oracle. Сергей Базылко. "oracle security: Противодействие...

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB

Oracle Security: Противодействие внутренним угрозам до, во время и после инцидента

Сергей Базылько, к.ф.-м.н., CISSP

Директор по продажам продуктов безопасности Oracle СНГ

Copyright © 2014, Oracle and/or its affiliates. All rights reserved.

г. Нижний Новгород26 НОЯБРЯ 2015

#CODEIB


#digitalidentity в заголовках газетНе по причине взлома! 12 Марта 2015 (Corriere.it)

3


Вместо единой правительственной базы, сертифицированная компания подтверждает личность при доступе на GOV.UK.

Гражданин может выбрать, кто будет подтверждать его личность при доступе на GOV.UK (банк, страховая компания и т.д.)

Экономика цифровой личности

Еще примеры:US NSTIC, UE eIDAS, France Connect, ITA SPID

L


Меры противодействия внутренним угрозам

5

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 6

S EC U R I T YS EC U R I T Y

S EC U R I T Y

S EC U R I T Y

S EC U R I T Y

S EC U R I T Y

S E C U R I T Y

ORACLE SECURITY INSIDE OUT ЗАЩИТА НА КАЖДОМ УРОВНЕ

76%

ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ

и СЛАБЫЕ ПАРОЛИ

Governance Risk & Compliance Оценка необходимости доступа, Выявлениеаномалий, Создание учетных записей, Управление привилегиями

Мобильная безопасность, Привилегированныепользователи, сервисы директорий

Шифрование, маскирование, управление ключами, защита Big Data

Solaris Trusted Extensions,LDAP Host Access Control

Secure Live Migration

Крипто-акселераторыКонтроль целостности данных приложений

Secure backup, Шифрование дисковILM Security

80%

КОМПРОМЕТАЦИЯ

СЕРВЕРОВ

ПРИЛОЖЕНИЙ

94%

КРАЖА ДАННЫХ С

СЕРВЕРОВ

50%

РАСПРОСТРАНЕНИЕ ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ

НАСТРОЕК


Соответствие требованиямОтраслевые стандарты и законодательство

7


12 требований PCI DSShttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html

http://security-orcl.blogspot.co.uk/2014/05/blog-post.html


Требования Национальной платежной системыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html

http://security-orcl.blogspot.co.uk/2014/05/blog-post.html


Персональные данные


Identity and Access Management – защита доступа в приложения и управление учетными записями, проведены проверки на наличие не декларированных возможностей по 3-НСД и 2-НДВ

Oracle Enterprise Single Sign-On – контроль доступа в информационные системы персональных данных

Oracle DB 11gR2 + Database Vault – разграничение доступа к данным в приложениях на уровне СУБД

Oracle Enterprise Linux – защита сертифицированной БД Oracle на уровне операционной системы, по 3-НСД и 2-НДВ

Oracle Fusion Middleware – по 3-НСД и 2-НДВ

Exadata, Exalogic

Audit Vault and Database Firewall

Продукты Oracle, сертифицированные ФСТЭК

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y


Сертификаты ФСТЭК

Public Info

Maximum performance on Oracle Exa-stack

#3215 – Oracle Exadata –DB security features

#3299 – Oracle Exalogic –Java security features

#soon – Oracle Exalytics

Maximum security level(Гостайна)

#3095 – Oracle Enterprise Linux (OEL) – operating system security features

#3196 – Oracle Fusion Middleware – Java security

features

#3295 – Oracle Identity & Access Management (IAMS) – Security as a

Service

Security for heterogeneous environment

#2858 – Oracle Database on Linux , Solaris &

Windows – DB security features

#3103 – Oracle Enterprise Single Sign-On – product

security features

#3364– Oracle Audit Vaultand Database Firewall

#soon – Oracle Mobile Security Suite


Соответствие требованиям или безопасность

• Персональные данные– Включает ли ваша модель угроз риски

административного доступа?

– Как быстро можно закрыть доступ при увольнении?

– Как подтверждены защитные механизмы?

ПОДГОТОВИЛСЯ

К СЮРПРИЗАМ?


