Soluciones transparentes de Oracle Database 11g para la seguridad y cumplimiento regulatorio Documento técnico de Oracle Septiembre de 2008
Soluciones transparentes de Oracle Database 11g para la seguridad y cumplimiento regulatorio INTRODUCCIÓN Durante la última década han aparecido diversas regulaciones que dictaminan estrictos controles internos y protección de la información de identificación personal (PII). Constituyen ejemplos de estas regulaciones la ley Sarbanes-Oxley (SOX), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Ley de Instrumentos Financieros y Bolsa (Japón), la Ley Basel II y la Directiva de la Unión Europea sobre Privacidad y Comunicaciones Electrónicas en Europa. La continua necesidad de nuevas regulaciones en todo el mundo combinada con la naturaleza cada vez más sofisticada del robo de información requiere de una sólida seguridad de datos. AMERICAS Sarbanes-Oxley (SOX ) Healthcare Insurance Portability and Accountability Act (HIPAA) CA SB 1386 and other State Privacy Laws Payment Card Industry Data Security Act FDA CFR 21 Part 11 FISMA (Federal Info Security Mgmt Act) EMEA EU Privacy Directives UK Companies Act of 2006 APAC Financial Instruments and Exchange Law (J-SOX) CLERP 9: Audit Reform and Corporate Disclosure Act (Australia) GLOBAL International Accounting Standards Basel II (Global Banking) OECD Guidelines on Corporate Governance Tabla 1. Desafíos de cumplimiento y seguridad Si bien Internet aceleró el desarrollo de nuevas aplicaciones para todos los aspectos del procesamiento de negocios, las regulaciones ahora requieren controles mucho más estrictos para la información delicada, tanto financiera como relacionada con la privacidad. Se requieren soluciones de seguridad transparentes para implementar los controles más estrictos porque la mayoría de las aplicaciones se basan en la seguridad a nivel de aplicación para restringir el acceso a datos delicados. Los Seguridad de defensa en profundidad de Oracle Database 11g Página 2
conceptos de seguridad como menor privilegio y necesidad de saber se consideraban menos importantes que la escalabilidad y la alta disponibilidad. Los productos de Oracle en seguridad de datos complementan la seguridad a nivel de aplicación permitiendo a las organizaciones minimizar los costos asociados con el cumplimiento de las regulaciones y la implementación de los estrictos controles internos. SEGURIDAD DE DEFENSA EN PROFUNDIDAD DE ORACLE DATABASE 11G Oracle Database 11g ofrece protecciones integrales de seguridad de defensa en profundidad. La seguridad de Oracle Database incluye enmascaramiento y cifrado de datos, estrictos controles de acceso, administración de roles y usuarios centralizada, generación de informes y auditoría de alta fidelidad, escaneado de configuración empresarial y análisis de cambio de datos. Monitoring User Management And Authentication Access Control Encryption and Masking Operating System Tabla 2. Seguridad de defensa en profundidad de Oracle Database 11g CIFRADO Y ENMASCARAMIENTO DE ORACLE DATABASE 11G El cifrado es una de las tecnologías de seguridad más antiguas disponibles en el mercado. Sin embargo, en los últimos 5 años la necesidad de cifrado ha aumentado debido a problemas como la usurpación de identidad y la pérdida de medios. El robo de números de seguridad social, números de tarjetas de crédito y propiedad intelectual es un problema grave, y la necesidad de proteger la información relacionada con la privacidad abarca desde instituciones de educación superior y empresas minoristas hasta prácticamente todas las entidades del mundo. Si bien Seguridad de defensa en profundidad de Oracle Database 11g Página 3
Oracle Database ofrece los mejores mecanismos de protección de la industria para los datos que están en una base de datos, una vez que éstos abandonan la base de datos en el disco, en la cinta o en la red, la única solución es el cifrado. Oracle Advanced Security Oracle Advanced Security ayuda a los clientes a abordar los requisitos de cumplimiento de regulaciones al proteger los datos delicados del acceso no autorizado a los medios, pérdida, extravío o robo de medios de backup e intrusiones a la red. La funcionalidad Transparent Data Encryption de Oracle Advanced Security ofrece las capacidades de cifrado más avanzadas de la industria para la protección de información delicada. Cifrado transparente de