miércoles, 10 de diciembre de 2014

Oracle Database Vault (DV)

Oracle Database Vault ofrece potentes controles de seguridad para ayudar a proteger datos de las aplicaciones de acceso no autorizado y cumplir con la privacidad y la los requisitos reglamentarios.


Los controles pueden ser desplegados para bloquear a la cuenta privilegiada el acceso a los datos de aplicaciones y operaciones sensibles de control dentro de la base de datos mediante la autorización de factores múltiples.


La seguridad de las aplicaciones existentes pueden ser aumentados a través del análisis de los privilegios y roles

Características
  • Implementa controles preventivos en accesos de usuarios privilegiados a los datos de la aplicación.
  • Controla el acceso a la base de datos con políticas de múltiples factores que están basadas en factores integrados como hora del día, dirección IP, nombre de la aplicación y método de autenticación.
  • Consolida bases de datos y usuarios privilegiados de forma segura para proteger los datos de la empresa.
  • Descubre y reporta cargos y privilegios de los usuarios capturados en el tiempo de ejecución usado en la base de datos.
Beneficios
  • La prevención de los usuarios privilegiados (DBA) accedan a información confidencial de aplicaciones.
  • Proporcionar controles fuertes dentro de la base de datos sobre quién puede hacer qué y controles sobre cuándo y cómo se puede acceder a aplicaciones, datos y bases de datos
  • Proporcionar análisis privilegio para todos los usuarios y las aplicaciones dentro de la base de datos para ayudar a lograr modelo de privilegios menos y crea las bases de datos y aplicaciones más seguro
  • Prevención comprometidos cuentas de usuarios privilegiados de ser utilizado para robar datos confidenciales o realizar 
  • Protege de forma proactiva los datos de aplicaciones almacenados en la base de datos de Oracle.
  • Restringe el acceso adhoc a datos de aplicaciones al prevenir que los usuarios ronden la aplicación.
  • Usa políticas de múltiples factores que están reforzadas en la base de datos para mayor seguridad y rendimiento.
  • Políticas predeterminadas certificadas para Oracle E-Business Suite, Oracle’s PeopleSoft y Siebel CRM; y aplicaciones SAP.
  • Permite la reducción de la superficie de ataque sin interrumpir la actividad empresarial.
Casos de uso de DV.


Control SQL con Oracle Database Vault.

Oracle Database Vault puede ser usado para controlar comandos SQL que pueden afectar a la seguridad, disponibilidad de la aplicación y la base de datos.

Estos introducen una capa adicional de normas y controles antes de que cualquier comando SQL se ejecute incluyendo CONNECT de la base de datos, DROP TABLE, TRUNCATE TABLE y DROP TABLESPACE,etc.

Factores incorporadas tales como IP, nombre de host y el nombre de usuario de la sesión se pueden utilizar para hacer cumplir los controles de los comandos SQL dentro de la base de datos.






Análisis de privilegio en tiempo de ejecución con Oracle Database Vault
Este sirve para endurecer aún más la aplicación mediante la identificación de los privilegios y funciones utilizadas en base al uso real de los roles y privilegios por parte del usuario o desde dentro de la aplicación.


Análisis de privilegio permite a los clientes:
  • Informe sobre los privilegios reales y papeles utilizados en la base de datos
  • Identificar los privilegios y roles no utilizados por los usuarios y aplicaciones
  • Reducir el riesgo, ayudando a cumplir privilegio menos para los usuarios y las aplicaciones



Separación de tareas.

Permite un enfoque sistemático hacia la seguridad que fortalece los controles internos dentro de la base de datos.


Componentes Database Vault.


Realms.

Un dominio es una agrupación funcional de esquemas de bases de datos, objetos y papeles que se debe proteger.Por ejemplo, puede agrupar un conjunto de esquemas, objetos y funciones que están relacionadas con contabilidad, ventas o recursos humanos. Después de agrupar éstos en un realms, puede utilizar el dominio para controlar el uso de los privilegios del sistema de cuentas o roles específicos. Esto le permite proporcionar controles de acceso de grano fino para cualquier persona que quiera utilizar estos esquemas, objetos y papeles.


