Oracle Database Security újdonságok és biztonság a felhőben Fekete Zoltán principal sales consultant
Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle. 3
Egyre több adatlopás és adatszivárgás 200M Experian Mar 14 150M + Code Adobe Oct 13 98M Target DEC 13 56M Home Depot Sep 14 76M JPMC Oct 14 150M ebay May 14 TBs IP Sony Nov 14 1/4/18M? US Fed Govt 80M Anthem Feb 15 June 15 Carphone Warehouse Aug 15 2.4M 4M Talk Talk Feb 15 SA Banks Oct 13 2M 2M Vodafone Oct 13 Credit Cards 400GB IP Theft Orange Feb/Apr 14 Espionage Kaspersky Jun 15 Hacking Team Jul 15 S. Korea Jan 14 20M Credit Bureau 12M Telecom Támadási formák Kémkedés Adathalászat Jelszó lopás Belsős hozzáférés Privilégium kiterjesztés SQL Injection Japan 22M Benesse Education July 14 Immigration June 14 Personal Records 4
Jogszabályi és szabályozási háttér, példák Részletesen: http://www.neih.gov.hu/?q=jogszab 2010. évi CLVII. Törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről 38/2011. kormány rendelet: a nemzeti adatvagyon körébe tartozó állami nyilvántart. Adatfeldolg. biztosításáról 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 73/2013. NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilv.tartásba vételének, valamint a bizt.i események jelentésének és közzétételének rendjéről 77/2013. NFM rendelet... 2013. évi L. tv-ben meghat. technológiai biztonsági, valamint biztonságos inf. eszk.- re, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről 41/2015. BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről 2015. évi CXXIX. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, továbbá egyes más törvények módosításáról
Veszélyek, Szereplők és célok OS admin DBA Test/Dev AppUser HelpDesk Kockázat növelő tényezők High Availability Database konszolidáció Legacy Applications Outsourcing Cloud alkalmazások Database OS Mentések Hálózat 7
Értékeljük ki a biztonsági kockázatokat Érzékeny adatok feltérképezése Security konfiguráció követése Szerepkör és privilégium elemzés 8
Óvjuk meg a sikeres támadásoktól Users Data Redaction ssn:xxx-xx-4321 dob:xx/xx/xxxx Applications DB Controls Dev/Test Partners, BI Privileged Users Access denied Insufficient Privilege Key Vault Data Encryption *7#$%!!@!%afb ##<>*$#@34 Data Subsetting Region, Year Size-based Data Masking ssn:423-55-3571 dob: 12/01/1987 9
Ismerjük fel gyorsan a betöréseket, kiszivárgást Database Firewall Users! SYBASE Applications Network Events Alerts! Audit Data Reports Policies Audit Vault Audit Data, Event Logs 10
Defense-in-Depth Security Controls EVALUATE PREVENT DETECT Security Configuration Encryption & Redaction Auditing Sensitive Data Discovery Masking & Subsetting Activity Monitoring Least Privilege Use DBA & Operational Controls Alerting & Reporting 11
Felhő Security megoldás: kontroll és láthatóság Adatkockázat a felhőben Test/dev: érzékeny adatok Olvasható adat kikerülése Titkosítási kulcsok megszerzése Cloud DBA nem engedélyezett hozzáférés Adatszivárgás nem derül ki időben Biztonsági és egyéb patch-ek??? Kockázat semlegesítés Maszkolás/részhalmaz képzés a felhőbe mozgatás előtt Titkosítás alapértelmezésként On-premise Key Vault védelem* DBA hozzáf. szabályozás: Database Vault Audit és monitorozás, on-premise Audit Vault and Database Firewall* Az Oracle felhőben a patch-eket is könnyebb feltelepíteni *: Work in Progress 12
TDE Algorithms and Key Lengths Tablespace Encryption Supported Algorithms: AES256, AES192, AES128, 3DES168 Operating Mode: Cipher Feedback (CFB) Column Encryption Supported Algorithms: AES256, AES192, AES128, 3DES168 Operating Mode: Cipher Block Chaining (CBC) TDE Master Key Encrypts column and tablespace keys with AES256, CBC mode Oracle Wallet (.p12) By default, is encrypted with 3DES168, CBC mode Optionally can be converted to AES256, CBC mode 13
Security in the Cloud Transparent Data Encryption I. Before creating a Database as a Service instance: SSH public/private key pair In Oracle Database Cloud - Database as a Service databases, user-created tablespaces are encrypted by default. By default any new tablespaces you create will be encrypted with the AES128 encryption algorithm. You can specify another supported algorithm: CREATE TABLESPACE... USING 'encrypt_algorithm Supported algorithms for Oracle Database 11g and Oracle Database 12c are: AES256, AES192, AES128 and 3DES168. 14
Security in the Cloud Transparent Data Encryption II. When the Oracle Database Cloud - Database as a Service instance is created, a local auto-login software keystore (wallet) is created. The keystore is local to the compute node and is protected by a system-generated password. The auto-login software keystore is automatically opened when accessed. The keystore location is specified in the ENCRYPTION_WALLET_LOCATION parameter in the $ORACLE_HOME/network/admin/sqlnet.ora file. The Oracle keystore stores a history of retired TDE master encryption keys, which enables you to change them and still be able to decrypt data that was encrypted under an earlier TDE master encryption key. Oracle Network Cloud Service - VPN for Engineered Systems - Non-metered 15
