Professional Documents
Culture Documents
Michel PIGNATA Consultant-Vente Solutions Technologiques Jean-Philippe PINTE Consultant-Vente Solutions Technologiques
Juillet 2008
Agenda
Scurit des donnes
les enjeux pour lentreprise
25 % des incidents sont le fait de personnels internes 50 % sont conscutifs des pertes ou des vols de matriels divers
Finance
Suppliers
R&D
Mfg
Sales
HR
Legal
Customers
Database
Mainframes
Mobile Devices
Apps Server
SOX SOX
CNIL CNIL
EU EU Directives Directives
FDA FDA
Basel Basel II II
HIPAA HIPAA
GLBA GLBA
SB1386 SB1386
Scurit des SI
Une affaire de risques
Scurit des SI
Confidentialit
Scurit des SI
Intgrit
Scurit des SI
Traabilit / Conformit
Permettre de garder la trace des actions effectues sur les systmes, des fins de prvention, de dissuasion et daudit des incidents
Qui a accd ? Quelle information sur lactivit est capture ? Comment sont protgs les rfrentiels daudit ? Une exploitation systmatique des audits est-elle en place ?
Oracle Database 9i
Oracle Audit Vault Oracle Database Vault Transparent Data Encryption (TDE) Real Time Masking Secure Config Scanning
Surveillance
10
11
12
Total Recall
Audit Vault
13
Discretionary Access Control (DAC) Secure Application Role (SAR) Virtual Private database (VPD) Oracle Label Security (LBAC)
Privilges spciaux
Database Vault
14
Privilges spciaux
Oracle Database Vault
Pourquoi faire ?
Protger les donnes des accs par les personnes disposant de privilges exceptionnels et nayant pas de droits daccs octroys par leur fonction dans lentreprise
Bnfices attendus
Permettre aux responsables dapplication de prendre des engagements quant la scurit de leurs donnes Garantir une sparation stricte des responsabilits
15
Privilges spciaux
Oracle Database Vault
Sparation des responsabilits
Administration technique SYSDBA / SYSOPER SYS / SYSTEM STARTUP, SHUTDOWN, ALTER SYSTEM, GRANT RESOURCE
SCHEMA Applicatif DV_OWNER AMADEUSRH Administration des domaines de scurit GRANT DV_OWNER
Grer les comptes daccs de la base DV_ACCTMGR DVAM CREATE USER, DROP USER, GRANT CONNECT, GRANT DV_ACCTMGR
16
Privilges spciaux
Oracle Database Vault Protection des utilisateurs forts privilges
SCHEMA Applicatif SYSDBA / SYSOPER SYS / SYSTEM Tables, Procdures, Fonctions, Rles, PROPRIETAIRE AMADEUSRH
17
Privilges spciaux
Oracle Database Vault Protection des utilisateurs forts privilges
Les donnes sont protges par des domaines de scurit dfinis par leur propritaire
SCHEMA Applicatif SYSDBA / SYSOPER SYS / SYSTEM Tables, Procdures, Fonctions, Rles, DV_OWNER AMADEUSRH
18
Privilges spciaux
Oracle Database Vault
Contrles daccs avancs
WEBAPP / WEBAPP Application WEB SCHEMA APPLI
WEBAPP: Accs aux donnes depuis les machines serveur dapplication JAVA UNIQUEMENT
24/24
PROPRIETAIRE APPLI
24/24
12 - 14
19
Privilges spciaux
Oracle Database Vault
Protger laccs certaines commandes SQL
SYS / SYSPASS SYS/ SYSTEM SCHEMA AMADEUSRH
SYS: -Blocage ALTER SYSTEM avant 20H -Blocage ANALYZE TABLE avant 20H - Les commandes doivent tre passes depuis le serveur AMADEUSRH : PROPRIETAIRE AMADEUSRH - Blocage de DROP TABLE sur ce schma -CREATE TABLE OK si DBARH est connect - Blocage de CREATE DIRECTORY -Blocage DROP PACKAGE & BODY - etc.
DBARH
20
Privilges spciaux
Oracle Database Vault Audit
En succs, en chec ou les deux Des politiques de protection dfinies sur
les tables, les vues les squences les procdures et les fonctions PL/SQL, les rles, etc.
21
22
Bnfices attendus
Progressivement mettre en place une architecture solide de rgles daudit des bases Collecter systmatiquement en lieu sr, les vnements produits par les sources daudit Analyser les vnements remonts Faciliter la gestion du cycle de vie des donnes daudit
23
Ou stocker laudit?
