wallet -createCredential hr_sec hr

        3) Añadir el código en el archivo tnsnames.ora


         4) Comprobar.
        sqlplus /@hr_sec
        VIDEO TUTORIAL.

        ASO Primera Parte.

        Link:



        Bibliografía:
        • http://www.oracle.com/technetwork/database/options/advanced-security/index.html
        • http://www.oracle.com/us/products/database/options/advanced-security/resources/index.html
        • http://www.oracle.com/technetwork/database/options/advanced-security/advanced-security-wp-12c-1896139.pdf?ssSourceSiteId=ocomen
        • https://docs.oracle.com/cd/E11882_01/network.112/e40393/asointro.htm#ASOAG9487
        • https://docs.oracle.com/cd/E25054_01/network.1111/e16543/data_encryption.htm


        Publicado por en No hay comentarios:
        Suscribirse a: Entradas (Atom)