![Page 1: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/1.jpg)
Sigurnost na nivou baze podataka
Nikola Pajnogač, VABAMorana Kobal Butković, Oracle Hrvatska
![Page 2: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/2.jpg)
Izazovi vezani uz sigurnost podataka
• Što štititi?• Osjetljivi podaci: povjerljivi, osobni (PII), regulatorni zahtjevi• Podaci unutar aplikacija različitih proizvoñača• Sigurni životni ciklus: kreiranje, transport, pohranjivanje, backup, test
• Kako zaštiti podatke u postojećim sustavima? • Transparentno?
2
• Gubitak podataka, neodobreni pristup, segregacija dužnosti
• Možemo li zadovoljiti poslovne zahtjeve? • Fleksibilno, transparentno, usklañeno s regulativom? • Osigurati aplikacije različitih proizvoñača?
• Možemo li smanjiti operativne troškove?• Jednostavno upravljanje?• Performanse?
![Page 3: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/3.jpg)
anketa: Poslovni podaci i rizik
The 2009 IOUG Data Security Report:
Smanjivanje budžeta dovodi do povećanja rizika
Samo 21%kriptira osobne podatke u svim bazama
Samo 20%kriptira promet prema bazama podataka
Samo 12%kriptira backupe i eksporte baza podataka
50% 48% 70%50%nije svjesno svih baza s osjetljivim podacima
48%kaže da korisnici mogu podatke dostupiti mimo aplikacije
61%nemože spriječiti administratore da čitaju/mijenjaju osjetljive podatke
67%nemože otkriti je li to rañeno
monitorira čitanje/pisanje osjetljivih podataka
Manje od 30%
70%koristi auditing, ali se
samo 18% automatski monitorira
![Page 4: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/4.jpg)
Osiguranje podataka u bazi
• Kriptiranje • Monitoriranje aktivnosti
Detection
• Maskiranje
• Klasifikacija
• Kontrola pristupa
aktivnosti
• Praćenje promjena
• Otkrivanje i procjena
• Sigurne konfiguracije
![Page 5: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/5.jpg)
Disk
Backups
Exports
Off-SiteFacilities
Oracle Advanced SecurityTransparent Data Encryption
Application
Facilities
• Kriptiranje podataka na mediju za pohranu
• Transparentno za aplikacije
• Efikasno kriptiranje svih aplikacijskih podataka
• Ugrañeno upravljanje ključevima
![Page 6: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/6.jpg)
Oracle Advanced SecurityKriptiranje mrežnog prometa i pojačana autentikacija
• Na standardima bazirano kriptiranje podataka na prijenosnom putu
• Autentikacija korisnika i servera korištenjem autentikacijskih rješenja drugih proizvoñača
• Izmjene u infrastrukturi nisu potrebne
• Jednostavnost implementacije
![Page 7: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/7.jpg)
Oracle Data MaskingNepovratna deidentifikacija podataka
LAST_NAME SSN SALARY
ANSKEKSL 111—23-1111 60,000
BKJHHEIEDK 222-34-1345 40,000
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
Production Non-Production
Oracle Confidential 7
• Uklanjanje osjetljivih podataka iz ne-produkcijskih baza podataka
• Očuvanje referencijalnog integriteta i kompatibilnosti aplikacija
• Osjetljivi podaci nikada ne napuštaju baze podataka
• Proširiva biblioteka uzoraka i pravila za automatizaciju maskiranja
![Page 8: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/8.jpg)
Oracle Database VaultSeparacija dužnosti i kontrola privilegiranih korisnika
Procurement
HR
Finance
Application
select * from finance.customers
DBA
• Separacija dužnosti administratora baze podataka
• Limitiranje mogućnosti privilegiranih korisnika
• Konsolidiranje podataka različitih aplikacija na siguran način
• Nije potrebna prilagodba aplikacija
select * from finance.customers
![Page 9: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/9.jpg)
Oracle Database VaultViše-faktorska kontrola pristupa
Procurement
HR
RebatesApplication
• Zaštita aplikacijskih podataka i sprečavanje dostupa podacima zaobilaženjem aplikacija
• Definiranje tko, gdje, kada i kako dostupa podatke korištenjem pravila i faktora
• Predefinirana pravila pristupa za Oracle aplikacije kao i prilagodba pravila pristupa ovisno o pojedinim aplikacijama
![Page 10: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/10.jpg)
Oracle Audit VaultAutomatizirano monitoriranje aktivnosti i izvještavanje
CRM Data
ERP Data
Databases
HR Data
Audit Data
Policies
Built-inReports
Alerts
CustomReports
!
Auditor
• Konsolidiranje podataka o nadzoru u sigurni repozitorij
• Detektiranje i uzbunjivanje o sumnjivim aktivnostima
• Predefinirani izvještaji u skladu s regulativom
• Centralizirano upravljanje postavkama nadzora
![Page 11: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/11.jpg)
• Advanced Security za kriptiranje osobnih podataka zaposlenika
• Advanced Security za usklañivanje s internacionalnom ili nacionalnom regulativom kroz kriptiranje povjerljivih podataka o korisnicima
• DB Vault za separaciju dužnosti pri administraciji baza podataka
• DB Vault za sprečavanje internih korisnika i administratora u dostupu do osjetljivih informacija i dostavljanju tih informacija konkurenciji
Zašto korisnici u regiji investiraju u
sigurnosne opcije baze podataka?
do osjetljivih informacija i dostavljanju tih informacija konkurenciji
• DB Vault, Advanced Security, Data Masking za sprečavanje sigurnosnih incidenata od strane vanjskih suradnika ili administratora koji rade unutar iste kompanije
• Audit Vault kao infrastruktura za nadzor usklañena sa zahtjevima auditora
• Audit Vault za dugotrajno pohranjivanje podataka o nadzoru prema zahtjevima nacionalnih banaka
![Page 12: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/12.jpg)
Studija slučaja
Implementacija Oracle Audit Vaulta u
VABA Banka VaraždinVABA Banka Varaždin
![Page 13: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/13.jpg)
VABA d.d.
