avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)

Soluciones de Seguridad de desde la óptica del Desarrollo de Software

Webinar - 1 Daniel Godoy Security Specialist – [email protected]

18-06-2015

Webinar © avanttic Consultoría Tecnológica, S.L. 2

Conozca las soluciones de seguridad de Oracle

Desarrollo Regulación Experiencias Gobierno

Webcasts Cycle CustomerShowcase

07/0702/0725/0618/06

D

Con

D

Con la colaboración de y

Webinar

Soluciones de Seguridad de Oracle

© avanttic Consultoría Tecnológica, S.L. 3

Datamasking

Virtual PrivateDatabase

Database Vault

Ofuscación

Advanced Security

Secure Backup

EnterpriseUser Security

Key Vault

Audit Vault Identity Manager AccessManager

PrivilegendAccount Manager

MobileSecurity Suite

Database

Proteccióndel dato

Gobierno deIdentidades

Gestiónde Accesos

MobileMnmgt

(MDM, MAM)

Controlde accesos

Auditoría101111001000

DatabaseFirewall

APIGateway

Middleware

apps

Webinar

Soluciones de Seguridad de Oracle desde la óptica del Desarrollo de Software


Datamasking


Database Vault

Ofuscación

Advanced Security

Secure Backup


Key Vault




Database

Proteccióndel dato


Gestiónde Accesos

MobileMnmgt

(MDM, MAM)

Controlde accesos


DatabaseFirewall

APIGateway

Middleware

apps

Webinar

Problema

5 © avanttic Consultoría Tecnológica, S.L.

Clonado de datos a entornos no productivos

Desarrollador

DBA

Producción

Desarrollo Desarrollo = Producción

Webinar

Oracle Data Masking and Subsetting

•  Reduce riesgos al compartir enmascarando o eliminando datos sensibles


010010110010101001001001001001001001001001001000100101010010

NOMBRE SALARIO

JUAN 50135

PEDRO 35789

MARIA 60765

DANIEL 10345

NOMBRE SALARIO

JESÚS 35676

CARLOS 76546

Descubrimiento de datos sensibles

Enmascarar con formatos de librería

Subset según condiciones

Enmascaramiento/SubseMng en Export o Staging

ManPene integridad referencial

Webinar



Técnicas de enmascaramiento

País IdenPficador

ES 48765432-‐Z

US 610-‐02-‐9191

UK JX 75 67 44 C

País Iden3ficador

ES 81331100-‐J

US 829-‐37-‐4729

UK AI 80 56 31 D

#Emp Nombre 324 Alberto 986 Juan

#Emp Nombre 324 Carlos 986 Pedro

#Emp Nombre 324 Carlos 986 Pedro

FIN

Registros sanitarios

Registros Sanitarios

Compañía Precio cierre IBFG $36.92 XKJU ¥789.8

Compañía Precio cierre IBFG $89.57 XKJU ¥341.9

Valores aleatorios manteniendo el formato

y más …

Salida determinista HR

Máscaras según condiciones

BLOB 3178973456 6509876745

Search : [0-‐9]{10} Replace : *

BLOB ********** **********

Enmascaramiento de datos en LOBs

Mezcla de registros

Webinar



Procedimiento de enmascaramiento

Por pasos Directo

010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010

Producción Test

Subconjunto de datos

Clonar y enmascarar

010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010

Test Masked Data Pump File

Producción

Subconjunto y enmascarado en un solo paso

Los datos de producción son extraídos (un subconjunto) y enmascarados en un solo paso uClizando “At-‐source Masking”

Los datos de producción Cenen que se extraídos primero y enmascarados después en pasos separados.

Staging

Webinar

Problema


Diferentes visiones de la BBDD para diferentes usuarios

Webinar

Virtual Private Database

•  BBDD fuerza la seguridad modificando toda consulta •  Configurable para tablas, vistas, tablas + columnas


Modificación de consultas en base a políticas

Select * from PROYECTOS where account_mgt_id = 148

Añadido por VPD

Webinar

Virtual Private Database


Control Flexible de Acceso

Sales

Cust.

select * from orders

select * from orders

ORDERS

where salesrep_id = 20

where customer_id = 10 Security Policy

Webinar

Problema


Auditoría

Desarrollador

DBA

Producción

Desarrollo = Producción

Auditor

Webinar

Oracle Audit Vault


Control preventivo y detección en BBDD Oracle y no Oracle

Eventos Firewall

Usuarios Aplicaciones

Database Firewall Permitir Log Alertar Sustituir Bloquear

Audit Data

Audit Vault

Informes

!Alertas

Políticas

Auditores

Responsible Seguridad

OS, Directory Services, File system & Custom Audit Logs

Webinar

Oracle Audit Vault


Gestión centralizada de políticas de auditoría

•  Definición de políticas •  Definición, gestión centralizada, recolección de

configuraciones de auditoría •  Configuraciones de auditoría

•  Las configuraciones se pueden extraer de BB.DD. existentes con auditorías previamente configuradas