datos A diferencia de la mayoría de las soluciones de cifrado de bases de datos, el cifrado transparente de datos (TDE) es completamente transparente para las aplicaciones existentes al no requerir triggers, vistas ni otros cambios de aplicaciones. TDE ofrece un sólido cifrado para proteger los datos delicados contra el acceso no autorizado a nivel del sistema operativo o en caso de robo de hardware o medios de backup. TDE ayuda a abordar los requisitos de privacidad y de la Industria de Tarjetas de Pago (PCI) al proteger la información de identificación personal, como los números de seguridad social y números de tarjetas de crédito. Los datos son cifrados de forma transparente cuando se escriben en el disco y se decodifican de la misma forma después de que un usuario de aplicación se ha autenticado correctamente y pasado todas las verificaciones de autorización. Las verificaciones de autorización incluyen verificar que el usuario tiene los privilegios necesarios de seleccionar y actualizar en la tabla de aplicación y verificar las políticas de cumplimiento de Database Vault, Label Security y Virtual Private Database. Las rutinas de backup de bases de datos actuales seguirán funcionando y los datos que queden serán cifrados en el backup. Para el cifrado de todos los backup de la base de datos, TDE se puede usar en combinación con Oracle RMAN. TDE de Oracle Database 11g ofrece como una novedad atractiva el soporte para el cifrado de todo el tablespace. Cuando se crea un tablespace a través de Enterprise Manager o en la línea de comando, ahora existe una opción para especificar que todo el archivo de datos se cifre en el sistema de archivo. Cuando se creen nuevas tablas en el también nuevo tablespace, todos los datos asociados serán cifrados de forma transparente. Cuando las nuevas tablas lean los bloques de datos del tablespace cifrado, los decodificará de forma transparente con gastos generales de desempeño mínimos de un solo dígito. Módulos de seguridad de hardware Se han incorporado mejoras para TDE en Oracle Database 11g para dar soporte al almacenamiento externo de la llave de cifrado maestra de TDE en un dispositivo de módulo de seguridad de hardware (HSM). Esto proporciona un nivel de seguridad aún mayor para la protección de la llave maestra de TDE. Oracle Database 11g se Seguridad de defensa en profundidad de Oracle Database 11g Página 4
comunica con el dispositivo HSM usando la interfaz PKCS#11. Se mantendrá el soporte para el mecanismo de almacenamiento basado en wallet para la llave maestra. Sólida protección para datos en tránsito Oracle Advanced Security brinda una solución integral, fácil de implementar, para proteger todas las comunicaciones desde y hacia la base de datos Oracle, ofreciendo cifrado de red nativo y basado en SSL. La autenticación y cifrado basado en SSL está disponible para empresas que han implementado Public Key Infrastructure (Infraestructura de Clave Pública). El soporte para el protocolo TLS 1.0 (incluidas las suites de códigos AES) fue introducido con Oracle Database 10g. Oracle Database puede configurarse para rechazar conexiones de clientes sin cifrado o permitir, opcionalmente, las conexiones no cifradas para la flexibilidad de implementación. La configuración de seguridad de red se ve simplificada utilizando la herramienta de administración Oracle Network Configuration, lo cual permite a las empresas implementar fácilmente el cifrado de red, ya que no se requieren cambios en la aplicación. Oracle Advanced Security y aplicaciones Como parte del compromiso de Oracle para ayudar a sus clientes a cumplir con las regulaciones y abordar las inquietudes en relación con las amenazas de seguridad internas, Oracle Advanced Security Transparent Data Encryption ha sido certificado con diversas aplicaciones. APLICACIÓN ORACLE E-BUSINESS SUITE 11I/R12 APLICACIONES PEOPLESOFT SIEBEL I-FLEX CUBE ORACLE INTERNET DIRECTORY CERTIFICACIÓN Y POLÍTICAS LISTAS PARA USAR Tabla 3. Oracle Advanced Security y aplicaciones Oracle Data Masking El paquete Oracle Data Masking para Enterprise Manager es parte de la cartera integral de las soluciones de seguridad de bases de datos de Oracle y ayuda a las organizaciones a cumplir con los dictámenes de protección y privacidad de datos, como la ley Sarbanes-Oxley (SOX), el Estándar de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI), la Ley de Portabilidad y Responsabilidad de Seguridad de defensa en profundidad de Oracle Database 11g Página 5