Banka Varaždin
• Osnovana 2005. godine
• Regionalna banka, orijentirana na sjeverozapadnu Hrvatsku
• Približno 190 zaposlenih• Približno 190 zaposlenih
• 11 poslovnica, 2 središnje lokacije
• Vlastiti razvoj
• Produkcijski sustav banke zasnovan na Oracle bazi podataka i Javi kao aplikacijskom sloju
![Page 14: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/14.jpg)
Poslovni zahtjevi
• Osigurati nadzor aktivnosti nad produkcijskim okruženjem banke
• Omogućiti neporecivost i dokazivost svih radnji nad bazom• dokumentiranje i bilježenje korisničke aktivnosti • preventivno odvraća korisnike od nedozvoljenih aktivnosti• preventivno odvraća korisnike od nedozvoljenih aktivnosti
• Jednostavnost izvješćivanja
• Mogućnost čuvanja audit podataka minimalno godinu dana
• Posebna pažnja usmjerena na proces aplikativnog razvoja – povezivanje zahtjeva poslovne strane s radnjama na bazi
![Page 15: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/15.jpg)
Implementacija Audit Vaulta
u sustav VABA banke
• Auditing na bazi implementiran 1.1.2009.
• Do travnja 2010. oko 25 GB podataka
• Relativno jednostavna instalacija
• Audit Vault servis radi malo opterećenje• Audit Vault servis radi malo opterećenje
• Manji problemi tijekom korištenja (većinom poboljšani nakon patchiranja na najnoviju verziju Audit Vaulta 10.2.3.2)
![Page 16: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/16.jpg)
Infrastruktura
• Hardver/OS:
• Oracle Audit Vault Server: • Intel server, Xeon CPU, 4 GB RAM
• Red Hat Linux 3.5
• Oracle Baza: • Oracle Baza: • Intel server, Xeon CPU, 8 GB RAM
• Windows 2003 klaster
• Manualno prebacivanje Audit Vault servisa u slučaju pada dijela klastera
![Page 17: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/17.jpg)
Audit Vault - konzola
Pregled uzbuna
Centralni pregled sustava• Pregled uzbuna po:
• Mjestu nastanka• Vrsti dogañaja• Popis posljednjih
Oracle Confidential 17
Pregled uzbuna• Popis posljednjih uzbuna
• Najčešće pristupani objekti
• Neuspjele prijave na bazu
![Page 18: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/18.jpg)
Postavke auditinga
• Postavke auditinga (Audit Policy) su centralizirano definirane na jednaki način za sve korisničke i povlaštene (SYSDBA, SYSOPER, …) račune na bazi
• Za ostale račune prati se prijava i odjava na bazu
![Page 19: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/19.jpg)
Izvještavanje
Predefinirani izvještaji • Što je sve korisnik A radio na bazi podataka• Što je privilegirani korisnik radio u posljednja 24 sata• Pristup i mijenjanje podataka/procedura• Promjene strukture baze podataka• Akcije visoko privilegiranih korisnika/administratora• Dodavanje novih korisničkih računa te prava pristupa• Rana detekcija sumnjivih aktivnosti
![Page 20: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/20.jpg)
Primjer izvještaja
• Promjene na spremljenim procedurama
![Page 21: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/21.jpg)
Primjer izvještaja
• Primjer pogrešne prijave na sustav
![Page 22: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/22.jpg)
Primjer izvještaja
• Dodavanje rola i privilegija
Oracle Confidential 22
![Page 23: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/23.jpg)
Primjer izvještaja
• Mogućnost proširivanja izvještaja
Mogućnost proširivanja izvještaja raznim varijablama, čak do
Oracle Confidential 23
varijablama, čak do nivoa kompletnog SQL-a.
![Page 24: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/24.jpg)
Alerting sustav
• Lako postavljanje uzbuna na odreñene dogañaje na sustavu
![Page 25: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/25.jpg)
Zaključak
Što smo dobili:
• Potpun nadzor nad svim radnjama provedenim nad produkcijskom bazom podataka
• Nadzor i mogućnost mapiranja radnji u bazi s zahtjevima poslovne stranezahtjevima poslovne strane
• Moguća rekonstrukcija svih radnji u slučaju potrebe ili incidentne situacije
• Malo opterećenje produkcijskog okruženja
• Nužnost kvalitetne uspostave procesa aplikativnog razvoja
• Usklañenost s člankom 21. Odluke HNB-a(2007)
Oracle Confidential 25
![Page 26: Db security vaba information age 2010 v6.ppt [compatibility m](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55757cc1d8b42adb7e8b4dae/html5/thumbnails/26.jpg)