securing enterprise data in private clouds - …...3 版权所有 © 2012,oracle...
TRANSCRIPT
2 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息 2 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 从幻灯片 8 中插入信息保护政策分类
以下内容旨在概述产品的总体发展方向。该内容仅供参考,不可纳入任何合同。该内容不构成提供任何材料、代码或功能的承诺,并且不应该作为制定购买决策的依据。所描述的有关 Oracle 产品的任何特性或功能的开发、发布和时间安排均由 Oracle 自行决定。
4 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
Oracle 云服务
Oracle 托管型 管理软件
托管型数据库
托管型数据库云服务器
托管型中间件
托管型中间件云服务器
私有云产品 私有与公有云服务 Oracle 公有云
融合 HCM 云服务
Oracle 数据库云服务
Oracle Java 云服务
融合 CRM 云服务
基础架构即服务
Oracle 数据库、MySQL、Oracle 数据库云服务器
应用程序云基础:WebLogic Server、
Coherence、JRockit、中间件云服务器
平台即服务
SOA Suite 和
BPM Suite
数据集成
和 GoldenGate
身份和
访问管理
WebCenter 用户参与
Oracle 管理软件
应用程序
Oracle VM for x86
Oracle Linux Oracle Solaris
Oracle VM for SPARC (LDom) Solaris Zones
服务器、SuperCluster
网络结构 存储
云管理
云控
制
Ops C
ente
r
Ora
cle
Ente
rprise M
anager
Oracle 社交网络
Oracle 云计算解决方案 — 数据库安全性
6 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
数据库服务器漏洞
三分之二的敏感和受管制信息现都保存在数据库中
……并且每两年翻一番
信息来源:Verizon,2007 年 11 月以及 IDC,―高效的数据防泄漏计划:从源头(数据库)开始保护数据‖,2011 年 8 月
48% 的数据侵犯由内部人员引起
89% 的记录通过 SQL
注入被窃取
86% 攻击使用窃取的凭证
过去六年中有超过 10 亿条记录泄露
7 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
您的数据库有多安全? 2011 IOUG 数据安全调查结果
24% 能够阻止 DBA 访问数据和存储过程
69% 不监视敏感应用数据的读写
63% 未采取措施防止 SQL 注入攻击或不确定
48% 向开发和测试环境复制敏感数据
70% 可在操作系统级读取存储在数据库文件或存储中的数据
57% 无法阻止对数据库的直接访问(应用程序绕行)
8 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
传统计算环境
• 各应用程序专用的孤岛
• 不确定哪些孤岛包含敏感数据
• 分别保护每个孤岛既复杂且代价高昂
• 通常保护共享资源
– 网络
• 易受攻击的数据、数据库基础架构
– 网内攻击
容易丧失对敏感数据的跟踪
9 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
云计算环境
• 共享数据库资源池
• 在数据库云中管理所有数据
– 消除数据孤岛的复杂性
• 高效、一致的保护
• 更安全,成本更低
• Oracle 数据库云服务器
– 理想的数据库云构建块
实现经济有效的数据安全
10 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
―67% 的大型企业都在使用云计算的基础架构即服务
(IaaS) 平台来支持生产‖
Forrester ForrSight 调查,2011 年
11 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
保护数据库云需要
审计、授权、身份验证等
应用程序
SQL 监视与阻止
屏蔽
特权用户访问
加密
数据发现 合规性扫描 漏洞扫描
活动审计
安全性修补
12 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
磁盘
备份
导出
场外
设施
身份验证和数据加密
• 防止 IT 人员或操作系统用户访问存储在数据库文件中、磁带上的数据和其他数据
• 无需更改应用程序即可对应用程序数据实现高效加密
• 使用 HSM/KMS 既可实现针对 SoD 的内置双层密钥管理又支持集中密钥管理
• 数据库用户的强身份验证加强了身份保证
Oracle Advanced Security
应用程序
13 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
在数据库中实施安全策略 Oracle Database Vault
应用程序
采购
人力资源
财务
应用程序
DBA
select * from finance.customers
DBA
安全性
DBA
• 自动的、可自定义的 DBA 职责分离及受保护的领域
• 使用规则和因素来管理访问数据的人员、地点、时间和方式