Seguros Médicos (HIPAA), además de varias otras leyes que restringen el uso de datos de clientes reales. Con Oracle Data Masking, la información delicada como números de tarjetas de crédito o de seguridad social se puede reemplazar con valores que parecen reales, permitiendo que los datos de producción se usen de forma segura para desarrollar, probar o compartir datos con socios externos o terceros para propósitos distintos a producción. Oracle Data Masking usa una biblioteca de plantillas y reglas de formato, que transforman consistentemente los datos a fin de mantener la integridad referencial para las aplicaciones. Entre los beneficios de Oracle Data Masking se incluyen: o o o Uso libre de datos de producción en ambientes distintos a producción sin violar las regulaciones de privacidad de datos ni arriesgar una filtración de datos delicados. Los administradores de seguridad definen una vez las reglas de enmascaramiento, las cuales luego se aplican automáticamente cada vez que el administrador de la base de datos la enmascara. La desidentificación de datos delicados cada vez recibe mayor atención como una tecnología fundamental en las leyes de protección de datos de todo el mundo. CONTROL DE ACCESO DE ORACLE DATABASE 11G La base de datos Oracle ofrece los controles de acceso más avanzados de la industria. Durante los últimos 30 años, Oracle ha incorporado poderosas características para el control de acceso como Virtual Private Database y Oracle Label Security. Cumplir con los estrictos requerimientos de control interno de las regulaciones requiere el control de acceso a bases de datos, aplicaciones y datos desde el interior de la base de datos, complementando el actual cumplimiento en el nivel de aplicaciones. Oracle Database Vault ofrece controles de seguridad flexibles, transparentes y altamente adaptables que no requieren cambios de aplicación. Se puede evitar que los usuarios con privilegios accedan a datos de aplicación y se puede hacer cumplir una separación de tareas para los administradores de bases de datos existentes sin el costo y el tiempo que implica otorgar menores privilegios. Oracle Database Vault usa un número de controles de acceso técnicos en tiempo real para obtener este tipo de protección. o o o Dominios: evitar que los usuarios con muchos privilegios accedan a los datos de aplicación Autorización de factores múltiples: crear rutas confiables para los datos, definiendo quién, cuándo, dónde y cómo se accede a las aplicaciones, datos y bases de datos Reglas de comando: hacer cumplir las políticas operacionales basadas en las recomendaciones de auditoría externa o interna y Seguridad de IT Seguridad de defensa en profundidad de Oracle Database 11g Página 6
o o Separación de tareas: controlar las acciones administrativas dentro de la base de datos para evitar las acciones que puedan constituir una violación de las regulaciones y mejores prácticas Informes: ejecutar informes relacionados con la seguridad para los intentos de violación de dominio y otros controles de cumplimiento de Database Vault Las regulaciones como la Ley Sarbanes-Oxley (SOX), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Ley Basel II y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) comparten algunos temas que incluyen controles internos, separación de tareas y estrictos controles de acceso para la información delicada. Si bien muchos requerimientos contenidos en las leyes SOX e HIPAA son de procedimiento en naturaleza, se requieren soluciones técnicas para mitigar los riesgos asociados con temas como la modificación no autorizada de datos y los accesos no autorizados. Dominios de Oracle Database Vault Los administradores de la base de datos y otros usuarios con privilegios desempeñan un papel fundamental en el mantenimiento de la misma. El respaldo y recuperación, ajuste de desempeño y alta disponibilidad son parte de la descripción de trabajo de un DBA. Sin embargo, la capacidad de evitar que los usuarios con privilegios de la base de datos vean datos de aplicaciones delicados se ha convertido en un requisito cada vez más importante. Además, la consolidación de la aplicación requiere límites bien definidos entre los datos comerciales delicados como los que se encuentran en las aplicaciones financieras