oracle. Сергей Базылко. "oracle security: Противодействие...
TRANSCRIPT
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Oracle Security: Противодействие внутренним угрозам до, во время и после инцидента
Сергей Базылько, к.ф.-м.н., CISSP
Директор по продажам продуктов безопасности Oracle СНГ
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
г. Нижний Новгород26 НОЯБРЯ 2015
#CODEIB
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
#digitalidentity в заголовках газетНе по причине взлома! 12 Марта 2015 (Corriere.it)
3
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Вместо единой правительственной базы, сертифицированная компания подтверждает личность при доступе на GOV.UK.
Гражданин может выбрать, кто будет подтверждать его личность при доступе на GOV.UK (банк, страховая компания и т.д.)
Экономика цифровой личности
Еще примеры:US NSTIC, UE eIDAS, France Connect, ITA SPID
L
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Меры противодействия внутренним угрозам
5
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 6
S EC U R I T YS EC U R I T Y
S EC U R I T Y
S EC U R I T Y
S EC U R I T Y
S EC U R I T Y
S E C U R I T Y
ORACLE SECURITY INSIDE OUT ЗАЩИТА НА КАЖДОМ УРОВНЕ
76%
ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ
и СЛАБЫЕ ПАРОЛИ
Governance Risk & Compliance Оценка необходимости доступа, Выявлениеаномалий, Создание учетных записей, Управление привилегиями
Мобильная безопасность, Привилегированныепользователи, сервисы директорий
Шифрование, маскирование, управление ключами, защита Big Data
Solaris Trusted Extensions,LDAP Host Access Control
Secure Live Migration
Крипто-акселераторыКонтроль целостности данных приложений
Secure backup, Шифрование дисковILM Security
80%
КОМПРОМЕТАЦИЯ
СЕРВЕРОВ
ПРИЛОЖЕНИЙ
94%
КРАЖА ДАННЫХ С
СЕРВЕРОВ
50%
РАСПРОСТРАНЕНИЕ ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ
НАСТРОЕК
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Соответствие требованиямОтраслевые стандарты и законодательство
7
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
12 требований PCI DSShttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Требования Национальной платежной системыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Персональные данные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Персональные данные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Identity and Access Management – защита доступа в приложения и управление учетными записями, проведены проверки на наличие не декларированных возможностей по 3-НСД и 2-НДВ
Oracle Enterprise Single Sign-On – контроль доступа в информационные системы персональных данных
Oracle DB 11gR2 + Database Vault – разграничение доступа к данным в приложениях на уровне СУБД
Oracle Enterprise Linux – защита сертифицированной БД Oracle на уровне операционной системы, по 3-НСД и 2-НДВ
Oracle Fusion Middleware – по 3-НСД и 2-НДВ
Exadata, Exalogic
Audit Vault and Database Firewall
Продукты Oracle, сертифицированные ФСТЭК
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Сертификаты ФСТЭК
Public Info
Maximum performance on Oracle Exa-stack
#3215 – Oracle Exadata –DB security features
#3299 – Oracle Exalogic –Java security features
#soon – Oracle Exalytics
Maximum security level(Гостайна)
#3095 – Oracle Enterprise Linux (OEL) – operating system security features
#3196 – Oracle Fusion Middleware – Java security
features
#3295 – Oracle Identity & Access Management (IAMS) – Security as a
Service
Security for heterogeneous environment
#2858 – Oracle Database on Linux , Solaris &
Windows – DB security features
#3103 – Oracle Enterprise Single Sign-On – product
security features
#3364– Oracle Audit Vaultand Database Firewall
#soon – Oracle Mobile Security Suite
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Соответствие требованиям или безопасность
• Персональные данные– Включает ли ваша модель угроз риски
административного доступа?
– Как быстро можно закрыть доступ при увольнении?
– Как подтверждены защитные механизмы?
ПОДГОТОВИЛСЯ
К СЮРПРИЗАМ?