•  También se permiten configuraciones manuales •  Aprovisionamiento de políticas

•  Las políticas se pueden aplicar centralizadamente desde la consola de AVDF

•  Mantenimiento de políticas •  Compara las políticas aprobadas con la

configuración actual

LOPD Audit Settings

Privilege User Audit Settings

Privacy Audit Settings

Financial Database

Customer Database

HR Database

Oracle AVDF

Webinar

Oracle Audit Vault

•  BB.DD.: Oracle, SQL Server, DB2 LUW, Sybase ASE, MySQL •  Otras fuentes de auditoría

•  Sistemas Operativos: Microsoft Windows, Solaris, Linux •  Servicios de Directorio: Active Directory •  Sistemas de ficheros: Oracle ACFS

•  Plugins de recolección de auditoría para fuentes personalizadas •  Fichero XML mapea elementos de auditoría personalizados a auditoría

canónica •  Recolecta y mapea datos de fichero de auditoría XML y tablas de base de

datos


Auditoría empresarial extendida

Webinar

Oracle Audit Vault


Arquitecturas de despliegue flexibles

Audit Vault Standby

HA Mode

Out-of-Band Monitoring

Audit Vault Primary

Applications and Users

Remote Monitoring

Soft appliance

Audit Data

Audit Agents

Webinar

Problema


Publicar servicios en internet

… se despliegan principalmente usando web services XML •  Uso elevado e intensivo de CPU •  Implica el uso de tecnologías y estándares, tanto modernos como “legacy”

•  Gran diversidad de clientes •  Necesidad de SLA’s para el “cobro por uso”

…altamente expuestas •  Amenazas XML, virus, ataques DoS, etc.

•  ¿Como podemos asegurar la confidencialidad y el no repudio?

•  ¿Quién puede acceder a los servicios y bajo que condiciones?

•  ¿Qué información sale de la organización y como?

Webinar

Oracle API Gateway


Securización de servicios

DMZ Seguridad

Primera línea de defensa

Cloud Gateway

Seguridad en la

Nube

Mobile Acceso

Salvaguarda en acceso móvil

PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD

þ  Detección de intrusiones þ  Acceso asegurado þ  Seguridad en el transporte/mensaje þ  Análisis en Cempo real

þ  Seguridad del dato þ  Asegura SLAs þ  Transformaciones seguras þ  Virtualización y mash-‐ups

þ  AutomaCzación en mensajes þ  Acceso seguro a servicios

Webinar

Seguridad en la DMZ


SOAP / REST/ HTML Validación del mensaje

Navegadores y APIs clientes

Flooding Recursive Payloads Oversized Payloads Memory Leak

Ataques DOS Sniffing Parameter Tampering Schema Poisoning External EnCty CanonicalizaCon

Confidencialidad Integridad

Code templates Forceful browsing Directory Reversal WSDL scanning Registry Disclosure

Reconocimiento de ataques

Format String Buffer Overflow Race CondiCons Symlink Unprotected interfaces

Ataques de Escalado de privilegios

SQL InjecCon XPath InjecCon Cross-‐site scripCng Malformed content Logic bombs

Inyecciones y Código malicioso

OAG

Web Service

Webinar

Componentes


Webinar

Oracle API Gateway


Reescritura del mensaje

-‐ getCustomerDetail

-‐ updateCustomer

-‐ deleteCustomer…

Customer Service Web ApplicaCons

Web Services Clients

PEP

PDP

OAG <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope>

<SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope>

•  Reescritura de los datos y/o cifrado en la entrega del mensaje •  En base a políCcas de autorización

Webinar

API Security usando OAG


Habilitar acceso móvil a los datos empresariales

Transformación

API Control y gobierno

API administración y monitorización

Protección ante amenazas

Limitaciones en función del cliente

Aseguramiento REST API’s

Access M

anagem

ent

Extiende gestión a las API’s REST •  Control contexto •  Autenticación •  Autorización •  Security Tokens •  Data Redaction •  Auditoria

Webinar

Oracle API Gateway


Otras características

Oracle Business TransacPon Monitor

GesPón claves de las API

11gR2 CerPficaPon PolíPcas parametrizables

Mejora soporte REST con JSON naPvo

Administración simplificada

OAUTH 2.0 Client & Server

Oracle Mobile & Social Access Management

Webinar

Resumen


Datamasking


Database Vault

Ofuscación

Advanced Security

Secure Backup


Key Vault




Database

Proteccióndel dato


Gestiónde Accesos

MobileMnmgt

(MDM, MAM)

Controlde accesos


DatabaseFirewall

APIGateway

Middleware

apps

[email protected]

Para más información contacte con nosotros a través de [email protected]

© avanttic Consultoría Tecnológica, S.L.

BARCELONA Aragó 182, 4ª planta

08011 Barcelona Tel. 93 151 84 51

MADRID Paseo de la Castellana, 135, 7ª

28046 Madrid Tel. 91 116 17 89

el partner

Technology

avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)