Soluciones transparentes de Oracle Database 11g para la seguridad y cumplimiento regulatorio. Documento técnico de Oracle Septiembre de 2008



Documentos relacionados
Oracle Database Vault Informe Ejecutivo de Oracle Junio de 2007

Documento técnico de Oracle Junio de Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo

ORACLE ENTERPRISE MANAGER 10g DATA MASKING PACK

Oracle Database 11g Versión 1 Soluciones Transparentes para la Seguridad y el Cumplimiento Informe Ejecutivo de Oracle Junio de 2007

ORACLE AUDIT VAULT Trust-but-Verify. Informe Ejecutivo de Oracle Abril de 2007

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Windows Server 2012: Identidad y Acceso. Módulo 2: Descripción General de Windows Server 2012 Remote Desktop Services.

Autenticación Centralizada

Ley Orgánica de Protección de Datos

Transport Layer Security (TLS) Acerca de TLS

Documento técnico de Oracle Marzo de Seguridad y cumplimiento rentables de Oracle Database 11g versión 2

INFORMACIÓN RELACIONADA

Windows Server 2012: Infraestructura de Escritorio Virtual

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Brindamos asesorías que involucran tecnología y personal calificado, estos hacen de DOCTUM su mejor aliado.

PRIMAVERA RISK ANALYSIS

Windows Server 2012: Infraestructura de Escritorio Virtual

SEMANA 12 SEGURIDAD EN UNA RED

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

ORACLE ENTERPRISE MANAGER 10g CONFIGURATION MANAGEMENT PACK PARA ORACLE DATABASE


BITDEFENDER GRAVITYZONE

Las soluciones IBM InfoSphere Guardium V8.2 Suites le ayudan a supervisar el acceso a sus bases de datos de alto valor

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Windows Server 2012: Identidad y Acceso

Cómo pueden las empresas emergentes favorecer su crecimiento y proteger su información empresarial importante?

Aranda 360 ENDPOINT SECURITY

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS

MACROPROCESO GESTIÓN TECNOLÓGICA

Symantec Backup Exec System Recovery 7.0 Server Edition. Recuperación de sistemas en cuestión de minutos, en lugar de en horas o días

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Elementos requeridos para crearlos (ejemplo: el compilador)

Introducción a las redes de computadores

SOLUCIONES DE SOFTWARE

Resumen de la solución SAP SAP Technology SAP Afaria. Gestión de la movilidad empresarial para mayor ventaja competitiva

Symantec Desktop and Laptop Option

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

PRODUCTIVIDAD EN TUS MANOS

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Información de Producto:

Acerca de Symantec Encryption Desktop

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Microsoft Dynamics. Migración de FRx 6.7 a Management Reporter for Microsoft Dynamics ERP

Ofrezca la nueva tendencia de innovación empresarial con un entorno de red abierta

Evaluación de la Plataforma de Almacenamiento de Información de Múltiples Protocolos Celerra NS20 de EMC

Administración de la identidad en el cumplimiento regulatorio Política Digital Óscar Caballero, CISSP

Core Solutions of Microsoft SharePoint Server 2013 CURSO PRESENCIAL DE 25 HORAS

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

TIVOLI. GERZEL, Stella Maris.

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Custodia de Documentos Valorados

Implementación de redes Windows 2000

Política de Privacidad Internet. 3M Chile. Política Global sobre privacidad en internet

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

Política de privacidad

Norma de uso Identificación y autentificación Ministerio del Interior N02

Software Intel para administración de sistemas. Guía del usuario del Paquete de administración de servidores modulares Intel

Contenido Derechos Reservados DIAN - Proyecto MUISCA

Proceso: AI2 Adquirir y mantener software aplicativo

Windows Server 2012: Identidad and Acceso

Windows Server 2012 Manejabilidad y automatización. Module 3: Adaptación del Administrador de servidores a sus necesidades

Creación y administración de grupos de dominio

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

[VPN] [Políticas de Uso]

Windows Server 2012: Identidad y Acceso. Módulo 3: Introducción a DirectAccess en Windows Server 2012.

Arquitectura de sistema de alta disponibilidad

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT DE ORACLE

CA ARCserve Backup r12.5 Preguntas frecuentes para partners

Symantec Mobile Security

Visión General de GXportal. Última actualización: 2009

Controle los documentos mediante una administración de directivas detallada y ampliable.

Base de datos II Facultad de Ingeniería. Escuela de computación.

