View
106
Download
1
Tags:
Embed Size (px)
Citation preview
Soluciones de Seguridad de desde la óptica del Desarrollo de Software
Webinar - 1 Daniel Godoy Security Specialist – [email protected]
18-06-2015
Webinar © avanttic Consultoría Tecnológica, S.L. 2
Conozca las soluciones de seguridad de Oracle
Desarrollo Regulación Experiencias Gobierno
Webcasts Cycle CustomerShowcase
07/0702/0725/0618/06
D
Con
D
Con la colaboración de y
Webinar
Soluciones de Seguridad de Oracle
© avanttic Consultoría Tecnológica, S.L. 3
Datamasking
Virtual PrivateDatabase
Database Vault
Ofuscación
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegendAccount Manager
MobileSecurity Suite
Database
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Middleware
apps
Webinar
Soluciones de Seguridad de Oracle desde la óptica del Desarrollo de Software
© avanttic Consultoría Tecnológica, S.L. 4
Datamasking
Virtual PrivateDatabase
Database Vault
Ofuscación
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegendAccount Manager
MobileSecurity Suite
Database
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Middleware
apps
Webinar
Problema
5 © avanttic Consultoría Tecnológica, S.L.
Clonado de datos a entornos no productivos
Desarrollador
DBA
Producción
Desarrollo Desarrollo = Producción
Webinar
Oracle Data Masking and Subsetting
• Reduce riesgos al compartir enmascarando o eliminando datos sensibles
6 © avanttic Consultoría Tecnológica, S.L.
010010110010101001001001001001001001001001001000100101010010
NOMBRE SALARIO
JUAN 50135
PEDRO 35789
MARIA 60765
DANIEL 10345
NOMBRE SALARIO
JESÚS 35676
CARLOS 76546
Descubrimiento de datos sensibles
Enmascarar con formatos de librería
Subset según condiciones
Enmascaramiento/SubseMng en Export o Staging
ManPene integridad referencial
Webinar
Oracle Data Masking and Subsetting
7 © avanttic Consultoría Tecnológica, S.L.
Técnicas de enmascaramiento
País IdenPficador
ES 48765432-‐Z
US 610-‐02-‐9191
UK JX 75 67 44 C
País Iden3ficador
ES 81331100-‐J
US 829-‐37-‐4729
UK AI 80 56 31 D
#Emp Nombre 324 Alberto 986 Juan
#Emp Nombre 324 Carlos 986 Pedro
#Emp Nombre 324 Carlos 986 Pedro
FIN
Registros sanitarios
Registros Sanitarios
Compañía Precio cierre IBFG $36.92 XKJU ¥789.8
Compañía Precio cierre IBFG $89.57 XKJU ¥341.9
Valores aleatorios manteniendo el formato
y más …
Salida determinista HR
Máscaras según condiciones
BLOB 3178973456 6509876745
Search : [0-‐9]{10} Replace : *
BLOB ********** **********
Enmascaramiento de datos en LOBs
Mezcla de registros
Webinar
Oracle Data Masking and Subsetting
8 © avanttic Consultoría Tecnológica, S.L.
Procedimiento de enmascaramiento
Por pasos Directo
010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010
Producción Test
Subconjunto de datos
Clonar y enmascarar
010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010
Test Masked Data Pump File
Producción
Subconjunto y enmascarado en un solo paso
Los datos de producción son extraídos (un subconjunto) y enmascarados en un solo paso uClizando “At-‐source Masking”
Los datos de producción Cenen que se extraídos primero y enmascarados después en pasos separados.
Staging
Webinar
Problema
9 © avanttic Consultoría Tecnológica, S.L.
Diferentes visiones de la BBDD para diferentes usuarios
Webinar
Virtual Private Database
• BBDD fuerza la seguridad modificando toda consulta • Configurable para tablas, vistas, tablas + columnas
10 © avanttic Consultoría Tecnológica, S.L.
Modificación de consultas en base a políticas
Select * from PROYECTOS where account_mgt_id = 148
Añadido por VPD
Webinar
Virtual Private Database
11 © avanttic Consultoría Tecnológica, S.L.
Control Flexible de Acceso
Sales
Cust.
select * from orders
select * from orders
ORDERS
where salesrep_id = 20
where customer_id = 10 Security Policy
Webinar
Problema
12 © avanttic Consultoría Tecnológica, S.L.
Auditoría
Desarrollador
DBA
Producción
Desarrollo = Producción
Auditor
Webinar
Oracle Audit Vault
13 © avanttic Consultoría Tecnológica, S.L.
Control preventivo y detección en BBDD Oracle y no Oracle
Eventos Firewall
Usuarios Aplicaciones
Database Firewall Permitir Log Alertar Sustituir Bloquear
Audit Data
Audit Vault
Informes
!Alertas
Políticas
Auditores
Responsible Seguridad
OS, Directory Services, File system & Custom Audit Logs
Webinar
Oracle Audit Vault
14 © avanttic Consultoría Tecnológica, S.L.