Rules Sets.

Un conjunto de reglas es una colección de una o más reglas que se pueden asociar con realm authorization, command rule, factor assignment, o secure application role. El conjunto de reglas evalúa como verdadera o falsa sobre la base de la evaluación de cada regla que contiene y el tipo de evaluación ( All True o ​​cualquier verdadero ). La regla dentro de un conjunto de reglas es una expresión de PL / SQL que se evalúa como verdadera o falsa.Se puede tener la misma regla en múltiples conjuntos de reglas.


Command Rules.

Una regla de comandos es una regla especial que se puede crear para controlar cómo los usuarios pueden ejecutar casi cualquier sentencia SQL, incluyendo SELECT , ALTER SYSTEM , lenguaje de definición de base de datos (DDL) y lenguaje de manipulación de datos (DML). Reglas de comando deben trabajar con conjuntos de reglas para determinar si se permite el comunicado.


Factors.

 Un factor es una variable o atributo llamado, tal como una ubicación del usuario, la dirección IP, base de datos o usuario de la sesión. Puede utilizar factores de actividades como la autorización de cuentas de base de datos para conectarse a la base de datos o la creación de filtrado lógica para restringir la visibilidad y capacidad de gestión de datos. Cada factor puede tener una o más identidades. Una identidad es el valor real de un factor. Un factor puede tener varias identidades en función del método de recuperación de factor o su identidad de mapeo lógica.

Secure application roles.

 Una función de aplicación segura es una función especial de base de datos Oracle que se pueden activar en base a la evaluación de una regla de Oracle Database Vault establecido.


Label Security Policies.

Oracle Database Vault ofrece capacidades de control de acceso que se pueden integrar con Oracle Label Security. La opción de base de datos Oracle Label Security se integra con Oracle Enterprise Manager Database Control, que permite al administrador de seguridad para definir la política de seguridad de etiqueta y aplicarla a los objetos de base de datos. Oracle Label Security también ofrece una colección de APIs PL / SQL que pueden ser utilizados por un desarrollador de aplicaciones de base de datos para proporcionar la política de seguridad de etiquetas y protecciones.

Oracle Database Vault Reporting and Monitoring Tools.

Puede generar informes sobre las distintas actividades que los monitores Vault Oracle Database. Además, puede supervisar los cambios de política, violación de seguridad intentos, y la configuración de base de datos y los cambios estructurales.




Pasos para Habilitar DV.
1) Habilitar dv
  chopt enable dv.
2) Subir servicios.
3)dbca.

3)Crear tablespace.

3)Crear el owner y el account manager.

3)Abrir consola de Database Vault.

VIDEO 
TUTORIAL.

DV Primera Parte.
Para mejor resolución ponerle HD 720p en configuración- calidad.




Link: https://www.youtube.com/watch?v=2SqidYa0GHI

DV Segunda Parte.

Link: https://www.youtube.com/watch?v=Nukj-B-zVqk

Bibliografía:
  • http://www.oracle.com/technetwork/database/security/database-vault-ds-12c-1898877.pdf
  • http://www.oracle.com/us/products/database/options/database-vault/overview/index.html
  • http://www.oracle.com/technetwork/database/options/database-vault/database-vault-wp-12c-1896142.pdf?ssSourceSiteId=ocomen
  • http://www.oracle.com/technetwork/database/options/database-vault/index.html
  • http://www.oracle.com/technetwork/es/documentation/317467-esa.pdf
Publicado por en No hay comentarios:

jueves, 20 de noviembre de 2014

Oracle Advanced Security (ASO)