Hoja de datos: Protección de datos OpsCenter Analytics

Reducción de los costos de almacenamiento con la unidad de cinta más rápida y de mayor capacidad del mundo

0. Introducción Antecedentes

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

Implementación, aprovisionamiento y actualización de Windows Server con System Center

Conservar documentación de respaldo

67 Av. Sur # 2D, Colonia Roma, San Salvador, El Salvador C. A. Teléfono + (503) (503) Fax: (503)

Introducción a la Firma Electrónica en MIDAS

Título de la pista: Windows Server 2012 Detalles técnicos de redes

Beneficios de los productos de Faronics

BlackBerry Mobile Voice System

CA Mainframe Chorus for DB2 Database Management versión 2.0

Beneficios estratégicos para su organización. Beneficios. Características V

Gestión de la Configuración

Descripción. Este Software cumple los siguientes hitos:

Venciendo a la Pesadilla de la Gestión de Usuarios

Acronis License Server. Guía del usuario

RESUMEN INFORMATIVO PROGRAMACIÓN DIDÁCTICA CURSO 2013/2014

PRIMAVERA CONTRACT MANAGEMENT

MS_10974 Deploying Windows Server

Transcripción:

Soluciones transparentes de Oracle Database 11g para la seguridad y cumplimiento regulatorio Documento técnico de Oracle Septiembre de 2008

Soluciones transparentes de Oracle Database 11g para la seguridad y cumplimiento regulatorio INTRODUCCIÓN Durante la última década han aparecido diversas regulaciones que dictaminan estrictos controles internos y protección de la información de identificación personal (PII). Constituyen ejemplos de estas regulaciones la ley Sarbanes-Oxley (SOX), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Ley de Instrumentos Financieros y Bolsa (Japón), la Ley Basel II y la Directiva de la Unión Europea sobre Privacidad y Comunicaciones Electrónicas en Europa. La continua necesidad de nuevas regulaciones en todo el mundo combinada con la naturaleza cada vez más sofisticada del robo de información requiere de una sólida seguridad de datos. AMERICAS Sarbanes-Oxley (SOX ) Healthcare Insurance Portability and Accountability Act (HIPAA) CA SB 1386 and other State Privacy Laws Payment Card Industry Data Security Act FDA CFR 21 Part 11 FISMA (Federal Info Security Mgmt Act) EMEA EU Privacy Directives UK Companies Act of 2006 APAC Financial Instruments and Exchange Law (J-SOX) CLERP 9: Audit Reform and Corporate Disclosure Act (Australia) GLOBAL International Accounting Standards Basel II (Global Banking) OECD Guidelines on Corporate Governance Tabla 1. Desafíos de cumplimiento y seguridad Si bien Internet aceleró el desarrollo de nuevas aplicaciones para todos los aspectos del procesamiento de negocios, las regulaciones ahora requieren controles mucho más estrictos para la información delicada, tanto financiera como relacionada con la privacidad. Se requieren soluciones de seguridad transparentes para implementar los controles más estrictos porque la mayoría de las aplicaciones se basan en la seguridad a nivel de aplicación para restringir el acceso a datos delicados. Los Seguridad de defensa en profundidad de Oracle Database 11g Página 2

conceptos de seguridad como menor privilegio y necesidad de saber se consideraban menos importantes que la escalabilidad y la alta disponibilidad. Los productos de Oracle en seguridad de datos complementan la seguridad a nivel de aplicación permitiendo a las organizaciones minimizar los costos asociados con el cumplimiento de las regulaciones y la implementación de los estrictos controles internos. SEGURIDAD DE DEFENSA EN PROFUNDIDAD DE ORACLE DATABASE 11G Oracle Database 11g ofrece protecciones integrales de seguridad de defensa en profundidad. La seguridad de Oracle Database incluye enmascaramiento y cifrado de datos, estrictos controles de acceso, administración de roles y usuarios centralizada, generación de informes y auditoría de alta fidelidad, escaneado de configuración empresarial y análisis de cambio de datos. Monitoring User Management And Authentication Access Control Encryption and Masking Operating System Tabla 2. Seguridad de defensa en profundidad de Oracle Database 11g CIFRADO Y ENMASCARAMIENTO DE ORACLE DATABASE 11G El cifrado es una de las tecnologías de seguridad más antiguas disponibles en el mercado. Sin embargo, en los últimos 5 años la necesidad de cifrado ha aumentado debido a problemas como la usurpación de identidad y la pérdida de medios. El robo de números de seguridad social, números de tarjetas de crédito y propiedad intelectual es un problema grave, y la necesidad de proteger la información relacionada con la privacidad abarca desde instituciones de educación superior y empresas minoristas hasta prácticamente todas las entidades del mundo. Si bien Seguridad de defensa en profundidad de Oracle Database 11g Página 3