Gestión centralizada de políticas de auditoría
• Definición de políticas • Definición, gestión centralizada, recolección de
configuraciones de auditoría • Configuraciones de auditoría
• Las configuraciones se pueden extraer de BB.DD. existentes con auditorías previamente configuradas
• También se permiten configuraciones manuales • Aprovisionamiento de políticas
• Las políticas se pueden aplicar centralizadamente desde la consola de AVDF
• Mantenimiento de políticas • Compara las políticas aprobadas con la
configuración actual
LOPD Audit Settings
Privilege User Audit Settings
Privacy Audit Settings
Financial Database
Customer Database
HR Database
Oracle AVDF
Webinar
Oracle Audit Vault
• BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE, MySQL • Otras fuentes de auditoría
• Sistemas Operativos: Microsoft Windows, Solaris, Linux • Servicios de Directorio: Active Directory • Sistemas de ficheros: Oracle ACFS
• Plugins de recolección de auditoría para fuentes personalizadas • Fichero XML mapea elementos de auditoría personalizados a auditoría
canónica • Recolecta y mapea datos de fichero de auditoría XML y tablas de base de
datos
15 © avanttic Consultoría Tecnológica, S.L.
Auditoría empresarial extendida
Webinar
Oracle Audit Vault
16 © avanttic Consultoría Tecnológica, S.L.
Arquitecturas de despliegue flexibles
Audit Vault Standby
HA Mode
Out-of-Band Monitoring
Audit Vault Primary
Applications and Users
Remote Monitoring
Soft appliance
Audit Data
Audit Agents
Webinar
Problema
17 © avanttic Consultoría Tecnológica, S.L.
Publicar servicios en internet
… se despliegan principalmente usando web services XML • Uso elevado e intensivo de CPU • Implica el uso de tecnologías y estándares, tanto modernos como “legacy”
• Gran diversidad de clientes • Necesidad de SLA’s para el “cobro por uso”
…altamente expuestas • Amenazas XML, virus, ataques DoS, etc.
• ¿Como podemos asegurar la confidencialidad y el no repudio?
• ¿Quién puede acceder a los servicios y bajo que condiciones?
• ¿Qué información sale de la organización y como?
Webinar
Oracle API Gateway
18 © avanttic Consultoría Tecnológica, S.L.
Securización de servicios
DMZ Seguridad
Primera línea de defensa
Cloud Gateway
Seguridad en la
Nube
Mobile Acceso
Salvaguarda en acceso móvil
PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD
þ Detección de intrusiones þ Acceso asegurado þ Seguridad en el transporte/mensaje þ Análisis en Cempo real
þ Seguridad del dato þ Asegura SLAs þ Transformaciones seguras þ Virtualización y mash-‐ups
þ AutomaCzación en mensajes þ Acceso seguro a servicios
Webinar
Seguridad en la DMZ
19 © avanttic Consultoría Tecnológica, S.L.
SOAP / REST/ HTML Validación del mensaje
Navegadores y APIs clientes
Flooding Recursive Payloads Oversized Payloads Memory Leak
Ataques DOS Sniffing Parameter Tampering Schema Poisoning External EnCty CanonicalizaCon
Confidencialidad Integridad
Code templates Forceful browsing Directory Reversal WSDL scanning Registry Disclosure
Reconocimiento de ataques
Format String Buffer Overflow Race CondiCons Symlink Unprotected interfaces
Ataques de Escalado de privilegios
SQL InjecCon XPath InjecCon Cross-‐site scripCng Malformed content Logic bombs
Inyecciones y Código malicioso
OAG
Web Service
Webinar
Oracle API Gateway
21 © avanttic Consultoría Tecnológica, S.L.
Reescritura del mensaje
-‐ getCustomerDetail
-‐ updateCustomer
-‐ deleteCustomer…
Customer Service Web ApplicaCons
Web Services Clients
PEP
PDP
OAG <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope>
<SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope>
• Reescritura de los datos y/o cifrado en la entrega del mensaje • En base a políCcas de autorización
Webinar
API Security usando OAG
22 © avanttic Consultoría Tecnológica, S.L.
Habilitar acceso móvil a los datos empresariales
Transformación
API Control y gobierno
API administración y monitorización
Protección ante amenazas
Limitaciones en función del cliente
Aseguramiento REST API’s
Access M
anagem
ent
Extiende gestión a las API’s REST • Control contexto • Autenticación • Autorización • Security Tokens • Data Redaction • Auditoria
Webinar
Oracle API Gateway
23 © avanttic Consultoría Tecnológica, S.L.
Otras características
Oracle Business TransacPon Monitor
GesPón claves de las API
11gR2 CerPficaPon PolíPcas parametrizables
Mejora soporte REST con JSON naPvo
Administración simplificada
OAUTH 2.0 Client & Server
Oracle Mobile & Social Access Management
Webinar
Resumen
© avanttic Consultoría Tecnológica, S.L. 24
Datamasking
Virtual PrivateDatabase
Database Vault
Ofuscación
Advanced Security
Secure Backup
EnterpriseUser Security
Key Vault
Audit Vault Identity Manager AccessManager
PrivilegendAccount Manager
MobileSecurity Suite
Database
Proteccióndel dato
Gobierno deIdentidades
Gestiónde Accesos
MobileMnmgt
(MDM, MAM)
Controlde accesos
Auditoría101111001000
DatabaseFirewall
APIGateway
Middleware
apps
Para más información contacte con nosotros a través de [email protected]
© avanttic Consultoría Tecnológica, S.L.
BARCELONA Aragó 182, 4ª planta
08011 Barcelona Tel. 93 151 84 51
MADRID Paseo de la Castellana, 135, 7ª
28046 Madrid Tel. 91 116 17 89
el partner