y de recursos humanos. Los dominios de Oracle Database Vault evitan que los DBA, propietarios de aplicaciones y otros usuarios con privilegios vean datos de la aplicación usando sus poderosos privilegios. Los dominios de Oracle Database Vault ponen en marcha controles preventivos, ayudando a reducir el impacto potencial cuando se produce una violación a los datos, permitiendo que el DBA realice su trabajo con más eficiencia. Los dominios de Oracle Database Vault pueden utilizarse para proteger toda una aplicación o un grupo específico de tablas dentro de una aplicación, ofreciendo exigencias de seguridad altamente flexibles y adaptables. Factores y reglas de comando de Oracle Database Vault La proliferación de regulaciones y leyes de privacidad en todo el mundo requiere políticas de seguridad flexibles y altamente adaptables que se puedan modificar fácilmente para cumplir los requerimientos de control de acceso, tanto existentes como de reciente aparición. Además, la correcta alimentación de datos y los entornos de aplicaciones según demanda presentan nuevos requerimientos de control de acceso. Oracle Database Vault presenta potentes capacidades con adaptación exclusivamente para cumplir tanto estos requerimientos de control de accesos como los futuros. Seguridad de defensa en profundidad de Oracle Database 11g Página 7
Las reglas de comando de Oracle Database Vault permiten controles de autorización de factores múltiples que van más allá de los tradicionales roles de la base de datos. Al usar las reglas de comando y la autorización de factores múltiples, se puede restringir el acceso a las bases de datos a una subred específica o servidor de aplicación, creando una ruta confiable virtual para el acceso a los datos. Limitar el acceso a los datos para las aplicaciones aprobadas se puede lograr usando los factores de Oracle Database Vault en combinación con las reglas de comando de Oracle Database Vault. Oracle Database Vault proporciona diversos factores incorporados, como dirección IP, que se pueden usar de forma individual o en conjunto y en combinación con otras reglas de seguridad para aumentar significativamente el nivel de seguridad para una aplicación existente. Además de los factores incorporados proporcionados por Database Vault, puede agregar factores personalizados propios para satisfacer las necesidades de su empresa. Las reglas de comando de Oracle Database Vault proporcionan la capacidad de agregar fácilmente políticas de seguridad a prácticamente cualquier operación de la base de datos. Las reglas de comando permiten fortalecer los controles internos y hacer cumplir las mejores prácticas y las políticas de configuración segura de la industria. También se pueden usar para hacer cumplir estrictas protecciones para los datos comerciales fundamentales. Por ejemplo, una regla de comando se puede usar para evitar que cualquier usuario, incluso el DBA, elimine tablas de aplicación del entorno de producción. Las reglas de comando se pueden administrar fácilmente a través de la interfaz gráfica de usuario (GUI) de Database Vault o en la línea de comando usando la interfaz de programas de aplicación (API). Separación de tareas de Oracle Database Vault La separación de tareas de Oracle Database Vault permite un enfoque sistemático para la seguridad que fortalece los controles internos dentro de la base de datos. Oracle Database Vault crea tres responsabilidades distintas listas para usar dentro de la base de datos. Responsabilidad Administración de cuentas Administración de seguridad Un usuario con la responsabilidad de administración de cuentas puede crear, eliminar o modificar usuarios de la base de datos. Se evitará que los usuarios actuales con muchos privilegios realicen actividades de administración de cuentas. La responsabilidad de administración de seguridad tiene el objetivo de permitir a un usuario convertirse en administrador de seguridad (Database Vault Owner) de la base de datos. Un administrador de seguridad puede configurar dominios de Database Vault y reglas de comando, Seguridad de defensa en profundidad de Oracle Database 11g Página 8