Oracle Database ofrece los mejores mecanismos de protección de la industria para los datos que están en una base de datos, una vez que éstos abandonan la base de datos en el disco, en la cinta o en la red, la única solución es el cifrado. Oracle Advanced Security Oracle Advanced Security ayuda a los clientes a abordar los requisitos de cumplimiento de regulaciones al proteger los datos delicados del acceso no autorizado a los medios, pérdida, extravío o robo de medios de backup e intrusiones a la red. La funcionalidad Transparent Data Encryption de Oracle Advanced Security ofrece las capacidades de cifrado más avanzadas de la industria para la protección de información delicada. Cifrado transparente de datos A diferencia de la mayoría de las soluciones de cifrado de bases de datos, el cifrado transparente de datos (TDE) es completamente transparente para las aplicaciones existentes al no requerir triggers, vistas ni otros cambios de aplicaciones. TDE ofrece un sólido cifrado para proteger los datos delicados contra el acceso no autorizado a nivel del sistema operativo o en caso de robo de hardware o medios de backup. TDE ayuda a abordar los requisitos de privacidad y de la Industria de Tarjetas de Pago (PCI) al proteger la información de identificación personal, como los números de seguridad social y números de tarjetas de crédito. Los datos son cifrados de forma transparente cuando se escriben en el disco y se decodifican de la misma forma después de que un usuario de aplicación se ha autenticado correctamente y pasado todas las verificaciones de autorización. Las verificaciones de autorización incluyen verificar que el usuario tiene los privilegios necesarios de seleccionar y actualizar en la tabla de aplicación y verificar las políticas de cumplimiento de Database Vault, Label Security y Virtual Private Database. Las rutinas de backup de bases de datos actuales seguirán funcionando y los datos que queden serán cifrados en el backup. Para el cifrado de todos los backup de la base de datos, TDE se puede usar en combinación con Oracle RMAN. TDE de Oracle Database 11g ofrece como una novedad atractiva el soporte para el cifrado de todo el tablespace. Cuando se crea un tablespace a través de Enterprise Manager o en la línea de comando, ahora existe una opción para especificar que todo el archivo de datos se cifre en el sistema de archivo. Cuando se creen nuevas tablas en el también nuevo tablespace, todos los datos asociados serán cifrados de forma transparente. Cuando las nuevas tablas lean los bloques de datos del tablespace cifrado, los decodificará de forma transparente con gastos generales de desempeño mínimos de un solo dígito. Módulos de seguridad de hardware Se han incorporado mejoras para TDE en Oracle Database 11g para dar soporte al almacenamiento externo de la llave de cifrado maestra de TDE en un dispositivo de módulo de seguridad de hardware (HSM). Esto proporciona un nivel de seguridad aún mayor para la protección de la llave maestra de TDE. Oracle Database 11g se Seguridad de defensa en profundidad de Oracle Database 11g Página 4

comunica con el dispositivo HSM usando la interfaz PKCS#11. Se mantendrá el soporte para el mecanismo de almacenamiento basado en wallet para la llave maestra. Sólida protección para datos en tránsito Oracle Advanced Security brinda una solución integral, fácil de implementar, para proteger todas las comunicaciones desde y hacia la base de datos Oracle, ofreciendo cifrado de red nativo y basado en SSL. La autenticación y cifrado basado en SSL está disponible para empresas que han implementado Public Key Infrastructure (Infraestructura de Clave Pública). El soporte para el protocolo TLS 1.0 (incluidas las suites de códigos AES) fue introducido con Oracle Database 10g. Oracle Database puede configurarse para rechazar conexiones de clientes sin cifrado o permitir, opcionalmente, las conexiones no cifradas para la flexibilidad de implementación. La configuración de seguridad de red se ve simplificada utilizando la herramienta de administración Oracle Network Configuration, lo cual permite a las empresas implementar fácilmente el cifrado de red, ya que no se requieren cambios en la aplicación. Oracle Advanced Security y aplicaciones Como parte del compromiso de Oracle para ayudar a sus clientes a cumplir con las regulaciones y abordar las inquietudes en relación con las amenazas de seguridad internas, Oracle Advanced Security Transparent Data Encryption ha sido certificado con diversas aplicaciones. APLICACIÓN ORACLE E-BUSINESS SUITE 11I/R12 APLICACIONES PEOPLESOFT SIEBEL I-FLEX CUBE ORACLE INTERNET DIRECTORY CERTIFICACIÓN Y POLÍTICAS LISTAS PARA USAR Tabla 3. Oracle Advanced Security y aplicaciones Oracle Data Masking El paquete Oracle Data Masking para Enterprise Manager es parte de la cartera integral de las soluciones de seguridad de bases de datos de Oracle y ayuda a las organizaciones a cumplir con los dictámenes de protección y privacidad de datos, como la ley Sarbanes-Oxley (SOX), el Estándar de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI), la Ley de Portabilidad y Responsabilidad de Seguridad de defensa en profundidad de Oracle Database 11g Página 5

