Oracle Advanced Security (OAS)

Oracle Advanced Security ayuda a los clientes a cumplir con los requisitos del cumplimiento regulatorio al proteger los datos sensibles: en la misma base de datos, medios de backup o en la red, de la divulgación no autorizada.

En ésta entrada trato los siguientes tópicos:

1. Auntenticación Fuerte
2. Encriptación e Integridad de datos
3. Transparent Data Encryption (TDE)
4. Database Vault (DV)

Autenticación Fuerte

La autenticación se utiliza para probar la identidad del usuario, éste procedimiento es imprescindible para que el usuario siga teniendo confianza en la red.

Las contraseñas son el medio más común de autenticación. Oracle soporta servicios de autenticación de terceros, incluyendo SSL (Secure Sockets Layer) con certificados digitales.

La autenticación centralizada permite el beneficio del uso de SSO (Single Sign On), acceder a múltiples aplicaciones con una sola autenticación); el usuario ya no necesita administrar sus contraseñas y se elimina el tiempo que llevaría en los otros login's.

Métodos de autenticación que admite Oracle:

• Kerberos
• RADIUS (Remote Authentication Dial-Up user Service)
• SSL
• Entrust/PKI

Kerberos.- es un sistema de autenticación que se basa en compartir contraseñas por la red.

Lo que Kerberos proporciona:

• SSO(Single Sign On)
• Almacenamiento de contraseñas
• Autenticación centralizada
• Mayor seguridad de la PC
• Autenticación de redes

RADIUS.- Es un protocolo de seguridad cliente/servidor que permite accesos y autenticaciones remotas

Este método de autenticación usa: Smart Cards, Token Cards (permiten generar dinámicamente contraseñas)

SSL(Secure Sockets Layer).- Es un protocolo empresarial estándar para asegurar las conexiones de red.

Lo que SSL proporciona:

1. Autenticación
2. Encriptación de datos
3. Hashing (Para la Integración de datos)

SSL usa:

• Usa certificados digitales que se basan en el estándar: X.509v3
• Usa claves públicas y privadas

Entrust/PKI.- es un repositorio seguro de claves públicas más la combinación de hardware, software, políticas y procedimientos de seguridad. 

Encriptación e Integridad de datos

En todo proceso de encriptación o cifrado de datos debe haber:

1. Un algoritmo de encriptación
2. Una llave para desencriptar

Mediante la encriptación se puede proteger:

• Datos en reposo
• Datos en la red

En Oracle Advanced Security podemos encontrar métodos para encriptar la información: Advanced Encryption Standard, Kerberos, SSL, RADIUS o Entrust/PKI, y métodos para proteger la integridad de los datos, éstos métodos se conocen como algoritmos de integridad de datos (hashing); los algoritmos más usados son: MD5 y SHA-1.

Este tipo de algoritmos sirven para mantener la integridad de los datos evitando:

• Que modifiquen la información
• Que eliminen paquetes

No es lo mismo "encriptación" que "hashing"; ya que el primer concepto se refiere a que la información que está encriptada puede ser desencriptada (transformada a su estado original) a través de una clave; mientras que, el hashing son algoritmos para dispersar la información en tablas llamadas "hash" y no tienen una clave para que el código hash regrese a su estado original.

En éste video se explica, brevemente, las diferencias entre MD5 y SHA-1.

Transparent Data Encryption (TDE)

 

TDE es una solución que nos permite la encriptación física de los datos, ésta solución es a nivel de servidor y no de cliente; pero debido a ésta característica, prácticamente las aplicaciones no deben modificar muy poco para el uso de la data encriptada.

TDE encripta los datos antes de ser escritos en el disco y los desencripta antes de que sean retornados a la aplicación.

TDE puede usar Recovery Management (RMAN) para realizar respaldos de los archivos (datafiles) encriptados.

Como en todo proceso de encriptación se generan una o más claves para descriptar lo encriptado, y esas claves son archivos que se guardan en disco en un sector de disco llamado "wallet"(es un directorio) ó en infraestructura como Hardward Security Module (HSM).

Si se opta por la creación del wallet:

1) Archivo: sqlnet.ora, creación y definición del wallet (aquí se almacenará la llave):

ENCRYPTION_WALLET_LOCATION=

(SOURCE=(METHOD_FILE)

(METHOD_DATA=DIRECTORY=

(/u01/app/oracle/product/11.2.0/dbhome_1/wallet)))

2) Apertura del "wallet":

SQL> ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "<password>";

3) Cambio del "wallet":

SQL> ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "<password>";

El siguiente video muestra el uso de Transparent Data Encryption (TDE) en Linux usando como lugar de almacenamiento de la clave maestra un wallet; se realizan operaciones tanto a nivel de instancia de base de datos y de sistema operativo:

Database Vault (DV)

Esta herramienta, quizás la más potente de las soluciones de seguridad para bases de datos Oracle, permite enforzar la seguridad en varias capas; permite separar responsabilidades, otorgar el menor de los privilegios y controles preventivos tomando en cuenta los privilegios que tienen o pueden tener los usuarios.

Descripción General:

• Implementa controles preventivos en accesos de usuarios privilegiados a los datos de la aplicación
• Controla el acceso a la base de datos con políticas de múltiples factores que están basadas en factores integrados como hora del día, dirección IP, nombre de la aplicación y método de autenticación
• Consolida bases de datos y usuarios privilegiados de forma segura para proteger los datos de la empresa
• Descubre y reporta cargos y privilegios de los usuarios capturados en el tiempo de ejecución usado en la base de datos

Beneficios:

• Protege de forma proactiva los datos de aplicaciones almacenados en la base de datos de Oracle
• Restringe el acceso ad hoc a datos de aplicaciones al prevenir que los usuarios ronden la aplicación
• Usa políticas de múltiples factores que están reforzadas en la base de datos para mayor seguridad y rendimiento
• Políticas predeterminadas certificadas para Oracle E-Business Suite, Oracle’s PeopleSoft y Siebel CRM; y aplicaciones SAP
• Permite la reducción de la superficie de ataque sin interrumpir la actividad empresarial

Nota: Descripción General y Beneficios, tomado de: http://www.oracle.com/lad/products/database/options/database-vault/overview/index.html

El siguiente video muestra la instalación de Database Vault (DV), creación de "reinos" con sus respectivas reglas y algunas demostraciones sobre la ejecución de DML's y DDL's por parte de algunos usuarios.