autorizar a otros usuarios para usarlos y ejecutar varios informes de seguridad específicos de Database Vault. El administrador de datos no puede autorizar para sí mismo el acceso a datos comerciales con protección de seguridad. Administración de la base de datos La responsabilidad de administración de la base de datos permite a un usuario con los privilegios de DBA seguir realizando el mantenimiento y la administración normales asociados con la base de datos, tales como respaldo y recuperación, parches y ajuste de desempeño. Tabla 4. Separación de tareas de Oracle Database Vault La fácil expansión de Oracle Database Vault permite personalizar la separación de tareas según los requerimientos de su empresa en particular. Por ejemplo, puede subdividir la responsabilidad de administración de la base de datos en responsabilidades de respaldo, desempeño y parches. Si se trata de una pequeña empresa, puede fusionar las responsabilidades o asignar cuentas de inicio de sesión con nombres diferentes para cada responsabilidad, permitiendo un proceso más detallado de contabilidad y auditoría. Oracle Database Vault ofrece diversos informes listos para usar que dan la capacidad de informar acciones como intentos de solicitudes de acceso a datos bloqueadas por los dominios. Por ejemplo, si un DBA intenta acceder a los datos desde una tabla de aplicación protegida por un dominio, Database Vault creará un registro de auditoría en una tabla especialmente protegida dentro de Database Vault. Oracle Database Vault incluye un informe de violación de dominios que facilita la visualización de estos registros de auditoría. ORACLE DATABASE VAULT Y APLICACIONES Como parte del compromiso de Oracle para ayudar a sus clientes a cumplir con las regulaciones y abordar las inquietudes en relación con las amenazas de seguridad interna, Oracle Database Vault ha sido certificado con diversas aplicaciones. El proceso de certificación incluye políticas de seguridad listas para usar que incorporan las definiciones de reglas de comando y dominios que funcionan con cada una de las aplicaciones. Seguridad de defensa en profundidad de Oracle Database 11g Página 9
APLICACIÓN ORACLE E-BUSINESS SUITE 11I/R12 APLICACIONES PEOPLESOFT SIEBEL I-FLEX CUBE ORACLE CONTENT DB ORACLE INTERNET DIRECTORY CERTIFICACIÓN Y POLÍTICAS LISTAS PARA USAR Tabla 5. Oracle Database Vault y aplicaciones Oracle Label Security Oracle Label Security (OLS) es el producto más avanzado de la industria para el control de acceso basado en etiquetas (LBAC). Disponible para Oracle9i y bases de datos de versiones superiores, OLS es usado por las organizaciones gubernamentales para proteger la información clasificada y hacer cumplir los requerimientos de seguridad en varios niveles. Dentro de las organizaciones comerciales, OLS se usa para una amplia gama de requerimientos comerciales que van desde la consolidación y el alojamiento de datos hasta el control del acceso a los datos regulatorios y el cumplimiento de la "necesidad de saber". Highly Sensitive Sensitive Confidential Sensitive Highly Sensitive Tabla 6. Mediación de acceso de Oracle Label Security Las etiquetas de datos constan de componentes múltiples que incluyen un nivel jerárquico, uno o más compartimientos opcionales y uno o más grupos opcionales. La administración basada en políticas ofrece un modelo adaptable y altamente flexible que permite que OLS se aplique a una amplia variedad de casos de uso. La Tabla 5 muestra tres ejemplos de políticas de OLS con componentes de etiqueta de datos únicos. La integración con Oracle Identity Management ofrece la administración total de la empresa de las etiquetas de usuario en varias bases de datos. Seguridad de defensa en profundidad de Oracle Database 11g Página 10
Al usarlo en combinación con Oracle Database Vault, las etiquetas de usuario se convierten en factores potentes para el uso en la autorización de factores múltiples, para ayudar a abordar los requerimientos de cumplimiento regulatorio. Por ejemplo, las autorizaciones de etiquetas de usuario se pueden usar en las reglas de comando de Oracle Database Vault para controlar el acceso a la base de datos, comandos SQL y tablas de aplicación. Esta potente capacidad extiende el concepto de Label Security (seguridad de etiquetas) más allá de los controles de acceso tradicionales a nivel de fila para la mediación en la base de datos y los niveles de aplicación. Label Industry Levels Compartments Groups Human Resources Confidential Sensitive Highly Sensitive Privacy Data Investigation HR Rep Senior HR Rep Law Enforcement Level 1 Level 2 Level 3 Internal Affairs Gang Task