Seguros Médicos (HIPAA), además de varias otras leyes que restringen el uso de datos de clientes reales. Con Oracle Data Masking, la información delicada como números de tarjetas de crédito o de seguridad social se puede reemplazar con valores que parecen reales, permitiendo que los datos de producción se usen de forma segura para desarrollar, probar o compartir datos con socios externos o terceros para propósitos distintos a producción. Oracle Data Masking usa una biblioteca de plantillas y reglas de formato, que transforman consistentemente los datos a fin de mantener la integridad referencial para las aplicaciones. Entre los beneficios de Oracle Data Masking se incluyen: o o o Uso libre de datos de producción en ambientes distintos a producción sin violar las regulaciones de privacidad de datos ni arriesgar una filtración de datos delicados. Los administradores de seguridad definen una vez las reglas de enmascaramiento, las cuales luego se aplican automáticamente cada vez que el administrador de la base de datos la enmascara. La desidentificación de datos delicados cada vez recibe mayor atención como una tecnología fundamental en las leyes de protección de datos de todo el mundo. CONTROL DE ACCESO DE ORACLE DATABASE 11G La base de datos Oracle ofrece los controles de acceso más avanzados de la industria. Durante los últimos 30 años, Oracle ha incorporado poderosas características para el control de acceso como Virtual Private Database y Oracle Label Security. Cumplir con los estrictos requerimientos de control interno de las regulaciones requiere el control de acceso a bases de datos, aplicaciones y datos desde el interior de la base de datos, complementando el actual cumplimiento en el nivel de aplicaciones. Oracle Database Vault ofrece controles de seguridad flexibles, transparentes y altamente adaptables que no requieren cambios de aplicación. Se puede evitar que los usuarios con privilegios accedan a datos de aplicación y se puede hacer cumplir una separación de tareas para los administradores de bases de datos existentes sin el costo y el tiempo que implica otorgar menores privilegios. Oracle Database Vault usa un número de controles de acceso técnicos en tiempo real para obtener este tipo de protección. o o o Dominios: evitar que los usuarios con muchos privilegios accedan a los datos de aplicación Autorización de factores múltiples: crear rutas confiables para los datos, definiendo quién, cuándo, dónde y cómo se accede a las aplicaciones, datos y bases de datos Reglas de comando: hacer cumplir las políticas operacionales basadas en las recomendaciones de auditoría externa o interna y Seguridad de IT Seguridad de defensa en profundidad de Oracle Database 11g Página 6

o o Separación de tareas: controlar las acciones administrativas dentro de la base de datos para evitar las acciones que puedan constituir una violación de las regulaciones y mejores prácticas Informes: ejecutar informes relacionados con la seguridad para los intentos de violación de dominio y otros controles de cumplimiento de Database Vault Las regulaciones como la Ley Sarbanes-Oxley (SOX), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Ley Basel II y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) comparten algunos temas que incluyen controles internos, separación de tareas y estrictos controles de acceso para la información delicada. Si bien muchos requerimientos contenidos en las leyes SOX e HIPAA son de procedimiento en naturaleza, se requieren soluciones técnicas para mitigar los riesgos asociados con temas como la modificación no autorizada de datos y los accesos no autorizados. Dominios de Oracle Database Vault Los administradores de la base de datos y otros usuarios con privilegios desempeñan un papel fundamental en el mantenimiento de la misma. El respaldo y recuperación, ajuste de desempeño y alta disponibilidad son parte de la descripción de trabajo de un DBA. Sin embargo, la capacidad de evitar que los usuarios con privilegios de la base de datos vean datos de aplicaciones delicados se ha convertido en un requisito cada vez más importante. Además, la consolidación de la aplicación requiere límites bien definidos entre los datos comerciales delicados como los que se encuentran en las aplicaciones financieras y de recursos humanos. Los dominios de Oracle Database Vault evitan que los DBA, propietarios de aplicaciones y otros usuarios con privilegios vean datos de la aplicación usando sus poderosos privilegios. Los dominios de Oracle Database Vault ponen en marcha controles preventivos, ayudando a reducir el impacto potencial cuando se produce una violación a los datos, permitiendo que el DBA realice su trabajo con más eficiencia. Los dominios de Oracle Database Vault pueden utilizarse para proteger toda una aplicación o un grupo específico de tablas dentro de una aplicación, ofreciendo exigencias de seguridad altamente flexibles y adaptables. Factores y reglas de comando de Oracle Database Vault La proliferación de regulaciones y leyes de privacidad en todo el mundo requiere políticas de seguridad flexibles y altamente adaptables que se puedan modificar fácilmente para cumplir los requerimientos de control de acceso, tanto existentes como de reciente aparición. Además, la correcta alimentación de datos y los entornos de aplicaciones según demanda presentan nuevos requerimientos de control de acceso. Oracle Database Vault presenta potentes capacidades con adaptación exclusivamente para cumplir tanto estos requerimientos de control de accesos como los futuros. Seguridad de defensa en profundidad de Oracle Database 11g Página 7