Oracle Advanced Security, es una opción utilizada con Oracle Database Enterprise Edition, el cual proporciona dos controles preventivos importantes para proteger datos sensibles en la fuente que son el cifrado de base de datos ( cifrado de datos transparente (TDE) y redacción sobre la marcha de los datos de visualización.
Características
  • Proporciona cifrado de datos transparente y redacción dentro de la base de datos Oracle.
  • Ayuda a los requisitos reglamentarios de dirección, incluyendo PCI DSS y HIPAA HiTech.
  • Sobrecarga de rendimiento mínimo y no hay cambios en las aplicaciones.
  • Se integra con las tecnologías de Oracle, incluyendo Oracle Exadata, Oracle Advanced Compression, Oracle GoldenGate, y más
Arquitectura de ASO.
Redacción de datos.
Es la redacción sobre la marcha de los datos sensibles en los resultados de consulta de base de datos antes de mostrar las aplicaciones para que los usuarios no autorizados no puedan ver los datos sensibles.
Los datos almacenados permanecen inalterados, mientras que los datos antes de salir de la base de datos se transforman y redactan.
Reduce la exposición de información sensible y ayuda a prevenir la explotación de los defectos de aplicación que pueden revelar datos confidenciales en páginas de la aplicación.
Oracle Advanced Security Security Data Redaction soporta un número de diferentes transformaciones que pueden redactar todos los datos en columnas especificadas, preservar determinadas piezas de los datos, o al azar generar datos de sustitución.

Beneficios de la Redacción de datos
  • En tiempo real de datos de aplicación redacción sensible basado en contexto de sesión de base de datos.
  • Gestión de políticas simplificado incluye biblioteca de políticas de redacción con apuntar y hacer clic definición.
  • Política de aplicación coherente en toda la empresa aplica directamente a los datos.
  • Evita las fugas de datos a los usuarios finales de aplicaciones.
Cifrado de datos transparente (TDE)
Detiene los atacantes sin pasar por la base de datos y la lectura de la información sensible desde el almacenamiento mediante el cifrado de datos en la capa de base de datos.
Cifrado de datos transparente reside en una capa óptima dentro de la base de datos para evitar la derivación de la base de datos sin dejar de ser transparente para las aplicaciones y fácil de implementar.
TDE puede cifrar columnas de las tablas de aplicaciones individuales o espacios de tabla de aplicaciones enteras.
Lo más importante, la gestión de claves cifrado integrado de dos niveles de TDE ofrece la gestión completa del ciclo de vida clave, el seguimiento de las claves a través de su curso de la vida con los atributos de metadatos útiles, y la rotación de clave de encriptación asistida, el cambio a una nueva llave maestra sin tiempo de inactividad.
El alto nivel de protección proporcionado por TDE sigue las normas comunes para el cifrado fuerte.

      • Protección de datos confidenciales mediante cifrado TDE Column.
      Se puede utilizar para cifrar los datos específicos de las tablas de aplicación tales como números de tarjetas de crédito.
      Es útil cuando las tablas de bases de datos son grandes, sólo un pequeño número de columnas debe estar encriptada, y las columnas son conocidas.
        • Protección de aplicaciones enteras con el uso de tablas de cifrado TDE
        Protege tablas de aplicaciones enteras mediante la encriptación los espacios de tabla subyacentes. Cifra de tablas de aplicación independientemente de la sensibilidad de los datos y con independencia de su tipo de datos. 
        Es útil cuando la base de datos contiene una gran cantidad datos de sensibles a ser cifrados y las columnas residen en muchos lugares diferentes.
        El cifrado de tablas se integra con Oracle Recovery Manager (copia de seguridad y restauración), Oracle Data Pump (movimiento de datos), Oracle Active Data Guard (redundancia y conmutación por error), y Oracle Golden Gate (replicación). TDE también se integra con las características internas de la base de datos como la de rehacer para evitar posibles fugas de datos en los registros.
        Beneficios de Cifrado de datos transparente
        • Protege los datos de aplicaciones de forma rápida y fácilmente con el espacio de tabla entera o cifrado de la columna.
        • Cifrado integral a través del ciclo de vida de datos, incluyendo copias de seguridad y las exportaciones.
        • La integración con los módulos de líderes en la industria de seguridad de hardware (HSM) o soluciones de gestión de claves en toda la empresa.
        Comandos para realizar un wallet.
        1) Ingresar la localizacion del wallet en el archivo sqlnet.ora