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 15
GOLD
BRONZESILVER
PLATINUM
Критичные для ограниченного исп.Quarterly results,M&A, IP, Source code…Для внутреннего
использованияTransactions,Orders…
СоответствиезаконодательствуPII, PCI,PHI, SOX…Не критичные
Internal portals,Org. directories,Test/dev systems…
Не все данные одинаково ценные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Secure Data
Secure Access
Secure Configuration
Command & Control
Scan and patch
Secure configuration
Audit sensitive activities
Encrypt stored data
Encrypt network traffic
Mask and subset
16
Redact application data
Restrict DBA access
Monitor SQL traffic
Защитные меры и ценность данных
GOLD
BRONZESILVER
PLATINUM
Control DB operations
Analyze runtime privileges
Block unauthorized SQL traffic
Audit comprehensively
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Oracle Public 17
SIMPLIFIEDSECURITY
STANDARD CONFIGURATIONS
SECURITYROADMAP
SECURITY CONTROLS
Выгоды
Соответствует ценности данных
Больше защиты за те же вложения
Для всей организации
Планирование и управляемость
Адекватная защита для каждого класса
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 18
MobileSecurity
Identity Governance
Directory Services
AccessManagement
Encryption& Redaction
PrivilegedUser Control
KeyManagement
ActivityMonitoring
ConfigurationManagement
DatabaseFirewall
ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ
IDENTITY MANAGEMENT DATABASE SECURITY
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Oracle Identity Management
Полный спектр решений для
защиты доступа
Identity Governance
Access Management
Directory Services
Cloud
On-Premise
Managed Cloud
Способы установки
Mobile Security
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Управление учетными записями
• Oracle Identity Manager как первый шаг реализации программы защиты доступа
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Платформа для управления идентификационными данными
• Oracle Identity Governance Suite –следующий этап развития системы управления учетными записями
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Oracle Confidential – Internal/Restricted/Highly Restricted 22
Баланс между безопасностью и удобствомSecurity in the Architecture
Легкая жизнь для правильных пользователей
Не допустить доступ неправильных пользователей
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Интеллектуальное управление доступомОценка риска в контексте
LOW
MED-
LOW
HIGH
MED-
HIGH
ОТВЕТ
Разрешить Запретить
Низкий риск:
Social Identity
Средний риск:
Local account/ SAML
Federated accounts
Высокий риск:
Multi-factor
Очень высокий риск:
Deny access and alert the
security teamР
ИС
К
Более удобное использование, повышение защищенности и соответствие законодательству
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Централизованное управление пользователями БД
• Согласно требованиям регуляторов необходимо консолидировать управление пользователями во всех экземплярах БД Oracle в банке
• Oracle Enterprise User Security обеспечивает интеграцию сервисов безопасности БД с LDAP каталогом (аутентификация и привязка ролей к группам)
• Средства Oracle ODS+ позволили управлять учетными записями пользователей БД , зарегистрированными в MS AD
24
Oracle Directory Services в крупном банке
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Контроль активности
Database Firewall
Аудит и отчетность
ДЕТЕКТИВНАЯ
Редакция иМаскирование
Контроль за действиями привилегированных
пользователей
Шифрование
ПРЕВЕНТИВНАЯ АДМИНИСТРАТИВНАЯ
Управление конфигурациями
Public 25
Всесторонняя защита для максимальной безопасности
Решения Oracle по защите баз данных
Анализ привилегий ипоиск конфиденциальных
данных
Key & Wallet Management
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Exadata – машина баз данных для консолидации СУБД• Все яйца в одной
корзине?
• Уникальное ПО firmwareдля ячеек хранения
• Доступ к данным возможен как на уровне ОС, так и СУБД и приложений
• Кто контролирует привилегированный доступ?
adminsys/dba
Приложения
26
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Не заметно для работы
Программно-аппаратный комплекс средств для защиты Exadata
TDE
ODV
• Сертифицированная платформа (OFM, 2НДВ, 3СВТ) для Oracle Enterprise Manager
• Управление и разграничение доступа к сертифицированным средствам защиты Exadata
• Контроль доступа администраторов к СУБД и запись терминальных сессий
• Хранение ключей в сертифицированном HSM
adminsys/dba
Приложения
27
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 28
INSIDEOUT
SECURITYМногоуровневаязащита
Безопасностьсамого ценного
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Спасибо за внимание!
Сергей Базылько, к.ф.-м.н., CISSP
Директор по продажам продуктов безопасности
+7 915 018 8804
29