Las reglas de comando de Oracle Database Vault permiten controles de autorización de factores múltiples que van más allá de los tradicionales roles de la base de datos. Al usar las reglas de comando y la autorización de factores múltiples, se puede restringir el acceso a las bases de datos a una subred específica o servidor de aplicación, creando una ruta confiable virtual para el acceso a los datos. Limitar el acceso a los datos para las aplicaciones aprobadas se puede lograr usando los factores de Oracle Database Vault en combinación con las reglas de comando de Oracle Database Vault. Oracle Database Vault proporciona diversos factores incorporados, como dirección IP, que se pueden usar de forma individual o en conjunto y en combinación con otras reglas de seguridad para aumentar significativamente el nivel de seguridad para una aplicación existente. Además de los factores incorporados proporcionados por Database Vault, puede agregar factores personalizados propios para satisfacer las necesidades de su empresa. Las reglas de comando de Oracle Database Vault proporcionan la capacidad de agregar fácilmente políticas de seguridad a prácticamente cualquier operación de la base de datos. Las reglas de comando permiten fortalecer los controles internos y hacer cumplir las mejores prácticas y las políticas de configuración segura de la industria. También se pueden usar para hacer cumplir estrictas protecciones para los datos comerciales fundamentales. Por ejemplo, una regla de comando se puede usar para evitar que cualquier usuario, incluso el DBA, elimine tablas de aplicación del entorno de producción. Las reglas de comando se pueden administrar fácilmente a través de la interfaz gráfica de usuario (GUI) de Database Vault o en la línea de comando usando la interfaz de programas de aplicación (API). Separación de tareas de Oracle Database Vault La separación de tareas de Oracle Database Vault permite un enfoque sistemático para la seguridad que fortalece los controles internos dentro de la base de datos. Oracle Database Vault crea tres responsabilidades distintas listas para usar dentro de la base de datos. Responsabilidad Administración de cuentas Administración de seguridad Un usuario con la responsabilidad de administración de cuentas puede crear, eliminar o modificar usuarios de la base de datos. Se evitará que los usuarios actuales con muchos privilegios realicen actividades de administración de cuentas. La responsabilidad de administración de seguridad tiene el objetivo de permitir a un usuario convertirse en administrador de seguridad (Database Vault Owner) de la base de datos. Un administrador de seguridad puede configurar dominios de Database Vault y reglas de comando, Seguridad de defensa en profundidad de Oracle Database 11g Página 8

autorizar a otros usuarios para usarlos y ejecutar varios informes de seguridad específicos de Database Vault. El administrador de datos no puede autorizar para sí mismo el acceso a datos comerciales con protección de seguridad. Administración de la base de datos La responsabilidad de administración de la base de datos permite a un usuario con los privilegios de DBA seguir realizando el mantenimiento y la administración normales asociados con la base de datos, tales como respaldo y recuperación, parches y ajuste de desempeño. Tabla 4. Separación de tareas de Oracle Database Vault La fácil expansión de Oracle Database Vault permite personalizar la separación de tareas según los requerimientos de su empresa en particular. Por ejemplo, puede subdividir la responsabilidad de administración de la base de datos en responsabilidades de respaldo, desempeño y parches. Si se trata de una pequeña empresa, puede fusionar las responsabilidades o asignar cuentas de inicio de sesión con nombres diferentes para cada responsabilidad, permitiendo un proceso más detallado de contabilidad y auditoría. Oracle Database Vault ofrece diversos informes listos para usar que dan la capacidad de informar acciones como intentos de solicitudes de acceso a datos bloqueadas por los dominios. Por ejemplo, si un DBA intenta acceder a los datos desde una tabla de aplicación protegida por un dominio, Database Vault creará un registro de auditoría en una tabla especialmente protegida dentro de Database Vault. Oracle Database Vault incluye un informe de violación de dominios que facilita la visualización de estos registros de auditoría. ORACLE DATABASE VAULT Y APLICACIONES Como parte del compromiso de Oracle para ayudar a sus clientes a cumplir con las regulaciones y abordar las inquietudes en relación con las amenazas de seguridad interna, Oracle Database Vault ha sido certificado con diversas aplicaciones. El proceso de certificación incluye políticas de seguridad listas para usar que incorporan las definiciones de reglas de comando y dominios que funcionan con cada una de las aplicaciones. Seguridad de defensa en profundidad de Oracle Database 11g Página 9