– 对特权数据库用户执行最小权限
– 防止应用程序绕行、实施企业数据治理
• 安全地整合应用程序数据或支持多承租方数据管理
14 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
数据分类访问控制
• 根据业务因素对用户和数据进行分类
• 在数据库中实施行级访问控制
• 通过 Oracle Identity Management Suite 对用户进行分类
• 分类标签可以是其他策略中的因素
• 无需更改应用程序
Oracle Label Security
事务
报表数据
报表 机密 敏感
敏感
机密
公共
15 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
自动更改跟踪
• 透明地跟踪应用程序数据随时间的更改
• 数据库中高效、抗干扰的归档存储
• 使用 SQL 实时访问应用程序的历史数据
• 简化的突发事件取证和恢复
Oracle Total Recall
select salary from emp AS OF TIMESTAMP
'02-MAY-09 12.00 AM‗ where emp.title = ‗admin‘
16 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
阻止
日志
允许
警报
替代
监视数据库网络活动 Oracle Database Firewall
策略 内置 报表
警报 定制 报表
• 阻止 SQL 注入之类的未授权数据库访问
• SQL 语法分析确保准确性、实施和可伸缩性
• 白名单和黑名单无误报地执行应用程序活动
• 可伸缩的架构让企业可以适应各种部署模式
• 适用于 SOX、PCI 和其他法规的内置和自定义合规性报告
应用程序
17 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
实时审计数据库活动
• 将数据库审计线索整合到安全集中的信息库中
• 检测并警告可疑活动,包括特权用户
• 适用于 SOX、PCI 和其他法规的现成的合规性报告
– 例如,特权用户审计、权限、失败的登录、受管制数据更改
• 使用报告生成、通知、证明、存档等简化了审计
Oracle Audit Vault
CRM 数据
ERP 数据
数据库
HR 数据
审计数据
策略 审计人员
内置报表
警报
定制报表
!
18 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
安全的数据库生命周期管理
• 发现数据库并将其归类到安全策略组
• 依据 400 多个最佳实践和行业标准以及自定义的企业专用配置策略扫描数据库,提高安全合规性
• 检测并阻止未经授权的数据库配置更改,故障单跟踪
• 自动打补丁和安全供应
发现 扫描和监视 打补丁
Oracle Enterprise Manager
19 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
在不安全环境中保护数据
• 使应用程序数据安全地用于非生产环境
• 防止应用程序开发人员和测试人员看到生产数据
• 用于数据屏蔽自动化的可扩展模板库和策略
• 自动保留引用完整性,以便应用程序能够继续正常运行
• 与真正应用测试和测试数据管理集成
Oracle Data Masking
生产环境 非生产环境
数据永不离开数据库
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
LAST_NAME SSN SALARY
ANSKEKSL 111—23-1111 60,000
BKJHHEIEDK 222-34-1345 40,000
20 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
加密个人
身份信息
通过纵深防御保护
患者捐赠数据的安全
• 特权用户访问控制
• 加密生产数据、屏蔽非生产数据
• HIPPA/HITECH 合规性
Oracle Database Vault
Oracle Advanced Security
Oracle Data Masking
数据库安全案例研究
• 监视特权用户、
敏感数据更新等
• 保护中央审计信息库
• Sarbanes-Oxley 法案合规性
对应用程序日志的
审计、警报和报告
Oracle Audit Vault
• 透明数据加密
• 不更改应用程序,不影响应用程序性能
• PCI DSS 合规性
Oracle Advanced Security
21 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
Oracle 数据库安全性战略
加密、特权用户控制、分类 活动监视、审计、阻止攻击、报告
mySQL
数据库生命周期管理、
针对非生产环境的数据屏蔽
最高的安全性: 数据库内部控制
低安全性: 删除敏感数据
外部控制: 保护 Oracle 和非 Oracle 数据库
纵深防御
22 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
需要考虑的问题……
• 您知道所有敏感数据所处的位置吗?
• 您会知道您的数据是否遭侵犯吗?
• 谁负责保护数据?
• 您了解适用于您的所有监管法规吗?
• 您是否制定了纵深防御战略?
24 版权所有 © 2011,Oracle 和/或其分支机构。保留所有权利。 公开信息
更多信息
oracle.com/database/security
search.oracle.com
或
database security