Local default path (default) Path is read-only; set to /etc/oracle/tde_wallet; SID subdirectory gets added to end internally Local custom path Same behavior as above, except Path is editable now Cluster file system When RAC is selected on the previous Details page, the Wallet Storage Field will be automatically set to Cluster file system, and the Path field will be automatically set to full path on ACFS mount Same as oracle user (ending (default) with /tde_wallet; SID subdirectory gets added to the very end internally). Both fields will be No extra fields displayed read-only not editable by the customer Custom password Extra Fields Displayed: Password, Confirm Password Note: password strength checked when Next is clicked
Database Security Additions/Improvements in 12c Performance and Management 2x-25x Performance: Label Security, Database Vault, Audit, Encryption Hardware Cryptographic Acceleration EM Security Console Revamped UI Additions to All DB Editions Strong Authentication SSL/TLS and native network encryption Conditional Auditing New Separation of Duty Roles Updated Kerberos and Cryptography stack Secure DB configuration on Windows Additions to DB Enterprise Edition Real Application Security Transparent Sensitive Data Protection Additions to DB Security Options Data Redaction (Advanced Security) Privilege Analysis (Database Vault) Mandatory Realms (Database Vault) EM Sensitive Data Discovery (for all DB Security Options) 17
2015 Gartner Data Masking MQ Highlights Oracle s Leadership in Security Oracle has one of the market's largest DM clientele. The vendor has global reach, and there are numerous Oracle experts among IT professionals worldwide. Oracle exhibits high performance in masking and subsetting data in Oracle Database. As Oracle DDM is part of the Oracle Database, no installation is needed (only DDM licensing). Oracle's DDM takes into account real-time contextual information available to the database (such as users, roles, IP addresses, etc.), which increases its accuracy. The vendor offers a unified UI to manage data discovery, SDM, DDM, and subsetting for databases hosted on-premises and in Oracle Cloud. Users can create and manage DM across on-premises and cloud environments. Its broad data security reach is demonstrated by offering other data security technologies, such as encryption, key management (called Oracle Key Vault), DAP (called Oracle Audit Vault and Database Firewall) and privileged user access control (called Oracle Database Vault). 18
ORACLE REAL APPLICATION SECURITY (RAS) Next Generation Database Enforced Application Security Highlights Joe bizapp Field Joe Analytics Batch Jobs, adhoc Joe Liz Appu End-to-end uniform security across mid-tier and database Declarative security (no hand-coded checks) Data security based upon application users, role Audit of end-user activity Simplified administration Supports new/legacy apps Audit 19
AVDF Refreshed Internals Oracle 12c (12.1.0.2) for Audit Vault repository Oracle Database In-Memory Latest security, performance and scalability features Oracle Linux 6.6 as base OS Extended range of supported modern hardware In-place upgrade for existing installations 20
Trending and Anomaly Reports Facilitated by Oracle 12c In-Memory feature Enable anomaly detection and data analytics Track Linux OS user identity 21
Trending Reports 22
New in AVDF 12.2: Strengthened Data Security Event data always protected 12.1.2 12.2 Data encryption in transit Repository protection with Database Vault Data encryption (TDE) in Audit Vault Repository Alerts Reports! Externally signed UI certificates Policies Audit Vault 23
Extended Platform Support New platform New functionality added in 12.2 SQL Server 2014 Windows Server 2012 & 2012 R2 Collection Plug-in, Database Firewall support Collection Plug-in, Audit Vault Agent installation AIX OS 6.1,,7.1 Collection Plug-in, (Audit Vault Agent installation supported from 12.1.1) Oracle Linux OS 6.5,,7 DB2 LUW 10.5 Collection Plug-in, Audit Vault Agent installation Collection Plug-in, Database Firewall support See product documentation for full list of supported platforms 24
Usability and Performance Enhancements Oracle 12c database for audit and event repository Automatic state management for Audit Trails Automatic refresh of audit policy and user entitlements Integrated backup tool Easier scripting with non-interactive command line tool (AVCLI) High Availability improvements: manual role switch-over, un-pair, fail-over Archiving improvements 25
26