APLICACIÓN ORACLE E-BUSINESS SUITE 11I/R12 APLICACIONES PEOPLESOFT SIEBEL I-FLEX CUBE ORACLE CONTENT DB ORACLE INTERNET DIRECTORY CERTIFICACIÓN Y POLÍTICAS LISTAS PARA USAR Tabla 5. Oracle Database Vault y aplicaciones Oracle Label Security Oracle Label Security (OLS) es el producto más avanzado de la industria para el control de acceso basado en etiquetas (LBAC). Disponible para Oracle9i y bases de datos de versiones superiores, OLS es usado por las organizaciones gubernamentales para proteger la información clasificada y hacer cumplir los requerimientos de seguridad en varios niveles. Dentro de las organizaciones comerciales, OLS se usa para una amplia gama de requerimientos comerciales que van desde la consolidación y el alojamiento de datos hasta el control del acceso a los datos regulatorios y el cumplimiento de la "necesidad de saber". Highly Sensitive Sensitive Confidential Sensitive Highly Sensitive Tabla 6. Mediación de acceso de Oracle Label Security Las etiquetas de datos constan de componentes múltiples que incluyen un nivel jerárquico, uno o más compartimientos opcionales y uno o más grupos opcionales. La administración basada en políticas ofrece un modelo adaptable y altamente flexible que permite que OLS se aplique a una amplia variedad de casos de uso. La Tabla 5 muestra tres ejemplos de políticas de OLS con componentes de etiqueta de datos únicos. La integración con Oracle Identity Management ofrece la administración total de la empresa de las etiquetas de usuario en varias bases de datos. Seguridad de defensa en profundidad de Oracle Database 11g Página 10

Al usarlo en combinación con Oracle Database Vault, las etiquetas de usuario se convierten en factores potentes para el uso en la autorización de factores múltiples, para ayudar a abordar los requerimientos de cumplimiento regulatorio. Por ejemplo, las autorizaciones de etiquetas de usuario se pueden usar en las reglas de comando de Oracle Database Vault para controlar el acceso a la base de datos, comandos SQL y tablas de aplicación. Esta potente capacidad extiende el concepto de Label Security (seguridad de etiquetas) más allá de los controles de acceso tradicionales a nivel de fila para la mediación en la base de datos y los niveles de aplicación. Label Industry Levels Compartments Groups Human Resources Confidential Sensitive Highly Sensitive Privacy Data Investigation HR Rep Senior HR Rep Law Enforcement Level 1 Level 2 Level 3 Internal Affairs Gang Task Force Local Jurisdiction FBI Justice Department Government and Defense Confidential Secret Top Secret Desert Storm Border Protection NATO Homeland Security Tabla 7. Ejemplo de políticas OLS y componentes de etiquetas Administración de usuario de Oracle Database 11g La incorporación y eliminación eficiente de los usuarios de una base de datos es una parte importante de la arquitectura de seguridad general de la empresa. La Seguridad de Usuarios Empresariales (Enterprise User Security) de Oracle Database permite a los administradores gestionar la base de datos en Oracle Identity Management o en sus actuales directorios empresariales usando Oracle Virtual Directory. La Seguridad de Usuarios Empresariales permite que miles de usuarios sean administrados de forma centralizada en un directorio empresarial existente. Los usuarios pueden autenticarse de manera individual usando una contraseña, Kerberos o credencial PKI y compartir una misma cuenta de base de datos, simplificando así la administración de usuarios y aumentando el nivel de seguridad. Por ejemplo, una sola cuenta de la base de datos denominada 'Org A' podría definirse en la base de datos Oracle y los usuarios de la Unidad de Negocios A podrían asignarse a la nueva cuenta. La necesidad de cuentas individuales en la base de datos se ve reducida. Se pueden crear roles globales para SYSDBA y SYSOPER en Oracle Identity Management, lo cual es nuevo en Oracle Database 11g. Las organizaciones con grandes cantidades de bases de datos pueden administrar centralmente el acceso SYSDBA y SYSOPER a varias bases de datos empresariales. La capacidad de administración para Seguridad de Usuarios Empresariales ha sido integrada con Enterprise Manager Database Control, algo nuevo en Oracle Database 11g versión 1. Asimismo, Oracle recientemente completó las pruebas de Seguridad de defensa en profundidad de Oracle Database 11g Página 11