Dans la base cible ou sur des fichiers externes
24
Dfinition des politiques dAudit sur les Reports bases cibles dans un rfrentiel central Provisionning des politiques dAudit vers les cibles Comparaison des politiques mises en place vis--vis du rfrentiel Oracle Database Simplification du reporting pour conformit 9iR2
Etats prdfinis Etats personnalisables Alertes dActivit suspectes
25
Etats personnaliss
Oracle BI Publisher, Application Express, Outils Tiers
26
27
Auditeurs
Rfrentiel des rgles daudit Politiques daudit
Administrateurs
Audit Vault Agent
Collecteurs: REDO, DBAUD, OSAUD. Locaux sur les machines cibles ou dports sur le rseau.
romeo 9.2.0.8
28
28
Source database
Source Agent
29
Host 2
30
Host 1
Host 2
Host 3
31
32
33
Flashback Query
Flashback Tables
Flashback Database
34
35
select upper(peo_lastname), peo_salary, p.job_id, job_label from people P, jobs J as of timestamp to_timestamp (12/31/2003 12:39:00','mm/dd/yyyy hh24:mi:ss') where P.job_id = J.job_id order by peo_lastname asc;
36
Conformit rglementaire pour une protecion tourne vers linterne comme vers lextrieur de lentreprise
Oracle Advanced Security Oracle Secure Backup Oracle Label Security
38
39
Chiffrement
Advanced Security Option
Pourquoi faire ?
Protger les donnes lors de leur transport Protger les donnes lors de leur stockage
Bnfices attendus
Assurer la protection contre des attaques physiques sur les fichiers Protger les flux rseau Se couvrir de la perte ou du vol de supports physiques
40
Chiffrement
OracleNet
Utilisation de TCPS
Paramtrage du rseau OracleNet et utilisation de certificats. SSL V2 / V3
41
Chiffrement
OracleNet
La scurisation du rseau dentre sur une base peut se faire selon divers protocoles simultanment
1521 / TCP Accs application WIN32 interne
Listener
Base
42
Chiffrement
Transparent data Encryption (ASO)
43
Chiffrement
Transparent Data Encryption
Responsable scurit
WEB & Back Office
DBA
Cl BASE EXTERNE
Fichier chiffr 3DES Mot de passe douverture
44
Chiffrement
Transparent Data Encryption
Responsable scurit ALTER TABLE employee MODIFY
( salaire NUMBER ENCRYPT USING AES128 ) WEB TABLE & Back Office DBA CREATE salaire_historique ( emp_id NUMBER, date_event DATE, ALPHA1 ALPHA2 salaire NUMBER ENCRYPT USING AES128 )
TABLES
45
Chiffrement
Transparent Tablespace Encryption
Responsable scurit
CREATE TABLESPACE WEB &SECUREDATA Back Office DBA datafile /oradata10/oracle/oradata/PROD201/securedata.dbf size 200M ALPHA1 ALPHA2 encryption using AES128 default storage (encrypt);
TABLESPACE
46
Chiffrement
Transparent Data Encryption
Application Dchiffrement
WEB & Back Office
Chiffrement
ALPHA1
ALPHA2
Les donnes crites sur les supports physiques sont chiffres et dchiffres de faon transparente
47
Security DBA
Les donnes financires FIN sont chiffres en utilisant la cl de chiffrement de la colonne FIN Les donnes de lapplication HR sont chiffres en utilisant la cl de chiffrement du tablespace
Application Users
48
49
50
encryption_algorithm=aes128
51
Efficacit maximale
Haute performance Integration avec Oracle Data Compression
data blocks
*M$b@^s%&d7
undo blocks
redo logs
52
53
54
PAUSE
55
Confidentiel Public
Flexible et Adaptable
Utilisateurs Base de Donnes & Application Options multiples Routines de mdiation Disponible depuis Oracle8i
User Label Authorization
Confidentiel
56
HR Policy
Niveaux Confidential Sensitive Highly Sensitive PII Data Investigation HR REP Senior HR REP
Law Enforcement Policy Level 1 Level 2 Level 3 Internal Affairs Drug Enforcement Local Jurisdiction FBI Justice
Government Policy
Confidential Secret Top Secret Desert Storm Border Protection NATO Homeland Security
Catgories Groupes
57
Niveau Confidentialit
58
Niveau Confidentialit
59
Niveau Confidentialit
60
Niveau Confidentialit
61
Sensitive
Confidential
Sensitive
62
Sensitive
Confidential
Sensitive : HR
63
Sensitive : HR : US
64
65
Compartment FIN HR
Write Yes No
Row Yes No
66
Group UK US
Write Yes No
Row Yes No
67
employee_org
LJ1 LUS3 LUK4 Confidential Sensitive : HR : US Sensitive : HR : UK
68
La rgle examine si le niveau de lutilisateur courant est suprieur ou gal Highly Sensitive (HS) La rgle est associe un Rule Set Le Rule Set est appliqu pour des commandes, par exemple pour la connexion (connect) Seuls les utilisateurs de niveau HS ou plus pourront se connecter
69
1=1 est toujours Vrai: Laccs la colonne est autoris quand le niveau de lutilisateur est suffisant. 1=2 est toujours Faux : Laccs la colonne est interdit quand le niveau de lutilisateur est insuffisant.
70
71
72
73
Questions
74