Force Local Jurisdiction FBI Justice Department Government and Defense Confidential Secret Top Secret Desert Storm Border Protection NATO Homeland Security Tabla 7. Ejemplo de políticas OLS y componentes de etiquetas Administración de usuario de Oracle Database 11g La incorporación y eliminación eficiente de los usuarios de una base de datos es una parte importante de la arquitectura de seguridad general de la empresa. La Seguridad de Usuarios Empresariales (Enterprise User Security) de Oracle Database permite a los administradores gestionar la base de datos en Oracle Identity Management o en sus actuales directorios empresariales usando Oracle Virtual Directory. La Seguridad de Usuarios Empresariales permite que miles de usuarios sean administrados de forma centralizada en un directorio empresarial existente. Los usuarios pueden autenticarse de manera individual usando una contraseña, Kerberos o credencial PKI y compartir una misma cuenta de base de datos, simplificando así la administración de usuarios y aumentando el nivel de seguridad. Por ejemplo, una sola cuenta de la base de datos denominada 'Org A' podría definirse en la base de datos Oracle y los usuarios de la Unidad de Negocios A podrían asignarse a la nueva cuenta. La necesidad de cuentas individuales en la base de datos se ve reducida. Se pueden crear roles globales para SYSDBA y SYSOPER en Oracle Identity Management, lo cual es nuevo en Oracle Database 11g. Las organizaciones con grandes cantidades de bases de datos pueden administrar centralmente el acceso SYSDBA y SYSOPER a varias bases de datos empresariales. La capacidad de administración para Seguridad de Usuarios Empresariales ha sido integrada con Enterprise Manager Database Control, algo nuevo en Oracle Database 11g versión 1. Asimismo, Oracle recientemente completó las pruebas de Seguridad de defensa en profundidad de Oracle Database 11g Página 11
Seguridad de Usuarios Empresariales con Oracle Virtual Directory. Oracle Virtual Directory permite que la seguridad de usuarios empresariales de Oracle Database trabaje con directorios corporativos existentes, como Microsoft Active Directory, simplificando drásticamente la administración de usuarios de la base de datos Oracle. MONITOREO DE ORACLE DATABASE 11G La base de datos Oracle proporciona capacidades de auditoría, tanto estándar como detallada. La auditoría nunca ha sido más importante que ahora. Se ha vuelto un recurso de seguridad clave para ayudar a acelerar los informes de cumplimiento regulatorio y detectar proactivamente la actividad sospechosa. La naturaleza cada vez más sofisticada de las amenazas de seguridad requiere un enfoque minucioso de defensa hacia la seguridad que incluye el monitoreo integral de su empresa. Oracle Audit Vault Oracle Audit Vault reduce el costo y la complejidad de cumplimiento y el riesgo de amenazas internas al automatizar la recopilación y consolidación de datos de auditoría. Brinda un depósito de auditoría seguro y altamente escalable, lo cual permite la realización de informes simplificados, análisis y detección de amenazas respecto de los datos de auditoría. Asimismo, los parámetros de auditoría de base de datos se administran y monitorean centralmente desde Audit Vault, reduciendo el costo de seguridad de IT. Oracle Audit Vault recopila y consolida transparentemente los datos de auditoría, brindando conocimientos valiosos sobre quién hizo qué a cuáles datos y cuándo, incluidos los usuarios con privilegios que tienen acceso directo a la base de datos. Con los informes, las notificaciones de alerta y la administración centralizada de políticas de auditoría de Oracle Audit Vault, el riesgo de amenazas internas y el costo de cumplimiento se ven ampliamente reducidos. Oracle Audit Vault aprovecha la tecnología Oracle de almacenamiento y seguridad de datos líder en la industria para administrar, analizar, almacenar y archivar grandes volúmenes de datos de auditoría. Información simplificada de cumplimiento Oracle Audit Vault ofrece informes estándar de evaluación de auditorías que abarcan usuarios privilegiados, administración de cuentas, roles y privilegios, administración de objetos y administración del sistema en toda la empresa. Los informes controlados por parámetros pueden definirse mostrando la actividad de inicio de sesión del usuario a través de varios sistemas y dentro de períodos específicos, como los fines de semana. Oracle Audit Vault ofrece un esquema abierto de almacenamiento de auditoría al que se puede acceder desde Oracle BI Publisher, Oracle Application Express o cualquier herramienta de generación de informes de terceros. Seguridad de defensa en profundidad de Oracle Database 11g Página 12