Seguridad de Usuarios Empresariales con Oracle Virtual Directory. Oracle Virtual Directory permite que la seguridad de usuarios empresariales de Oracle Database trabaje con directorios corporativos existentes, como Microsoft Active Directory, simplificando drásticamente la administración de usuarios de la base de datos Oracle. MONITOREO DE ORACLE DATABASE 11G La base de datos Oracle proporciona capacidades de auditoría, tanto estándar como detallada. La auditoría nunca ha sido más importante que ahora. Se ha vuelto un recurso de seguridad clave para ayudar a acelerar los informes de cumplimiento regulatorio y detectar proactivamente la actividad sospechosa. La naturaleza cada vez más sofisticada de las amenazas de seguridad requiere un enfoque minucioso de defensa hacia la seguridad que incluye el monitoreo integral de su empresa. Oracle Audit Vault Oracle Audit Vault reduce el costo y la complejidad de cumplimiento y el riesgo de amenazas internas al automatizar la recopilación y consolidación de datos de auditoría. Brinda un depósito de auditoría seguro y altamente escalable, lo cual permite la realización de informes simplificados, análisis y detección de amenazas respecto de los datos de auditoría. Asimismo, los parámetros de auditoría de base de datos se administran y monitorean centralmente desde Audit Vault, reduciendo el costo de seguridad de IT. Oracle Audit Vault recopila y consolida transparentemente los datos de auditoría, brindando conocimientos valiosos sobre quién hizo qué a cuáles datos y cuándo, incluidos los usuarios con privilegios que tienen acceso directo a la base de datos. Con los informes, las notificaciones de alerta y la administración centralizada de políticas de auditoría de Oracle Audit Vault, el riesgo de amenazas internas y el costo de cumplimiento se ven ampliamente reducidos. Oracle Audit Vault aprovecha la tecnología Oracle de almacenamiento y seguridad de datos líder en la industria para administrar, analizar, almacenar y archivar grandes volúmenes de datos de auditoría. Información simplificada de cumplimiento Oracle Audit Vault ofrece informes estándar de evaluación de auditorías que abarcan usuarios privilegiados, administración de cuentas, roles y privilegios, administración de objetos y administración del sistema en toda la empresa. Los informes controlados por parámetros pueden definirse mostrando la actividad de inicio de sesión del usuario a través de varios sistemas y dentro de períodos específicos, como los fines de semana. Oracle Audit Vault ofrece un esquema abierto de almacenamiento de auditoría al que se puede acceder desde Oracle BI Publisher, Oracle Application Express o cualquier herramienta de generación de informes de terceros. Seguridad de defensa en profundidad de Oracle Database 11g Página 12

Detección proactiva de amenazas con alertas Las alertas de eventos de Oracle Audit Vault ayudan a mitigar el riesgo y proteger de amenazas de seguridad interna al ofrecer notificaciones proactivas sobre actividades sospechosas en la empresa. Oracle Audit Vault monitorea continuamente los datos de auditoría entrantes, evaluando los datos de auditoría frente a las condiciones de alerta. Las alertas pueden asociarse con cualquier evento de base de datos auditable, incluso eventos del sistema como cambios en las tablas de aplicaciones, asignación de roles y creación de usuarios con privilegios para sistemas con datos delicados. Oracle Audit Vault proporciona resúmenes gráficos de las actividades que provocan las alertas. Seguridad y escalabilidad Proteger los datos de auditoría es crítico para los procesos de seguridad y controles internos. Oracle Audit Vault protege los datos de auditoría al utilizar controles sofisticados, incluidos Oracle Database Vault y Oracle Advanced Security. El acceso a datos de auditoría dentro de Oracle Audit Vault está estrictamente controlado. Los usuarios DBA con privilegios no pueden ver ni modificar los datos de auditoría e incluso se evita que los auditores modifiquen los datos de auditoría. Oracle Audit Vault aprovecha las capacidades probadas de Oracle para almacenamiento de datos y particionamiento a fin de alcanzar escalabilidad masiva, un requisito clave para cualquier solución de auditoría. Oracle Audit Vault puede implementarse opcionalmente con Oracle Real Application Clusters (RAC), permitiendo la escalabilidad, alta disponibilidad y flexibilidad. Costos más bajos de IT con las políticas de Oracle Audit Vault El personal de seguridad de IT trabaja con los auditores para definir los parámetros de auditoría en las bases de datos y otros sistemas de la empresa con el fin de cumplir con los requerimientos de cumplimiento y las políticas de seguridad interna. Oracle Audit Vault ofrece la capacidad de suministrar y revisar los parámetros de auditoría en múltiples bases de datos desde una consola central, reduciendo el costo y la complejidad de administrar los parámetros de auditoría en toda la empresa. Oracle Enterprise Manager Configuration Management Pack Oracle Enterprise Manager Configuration Management Pack proporciona una solución valiosa, basada en políticas, para la detección de vulnerabilidades. Ofrece evaluaciones automatizadas para las configuraciones seguras mediante soluciones de políticas basadas en XML para listas de control de seguridad, puntos de referencia de configuración, pruebas automatizadas de cumplimiento y resultados de cumplimiento. Oracle Enterprise Manager Configuration Management Pack incluye más de 240 políticas de mejores prácticas en áreas como seguridad, configuración y almacenamiento. Las políticas ayudan a una continua evaluación de seguridad por medio de la detección automatizada de vulnerabilidades críticas de seguridad. Seguridad de defensa en profundidad de Oracle Database 11g Página 13