        2) Crear el wallet.
              ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "password";

        3) Abrir el wallet.
        ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "password"
        EXTERNAL SECURE PASSWORD STORE

        1) Crear el wallet.
        mkstore -wrl /home/oracle/ASO/wallet -create

        2) Añadir credenciales de usuario.
        mkstore -wrl /home/oracle/ASO/wallet -createCredential hr_sec hr

        3) Añadir el código en el archivo tnsnames.ora


         4) Comprobar.
        sqlplus /@hr_sec
        VIDEO TUTORIAL.

        ASO Primera Parte.

        Link:



        Bibliografía:
        • http://www.oracle.com/technetwork/database/options/advanced-security/index.html
        • http://www.oracle.com/us/products/database/options/advanced-security/resources/index.html
        • http://www.oracle.com/technetwork/database/options/advanced-security/advanced-security-wp-12c-1896139.pdf?ssSourceSiteId=ocomen
        • https://docs.oracle.com/cd/E11882_01/network.112/e40393/asointro.htm#ASOAG9487
        • https://docs.oracle.com/cd/E25054_01/network.1111/e16543/data_encryption.htm


        Publicado por en No hay comentarios:

        lunes, 13 de octubre de 2014

        Oracle Audit Vault y Database Firewall.

        Oracle Audit Vault y Database Firewall pueden consolidar los datos de auditoría de miles de bases de datos y controlar el tráfico de SQL al mismo tiempo, buscando, alertando y pre de SQLstatements no autorizados o fuera de la política.
        Oracle Audit Vault y Database Firewall soporta la base de datos Oracle, Microsoft SQL Server, IBM DB2 para LUW, SAP Sybase ASE, bases de datos Oracle MySQL y Oracle Big Data Appliance.


        Oracle Audit Vault.

        Oracle Audit Vault proporciona un seguimiento exhaustivo y flexible a través de la consolidación de los datos de auditoria.

        El Audit Vault es el repositorio central, altamente escalable y segura que almacena los datos de auditoria consolidados, así como los registros de eventos generados por el servidor de seguridad de base de datos.

        En el AV se tienen los colectores que pueden ser (REDO, DBAUD y OSAUD) y los agentes de los colectores para gestionarlos.

        Para añadir un Colector


         Existen dos tipos de usuarios en el AV:
        • El administrador que es el encargado de configurar y gestionar la instalación de OAV.
        • El auditor que genera reportes, gestiona las opciones de auditora y alertas.

          Beneficios:
          • Primera línea de defensa: forma transparente detectar y bloquear los ataques de inyección SQL, escalada de privilegios y otras amenazas contra Oracle, Microsoft SQL Server, IBM DB2, SAP Sybase y bases de datos MySQL
          • Respuesta más rápida: Detectar automáticamente las actividades de base de datos no autorizadas que violan las políticas de seguridad, y frustrar los perpetradores de cubrir sus pistas
          • Informes de cumplimiento simplificado: analizar fácilmente los datos de auditoría y de eventos y tomar medidas en el momento oportuno con los informes de cumplimiento fuera de la caja

           El Audit Vault es la plataforma central para la presentación de informes, alertas y gestión de políticas.


          La información tal como el tipo de evento (crear tabla, eliminar la tabla, crear procedimiento, truncate table, seleccionar, insertar, actualizar, eliminar) junto con el contexto del evento, como la dirección IPr, hora del evento, y la declaración SQL, son algunos ejemplos de la información de auditoria que normalmente se necesita en el cumplimiento y los informes forenses.