Detección proactiva de amenazas con alertas Las alertas de eventos de Oracle Audit Vault ayudan a mitigar el riesgo y proteger de amenazas de seguridad interna al ofrecer notificaciones proactivas sobre actividades sospechosas en la empresa. Oracle Audit Vault monitorea continuamente los datos de auditoría entrantes, evaluando los datos de auditoría frente a las condiciones de alerta. Las alertas pueden asociarse con cualquier evento de base de datos auditable, incluso eventos del sistema como cambios en las tablas de aplicaciones, asignación de roles y creación de usuarios con privilegios para sistemas con datos delicados. Oracle Audit Vault proporciona resúmenes gráficos de las actividades que provocan las alertas. Seguridad y escalabilidad Proteger los datos de auditoría es crítico para los procesos de seguridad y controles internos. Oracle Audit Vault protege los datos de auditoría al utilizar controles sofisticados, incluidos Oracle Database Vault y Oracle Advanced Security. El acceso a datos de auditoría dentro de Oracle Audit Vault está estrictamente controlado. Los usuarios DBA con privilegios no pueden ver ni modificar los datos de auditoría e incluso se evita que los auditores modifiquen los datos de auditoría. Oracle Audit Vault aprovecha las capacidades probadas de Oracle para almacenamiento de datos y particionamiento a fin de alcanzar escalabilidad masiva, un requisito clave para cualquier solución de auditoría. Oracle Audit Vault puede implementarse opcionalmente con Oracle Real Application Clusters (RAC), permitiendo la escalabilidad, alta disponibilidad y flexibilidad. Costos más bajos de IT con las políticas de Oracle Audit Vault El personal de seguridad de IT trabaja con los auditores para definir los parámetros de auditoría en las bases de datos y otros sistemas de la empresa con el fin de cumplir con los requerimientos de cumplimiento y las políticas de seguridad interna. Oracle Audit Vault ofrece la capacidad de suministrar y revisar los parámetros de auditoría en múltiples bases de datos desde una consola central, reduciendo el costo y la complejidad de administrar los parámetros de auditoría en toda la empresa. Oracle Enterprise Manager Configuration Management Pack Oracle Enterprise Manager Configuration Management Pack proporciona una solución valiosa, basada en políticas, para la detección de vulnerabilidades. Ofrece evaluaciones automatizadas para las configuraciones seguras mediante soluciones de políticas basadas en XML para listas de control de seguridad, puntos de referencia de configuración, pruebas automatizadas de cumplimiento y resultados de cumplimiento. Oracle Enterprise Manager Configuration Management Pack incluye más de 240 políticas de mejores prácticas en áreas como seguridad, configuración y almacenamiento. Las políticas ayudan a una continua evaluación de seguridad por medio de la detección automatizada de vulnerabilidades críticas de seguridad. Seguridad de defensa en profundidad de Oracle Database 11g Página 13
Las políticas son efectivas en la administración de cambios de configuración (a través de la instalación de parches, la incorporación de archivos y directorios, el cambio de parámetros y puertos, edición de dependencias, etc.) al auditar continuamente frente a configuraciones recomendadas. Este cambio es rastreado de manera que los administradores sepan cuándo suceden, qué cambios son aceptables y qué cambios deben corregirse. Este nivel de seguridad y cumplimiento, a través de la auditoría y la ejecución proactivas, es necesario para mantener el control en la inestabilidad continua que define a la mayoría de los centros de datos actuales. Las políticas pueden programarse y aplicarse de acuerdo con los objetivos. Aumentar el cumplimiento regulatorio exige que los sistemas de IT sean seguros y no hayan estado comprometidos. Asegurar que los sistemas de IT estén alineados con las mejores prácticas de seguridad es fundamental para cualquier empresa de IT. Los Grupos de Políticas (un grupo de políticas de seguridad y configuración que se