Las políticas son efectivas en la administración de cambios de configuración (a través de la instalación de parches, la incorporación de archivos y directorios, el cambio de parámetros y puertos, edición de dependencias, etc.) al auditar continuamente frente a configuraciones recomendadas. Este cambio es rastreado de manera que los administradores sepan cuándo suceden, qué cambios son aceptables y qué cambios deben corregirse. Este nivel de seguridad y cumplimiento, a través de la auditoría y la ejecución proactivas, es necesario para mantener el control en la inestabilidad continua que define a la mayoría de los centros de datos actuales. Las políticas pueden programarse y aplicarse de acuerdo con los objetivos. Aumentar el cumplimiento regulatorio exige que los sistemas de IT sean seguros y no hayan estado comprometidos. Asegurar que los sistemas de IT estén alineados con las mejores prácticas de seguridad es fundamental para cualquier empresa de IT. Los Grupos de Políticas (un grupo de políticas de seguridad y configuración que se equipara a un estándar regulatorio o de mejores prácticas) permiten que los administradores y CIO obtengan una vista rápida de cómo sus sistemas cumplen con las mejores prácticas de seguridad especificadas en su entorno. Estos resultados de evaluación se convierten en valores de cumplimiento (de acuerdo con un promedio ponderado) y los valores generales pueden presentarse en un tablero de control de cumplimiento. El tablero presenta resúmenes de indicadores clave, con la capacidad de desglosar a detalles, permitiendo que los usuarios monitoreen y verifiquen continuamente su postura de cumplimiento. El soporte de análisis de tendencias ofrece la capacidad de rastrear el progreso hacia el cumplimiento a lo largo del tiempo para todo el entorno de IT. Las excepciones y violaciones pueden remediarse para lograr que los sistemas vuelvan a estar en conformidad con los grupos de políticas. RESUMEN Las soluciones transparentes de seguridad son fundamentales para la actual economía de empresas internacionales. Cubrir el cumplimiento regulatorio y reducir el riesgo de las amenazas internas requiere una sólida seguridad sobre los datos de aplicaciones. Modificar el código de aplicaciones existentes puede ser un proceso complejo y costoso. Los productos de Oracle Database Security están diseñados para trabajar de manera transparente, minimizando cualquier impacto sobre las aplicaciones existentes y cumpliendo con los requerimientos normativos de muchas regulaciones. Oracle Database Vault cumple de manera transparente con los estrictos requerimientos de controles internos de SOX, PCI, HIPAA y muchas otras regulaciones. Los dominios de Oracle Database Vault evitan que incluso el DBA acceda a información delicada, tanto financiera como relacionada con la privacidad, que se puede encontrar en las aplicaciones. Las etiquetas de sensibilidad de Oracle Label Security ofrecen una gran cantidad de nuevos factores para utilizar en las decisiones de autorización de factores múltiples de Oracle Database Vault. El cifrado de datos transparente de Oracle Advanced Security ofrece una solución Seguridad de defensa en profundidad de Oracle Database 11g Página 14

atractiva para el cifrado PCI y los requisitos de administración clave, y sigue liderando la industria del cifrado con cifrado de LOB s y de tablespaces en Oracle Database 11g. Oracle Audit Vault convierte los datos de auditoría en recursos de seguridad clave, consolidando y asegurando transparentemente la información de auditoría vital asociada con la actividad de la base de datos. Los informes, alertas y políticas de Oracle Audit Vault aceleran la tarea de los funcionarios de seguridad y el personal de cumplimiento de auditoría. Oracle Enterprise Manager Configuration Management Pack monitorea continuamente las bases de datos y los hosts para encontrar violaciones a la seguridad y mejores prácticas de configuración, simplificando así en gran medida la tarea del administrador de seguridad. Seguridad de defensa en profundidad de Oracle Database 11g Página 15

Soluciones transparentes para la seguridad y el cumplimiento regulatorio de Oracle Database 11g Septiembre de 2008 Autor: Paul Needham Colaboradores: Kamal Tbeileh Oracle Corporation Sede mundial 500 Oracle Parkway Redwood Shores, CA 94065 EE. UU. Consultas internacionales: Teléfono: +1.650.506.7000 Fax: +1.650.506.7200 oracle.com Copyright 2008, