jueves, 22 de enero de 2015

Oracle Data Mask Pack

Enmascaramiento en Oracle


Las organizaciones tienen la necesidad de compartir los datos de producción con los usuarios internos y externos para varios fines de negocio, como las pruebas de aplicación, etc. Con Data Masking Pack, las organizaciones ahora pueden compartir la información interna de manera segura, y con los socios de negocio, y seguir cumpliendo con las regulaciones del gobierno. Los administradores de base de datos y seguridad de la información pueden mejorar su productividad al eliminar los procesos manuales y aplicar políticas de seguridad de la información a sus organizaciones.

Las organizaciones, primero, deben identificar cuales son los datos sensibles (por ejemplo: claves, números de cuentas, números telefónicos, direcciones, correos electrónicos, etc) a proteger.

Para saber qué datos proteger las organizaciones cuentan con políticas internas y externas; y, con estándares de seguridad como: PCI, SOX, HIPPA, ISO, etc.

 Oracle Data Masking Pack proporciona una solución completa y fácil de emplear para compartir los datos de producción con usuarios internos y externos al tiempo que se evita que ciertas partes sensibles o confidenciales de la información sean visibles a usuarios no autorizados.

Componentes:
  1. Definiciones de enmascaramiento
  2. Formatos de Enmascaramiento 
1. Definiciones de enmascaramiento

Las actuales aplicaciones empresariales tienen esquemas de base de datos muy complejos que contienen cientos o miles de objetos de base de datos. Los administradores tienen la tarea de identificar las tablas y columnas que contienen información confidencial o sensible, y organizarlas en los formatos adecuados de enmascaramiento. Afortunadamente, Data Masking Pack facilita esta tarea mediante la función de búsqueda incorporada que permite que el administrador de seguridad de la información consulte todo el diccionario de datos a fin de identificar las columnas o tablas potenciales que contienen los datos sensibles.


Una vez seleccionada una columna para el enmascaramiento, Data Masking Pack automáticamente identifica todas las columnas relacionadas con las columnas y las tablas seleccionadas de acuerdo con las relaciones de integridad referencial de clave externa mantenidas en el diccioario de datos. Esto asegura que la regla de enmascaramiento aplicada a la columna primaria también se aplique automáticamente a otras tablas y columnas asociadas. 

2. Formatos de Enmascaramiento
Las organizaciones tienen información privado y pública almacenada en varias columnas dentro de las tablas de las bases de datos. Estos grupos de información son bastante diferentes y son candidatos al enmascaramiento de datos. En la actualidad, este es un problema central para las organizaciones porque los DBA a menudo eligen implementar soluciones distintas basadas en scripts para el enmascaramiento en cada base de datos. Al tener una definición central para formatos de enmascaramiento común en Data Masking Pack, las empresas pueden aplicar las reglas de privacidad de datos consistentemente en todos los datos de producción.


Data Masking Pack brinda elementos básicos de enmascaramiento listos a usar para varios tipos de datos, como números aleatorios, fechas aleatorias, constantes, cadenas de texto. Las organizaciones también pueden utilizar otras rutinas de enmascaramiento, como el cambio, que cambia el valor de una columna a lo largo de varias filas. Esto es útil cuando el rango de valores de una columna no se conoce y el cambio de valores de la misma tabla ofrece un grado suficiente de protección a la privacidad.

También se pueden agregar al grupo de formatos de enmascaramiento creados y definidos por el usuario. Estos formatos está hechos en base a PL/SQL, ofrecen un grado ilimitado de flexibilidad al generar el formato de enmascaramiento adecuado para la oraganización.

Como buena práctica, es recomendable que se estandarice los formatos de enmascaramiento para la información sensible que la organización desea proteger.

 El siguiente video es el laboratorio del uso de Data Masking Pack, definiciones y formatos de enmascaramiento predefinidos y definidos por el usuario.


 

Links de interés:


Publicadas por a la/s 1 comentario:

jueves, 6 de noviembre de 2014

Oracle Advanced Security (OAS)

Oracle Advanced Security ayuda a los clientes a cumplir con los requisitos del cumplimiento regulatorio al proteger los datos sensibles: en la misma base de datos, medios de backup o en la red, de la divulgación no autorizada.

En ésta entrada trato los siguientes tópicos:
  1. Auntenticación Fuerte
  2. Encriptación e Integridad de datos
  3. Transparent Data Encryption (TDE)
  4. Database Vault (DV)

Autenticación Fuerte


La autenticación se utiliza para probar la identidad del usuario, éste procedimiento es imprescindible para que el usuario siga teniendo confianza en la red.

Las contraseñas son el medio más común de autenticación. Oracle soporta servicios de autenticación de terceros, incluyendo SSL (Secure Sockets Layer) con certificados digitales.

La autenticación centralizada permite el beneficio del uso de SSO (Single Sign On), acceder a múltiples aplicaciones con una sola autenticación); el usuario ya no necesita administrar sus contraseñas y se elimina el tiempo que llevaría en los otros login's.

Métodos de autenticación que admite Oracle:
  • Kerberos
  • RADIUS (Remote Authentication Dial-Up user Service)
  • SSL
  • Entrust/PKI

Kerberos.- es un sistema de autenticación que se basa en compartir contraseñas por la red.