equipara a un estándar regulatorio o de mejores prácticas) permiten que los administradores y CIO obtengan una vista rápida de cómo sus sistemas cumplen con las mejores prácticas de seguridad especificadas en su entorno. Estos resultados de evaluación se convierten en valores de cumplimiento (de acuerdo con un promedio ponderado) y los valores generales pueden presentarse en un tablero de control de cumplimiento. El tablero presenta resúmenes de indicadores clave, con la capacidad de desglosar a detalles, permitiendo que los usuarios monitoreen y verifiquen continuamente su postura de cumplimiento. El soporte de análisis de tendencias ofrece la capacidad de rastrear el progreso hacia el cumplimiento a lo largo del tiempo para todo el entorno de IT. Las excepciones y violaciones pueden remediarse para lograr que los sistemas vuelvan a estar en conformidad con los grupos de políticas. RESUMEN Las soluciones transparentes de seguridad son fundamentales para la actual economía de empresas internacionales. Cubrir el cumplimiento regulatorio y reducir el riesgo de las amenazas internas requiere una sólida seguridad sobre los datos de aplicaciones. Modificar el código de aplicaciones existentes puede ser un proceso complejo y costoso. Los productos de Oracle Database Security están diseñados para trabajar de manera transparente, minimizando cualquier impacto sobre las aplicaciones existentes y cumpliendo con los requerimientos normativos de muchas regulaciones. Oracle Database Vault cumple de manera transparente con los estrictos requerimientos de controles internos de SOX, PCI, HIPAA y muchas otras regulaciones. Los dominios de Oracle Database Vault evitan que incluso el DBA acceda a información delicada, tanto financiera como relacionada con la privacidad, que se puede encontrar en las aplicaciones. Las etiquetas de sensibilidad de Oracle Label Security ofrecen una gran cantidad de nuevos factores para utilizar en las decisiones de autorización de factores múltiples de Oracle Database Vault. El cifrado de datos transparente de Oracle Advanced Security ofrece una solución Seguridad de defensa en profundidad de Oracle Database 11g Página 14
atractiva para el cifrado PCI y los requisitos de administración clave, y sigue liderando la industria del cifrado con cifrado de LOB s y de tablespaces en Oracle Database 11g. Oracle Audit Vault convierte los datos de auditoría en recursos de seguridad clave, consolidando y asegurando transparentemente la información de auditoría vital asociada con la actividad de la base de datos. Los informes, alertas y políticas de Oracle Audit Vault aceleran la tarea de los funcionarios de seguridad y el personal de cumplimiento de auditoría. Oracle Enterprise Manager Configuration Management Pack monitorea continuamente las bases de datos y los hosts para encontrar violaciones a la seguridad y mejores prácticas de configuración, simplificando así en gran medida la tarea del administrador de seguridad. Seguridad de defensa en profundidad de Oracle Database 11g Página 15
Soluciones transparentes para la seguridad y el cumplimiento regulatorio de Oracle Database 11g Septiembre de 2008 Autor: Paul Needham Colaboradores: Kamal Tbeileh Oracle Corporation Sede mundial 500 Oracle Parkway Redwood Shores, CA 94065 EE. UU. Consultas internacionales: Teléfono: +1.650.506.7000 Fax: +1.650.506.7200 oracle.com Copyright 2008, Oracle. Todos los derechos reservados. Este documento se proporciona exclusivamente con fines informativos y sus contenidos están sujetos a cambio sin previo aviso. No se garantiza que el presente documento esté libre de errores, ni tampoco está sujeto a otras garantías y condiciones, ya sea expresadas oralmente o implícitas en la legislación, incluidas garantías y condiciones implícitas de comerciabilidad o adecuación para un propósito en particular. Oracle se exime específicamente de cualquier responsabilidad respecto del presente documento y tampoco se establece relación contractual directa o indirecta alguna mediante el mismo. El presente documento no podrá reproducirse, ni transmitirse de forma ni por medio alguno, sea éste electrónico o mecánico, para finalidad alguna, sin el expreso consentimiento escrito de Oracle Corporation. Oracle es una marca comercial registrada de Oracle Corporation y/o sus subsidiarias. Todos los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.