Transcription
Database Security: ¿Cómo identificar áreas de riesgo yvulnerabilidades de seguridad? Mitíguelos28 de Agosto 2019Miguel PalaciosOracle ACE Database & Performance
LAOUC.ORGwww.peoug.org1-2www.peoug.org
¿Cumplimiento?¿Transformación Digital?¿Qué opina?
Premisas1.2.3.Las bases de datos siguen siendoatractivas para hackers o usosmal intencionados. Es un activomuy valiosoNecesidad de Cumplimientoregulatorio internacional ynacional (EU GDPR, PCI DSS, SOX,HIPAA/HITECH, LDPD, NTP, etc.)Orientación y enfoquepreventivo de seguridad
¿Quién quiere nuestra data?
¿Sabe cómo han evolucionado las técnicas deataques?
¿Quiénes pueden vulnerar?
¿Por dónde empezamos y qué buscar?¿Dónde residen los datos sensibles?2. ¿Quiénes son los usuarios y sus derechos?3. ¿Qué controles he aplicado in situ?4. ¿Mi base de datos está configurada deforma segura?5. ¿Tenemos un equipo de seguridad de basede datos?6. ¿Tengo conocimiento en seguridad?7. ¿Tengo tiempo para análisis regularmente?1.
Oracle Database Security Assessment Tool(DBSAT)1. Configuración de seguridad Cifrado de datosPolíticas de auditoríaControl de acceso de granularConfiguración de base de datos y escuchaPermisos de archivos OSParches de seguridad2. Usuarios y derechos Cuentas de usuario, privilegios y roles3. Datos sensibles ¿Qué tipo?, ¿dónde?, ¿cuántos?
Descarga de Database Assesment Tool DBSATIngresar al portal de My Oracle Support con sus credenciales e ingresar ala nota técnica de referencia Oracle Database Security AssessmentTool (DBSAT) (Doc ID 2138254.1)Validar la última versiónactualizada
Transferir la herramienta dbsat alservidorIniciar sesión en el servidor con cuenta oracle a travésdel WinSCPCrear el directorio dbsatTransferir el utilitario dbsat en el directorio creado.
Validar el archivo transferido ydescomprimirIniciar sesión vía putty e ingresaral directorio donde se aloja elarchivo dbsat.zipDescomprimircomandounzip dbsat.zipmedianteel
Creación de usuario de Base de DatosDBSATSe debe crear un nuevousuario con nombre DBSAT(Nombre sugerido) yasignarle los siguientesprivilegios.Caso contrario laherramienta puede serejecutada con cuentas quetengan el privilegio DBA.(system, sys)
Ejecución de la herramienta DBSAT– Módulo collectIngresar a la carpeta de dbsat y ejecutar./dbsat collect system /home/oracle/dbsat/oradbIngresar el password del system:password: **********Generamos un password para lamatriz de reportepassword: **********password: **********Se generará un archivosimilar a oradb.zip
Generación de reportesEjecutar el siguiente comando./dbsat report oradbSolicitará el password asignado anteriormentePor último se observa que se generan los siguientesarchivos:oradb report.txtoradb report.htmloradb report.xlsxoradb report.jsonY se agrupan en el archivocomprimidooradb report.zip
Reporte generado en formato HTML
Reporte generado en formato EXCEL
Reporte generado en formato TXT
Ejecución de la herramienta DBSAT –Módulo DiscoverIngresar al directorio/home/oracle/dbsat/Discover/confCopiar el archivo sample dbsat.config y colocarle el nombre dbsat.config.Editar el archivo dbsat.config y agregar los parámetros necesarios
Ejecución de la herramienta DBSAT –Módulo DiscoverValidar variable de entorno JAVA HOME: Se requiere utilizar java 1.8 o superiorLuego ejecutar el comando discover./dbsat discover -c ./Discover/conf/dbsat.config oradb discoverySolicitará el ingreso de credenciales de un usuario con privilegios DBAY se deberá asignar un password para el archivo de reportes.
Reporte generado en formato HTML
Maximum SecurityArchitectureSingle Sign-on usingOracle IdentityManagementData RedactionEnterpriseManagerUsersConfiguration & Compliance MgmtDiscover Sensitive DataDatabase Vault Privilege AnalysisDatabase thenticationDBSATAssess Overall SecurityIdentify Users and their EntitlementsDiscover Sensitive DataApplicationsEventsDatabase VaultVirtual Private DatabaseLabel SecurityReal Application SecurityDF11233 5Ha1quiHSKQ112FASqw34DF@ !1ahDA45S&AlertsU*1%H1A14 1HH!DD1TransparentData EncryptionReportsOracleKey VaultAudit Data &Event LogsPoliciesAudit VaultTestDevData Masking andSubsettingDatabase Security ControlsEvaluatePreventDetectData Driven SecurityConfidential – Oracle Internal/Restricted/Highly Restricted22
23Oracle Database Security ControlsEVALUATEPREVENTDBA & OperationPrivilege AnalysisDatabase VaultControlsEM DB Life-CycleManagement PackSecurity ConfigurationSecuritySecurity AssessmentAssessmentToolDataandDataMaskingMasking andSubsettingSubsettingDETECTDatabase FirewallAudit Vault andDatabase FirewallCentralized MonitoringSensitiveDataAll urityReal Application Security(included in)KeyVaultKeyManagementAlerting & Reporting(Free for Oracle customers)(included in)DATA DRIVENSECURITYData RedactionAdvanced SecurityData Encryption(included in)DB DatabaseStandardAuditingEditionDB EnterpriseRowLevel SecurityEditionCrypto Toolkit forApplications
Gracias por tú participación1 - 24www.peoug.org
3 Oracle Database Security Controls (included in) DB Enterprise Edition Audit Vault and Database Firewall (included in) DB Standard Edition (included in) All security options Advanced Security Key Vault Database Vault Security Assessment Tool (Free for Oracle customers) Data Masking and Subsetting Label Security EM DB Life-Cycle Management Pack