          OS Event Logs.

          Reporte de la actividad.

          Acceso de datos.

          Reporte de las sesiones del usuario.

          Alertas.

          Database Firewall.

          Puede actuar como una primera línea de defensa en la red, la aplicación de comportamiento de la aplicación prevista, lo que ayuda a evitar la inyección SQL, bypass aplicación, y otras actividades maliciosas de llegar a la base de datos.

          Monitoreo.

          El monitoreo incluye el examen de las declaraciones SQL que generan los datos de auditoría. Debido a la vigilancia del tráfico SQL se realiza fuera de la base de datos, el servidor de seguridad de base de datos puede decidir si un evento se debe permitir, modificar, bloquear, o alertar.  

          Existen dos tipos de monitoreo.

          Monitoreo Activo.

          Intercepta de forma transparente el tráfico SQL, es como un firewall a nivel de aplicación, se analiza la seguridad de la carga útil de SQL en paquetes TCP antes de enviarlo a la base de datos.

          Existen tres tipos de listas de cumplimiento de políticas.

          Lista Blanca de Cumplimiento de Políticas.
          La política de lista blanca aplica la seguridad mediante un conjunto de sentencias SQL aprobadas junto con las condiciones bajo las cuales fueron ejecutadas incluyendo el nombre de usuario, la dirección IP, la hora del día, y el nombre del programa.

          Database Firewall compara el tráfico SQL con la lista blanca aprobado y luego en base a la política, se opta por alertar, sustituir o bloquear la sentencia SQL.

          La lista blanca se aprende con el tiempo mediante el control de tráfico de base de datos. El período de seguimiento necesario para establecer la lista blanca variará en función del ciclo de aplicación y de negocios.

          Lista Negra de Cumplimiento de Políticas.
          Bloquea sentencias SQL específicas. Al igual que con las políticas de la lista blanca, la política de la lista negra pueden evaluar varios factores, tales como nombre de usuario, dirección IP, la hora del día y el programa, antes de tomar la decisión.

          Excepción Lista de Cumplimiento de Políticas.

          Invalidan a las políticas de la lista blanca y lista negra al permitir políticas de derivación personalizada que se creen para actividades específicas.

          Por ejemplo, podrían ser utilizados para permitir a un administrador remoto específico procedente de una dirección IP predeterminada para diagnosticar un problema particular, el rendimiento de aplicaciones sin estar sujeta a la lista blanca o la lista negra.

          Monitoreo Pasivo.
          Observa el tráfico de base de datos y analiza las interacciones de SQL. La información del Firewall se registra en el Audit Vault, permitiendo informes para abarcar la información observada en la red junto con la información de auditoría de la base de datos, sistemas operativos, y directorios.
          VIDEO TUTORIAL.

          OAV Primera Parte.

          Link: https://www.youtube.com/watch?v=5AXKf4OVPYk

          OAV Segunda Parte.

          Link: https://www.youtube.com/watch?v=PDCrjImKRjU

          OAV Tercera Parte.


          Link: https://www.youtube.com/watch?v=-SMzc-dh_HI

          OAV Cuarta Parte.


          Link: https://www.youtube.com/watch?v=h7DSCevZbYU

          Bibliografía:
          • http://www.oracle.com/us/products/database/security/audit-vault-database-firewall/overview/index.html
          • http://www.oracle.com/technetwork/database/database-technologies/audit-vault-and-database-firewall/overview/overview-1877404.html
          • http://docs.oracle.com/cd/E37100_01/index.htm
          • http://www.oracle.com/us/products/database/security/ds-security-audit-vault-firewall-1883353.pdf
          • http://www2.udla.edu.ec/udlapresencial/pluginfile.php/118312/mod_resource/content/1/owp-audit-vault-firewall-1958266.pdf
          Publicado por en No hay comentarios:
          Suscribirse a: Entradas (Atom)