Lo que Kerberos proporciona:
  • SSO(Single Sign On)
  • Almacenamiento de contraseñas
  • Autenticación centralizada
  • Mayor seguridad de la PC
  • Autenticación de redes

RADIUS.- Es un protocolo de seguridad cliente/servidor que permite accesos y autenticaciones remotas



Este método de autenticación usa: Smart Cards, Token Cards (permiten generar dinámicamente contraseñas)


SSL(Secure Sockets Layer).- Es un protocolo empresarial estándar para asegurar las conexiones de red.


Lo que SSL proporciona:
  1. Autenticación
  2. Encriptación de datos
  3. Hashing (Para la Integración de datos)
SSL usa:
  • Usa certificados digitales que se basan en el estándar: X.509v3
  • Usa claves públicas y privadas

Entrust/PKI.- es un repositorio seguro de claves públicas más la combinación de hardware, software, políticas y procedimientos de seguridad. 



Encriptación e Integridad de datos

En todo proceso de encriptación o cifrado de datos debe haber:
  1. Un algoritmo de encriptación
  2. Una llave para desencriptar
Mediante la encriptación se puede proteger:
  • Datos en reposo
  • Datos en la red
En Oracle Advanced Security podemos encontrar métodos para encriptar la información: Advanced Encryption Standard, Kerberos, SSL, RADIUS o Entrust/PKI, y métodos para proteger la integridad de los datos, éstos métodos se conocen como algoritmos de integridad de datos (hashing); los algoritmos más usados son: MD5 y SHA-1.

Este tipo de algoritmos sirven para mantener la integridad de los datos evitando:
  • Que modifiquen la información
  • Que eliminen paquetes
No es lo mismo "encriptación" que "hashing"; ya que el primer concepto se refiere a que la información que está encriptada puede ser desencriptada (transformada a su estado original) a través de una clave; mientras que, el hashing son algoritmos para dispersar la información en tablas llamadas "hash" y no tienen una clave para que el código hash regrese a su estado original.


En éste video se explica, brevemente, las diferencias entre MD5 y SHA-1.




Transparent Data Encryption (TDE)

 

TDE es una solución que nos permite la encriptación física de los datos, ésta solución es a nivel de servidor y no de cliente; pero debido a ésta característica, prácticamente las aplicaciones no deben modificar muy poco para el uso de la data encriptada.

TDE encripta los datos antes de ser escritos en el disco y los desencripta antes de que sean retornados a la aplicación.

TDE puede usar Recovery Management (RMAN) para realizar respaldos de los archivos (datafiles) encriptados.

Como en todo proceso de encriptación se generan una o más claves para descriptar lo encriptado, y esas claves son archivos que se guardan en disco en un sector de disco llamado "wallet"(es un directorio) ó en infraestructura como Hardward Security Module (HSM).

Si se opta por la creación del wallet:

1) Archivo: sqlnet.ora, creación y definición del wallet (aquí se almacenará la llave):

ENCRYPTION_WALLET_LOCATION=
(SOURCE=(METHOD_FILE)
(METHOD_DATA=DIRECTORY=
(/u01/app/oracle/product/11.2.0/dbhome_1/wallet)))

2) Apertura del "wallet":

SQL> ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "<password>";

3) Cambio del "wallet":

SQL> ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "<password>";


El siguiente video muestra el uso de Transparent Data Encryption (TDE) en Linux usando como lugar de almacenamiento de la clave maestra un wallet; se realizan operaciones tanto a nivel de instancia de base de datos y de sistema operativo:


Database Vault (DV)

Esta herramienta, quizás la más potente de las soluciones de seguridad para bases de datos Oracle, permite enforzar la seguridad en varias capas; permite separar responsabilidades, otorgar el menor de los privilegios y controles preventivos tomando en cuenta los privilegios que tienen o pueden tener los usuarios.
Descripción General:
  • Implementa controles preventivos en accesos de usuarios privilegiados a los datos de la aplicación
  • Controla el acceso a la base de datos con políticas de múltiples factores que están basadas en factores integrados como hora del día, dirección IP, nombre de la aplicación y método de autenticación
  • Consolida bases de datos y usuarios privilegiados de forma segura para proteger los datos de la empresa
  • Descubre y reporta cargos y privilegios de los usuarios capturados en el tiempo de ejecución usado en la base de datos
Beneficios:
  • Protege de forma proactiva los datos de aplicaciones almacenados en la base de datos de Oracle
  • Restringe el acceso ad hoc a datos de aplicaciones al prevenir que los usuarios ronden la aplicación
  • Usa políticas de múltiples factores que están reforzadas en la base de datos para mayor seguridad y rendimiento
  • Políticas predeterminadas certificadas para Oracle E-Business Suite, Oracle’s PeopleSoft y Siebel CRM; y aplicaciones SAP
  • Permite la reducción de la superficie de ataque sin interrumpir la actividad empresarial
Nota: Descripción General y Beneficios, tomado de: http://www.oracle.com/lad/products/database/options/database-vault/overview/index.html

El siguiente video muestra la instalación de Database Vault (DV), creación de "reinos" con sus respectivas reglas y algunas demostraciones sobre la ejecución de DML's y DDL's por parte de algunos usuarios.



Publicadas por a la/s No hay comentarios.:

domingo, 21 de septiembre de 2014

Bienvenid@s



En este blog, pretendo compartir conocimientos sobre soluciones informáticas para enforzar la seguridad de Oracle 11g R2.
Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)