GOLD

BRONZESILVER

PLATINUM

Критичные для ограниченного исп.Quarterly results,M&A, IP, Source code…Для внутреннего

использованияTransactions,Orders…

СоответствиезаконодательствуPII, PCI,PHI, SOX…Не критичные

Internal portals,Org. directories,Test/dev systems…

Не все данные одинаково ценные


Secure Data

Secure Access

Secure Configuration

Command & Control

Scan and patch

Secure configuration

Audit sensitive activities

Encrypt stored data

Encrypt network traffic

Mask and subset

16

Redact application data

Restrict DBA access

Monitor SQL traffic

Защитные меры и ценность данных

GOLD

BRONZESILVER

PLATINUM

Control DB operations

Analyze runtime privileges

Block unauthorized SQL traffic

Audit comprehensively

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Oracle Public 17

SIMPLIFIEDSECURITY

STANDARD CONFIGURATIONS

SECURITYROADMAP

SECURITY CONTROLS

Выгоды

Соответствует ценности данных

Больше защиты за те же вложения

Для всей организации

Планирование и управляемость

Адекватная защита для каждого класса


MobileSecurity

Identity Governance

Directory Services

AccessManagement

Encryption& Redaction

PrivilegedUser Control

KeyManagement

ActivityMonitoring

ConfigurationManagement

DatabaseFirewall

ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ

IDENTITY MANAGEMENT DATABASE SECURITY


Oracle Identity Management

Полный спектр решений для

защиты доступа

Identity Governance

Access Management

Directory Services

Cloud

On-Premise

Managed Cloud

Способы установки

Mobile Security


Управление учетными записями

• Oracle Identity Manager как первый шаг реализации программы защиты доступа


Платформа для управления идентификационными данными

• Oracle Identity Governance Suite –следующий этап развития системы управления учетными записями

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Oracle Confidential – Internal/Restricted/Highly Restricted 22

Баланс между безопасностью и удобствомSecurity in the Architecture

Легкая жизнь для правильных пользователей

Не допустить доступ неправильных пользователей


Интеллектуальное управление доступомОценка риска в контексте

LOW

MED-

LOW

HIGH

MED-

HIGH

ОТВЕТ

Разрешить Запретить

Низкий риск:

Social Identity

Средний риск:

Local account/ SAML

Federated accounts

Высокий риск:

Multi-factor

Очень высокий риск:

Deny access and alert the

security teamР

ИС

К

Более удобное использование, повышение защищенности и соответствие законодательству


Централизованное управление пользователями БД

• Согласно требованиям регуляторов необходимо консолидировать управление пользователями во всех экземплярах БД Oracle в банке

• Oracle Enterprise User Security обеспечивает интеграцию сервисов безопасности БД с LDAP каталогом (аутентификация и привязка ролей к группам)

• Средства Oracle ODS+ позволили управлять учетными записями пользователей БД , зарегистрированными в MS AD

24

Oracle Directory Services в крупном банке


Контроль активности

Database Firewall

Аудит и отчетность

ДЕТЕКТИВНАЯ

Редакция иМаскирование

Контроль за действиями привилегированных

пользователей

Шифрование

ПРЕВЕНТИВНАЯ АДМИНИСТРАТИВНАЯ

Управление конфигурациями

Public 25

Всесторонняя защита для максимальной безопасности

Решения Oracle по защите баз данных

Анализ привилегий ипоиск конфиденциальных

данных

Key & Wallet Management


Exadata – машина баз данных для консолидации СУБД• Все яйца в одной

корзине?

• Уникальное ПО firmwareдля ячеек хранения

• Доступ к данным возможен как на уровне ОС, так и СУБД и приложений

• Кто контролирует привилегированный доступ?

adminsys/dba

Приложения

26


Не заметно для работы

Программно-аппаратный комплекс средств для защиты Exadata

TDE

ODV

• Сертифицированная платформа (OFM, 2НДВ, 3СВТ) для Oracle Enterprise Manager

• Управление и разграничение доступа к сертифицированным средствам защиты Exadata

• Контроль доступа администраторов к СУБД и запись терминальных сессий

• Хранение ключей в сертифицированном HSM

adminsys/dba

Приложения

27


INSIDEOUT

SECURITYМногоуровневаязащита

Безопасностьсамого ценного


Спасибо за внимание!

Сергей Базылько, к.ф.-м.н., CISSP

Директор по продажам продуктов безопасности

[email protected]

+7 915 018 8804

29

mailto:[email protected]

oracle. Сергей Базылко. "oracle security: Противодействие...

Software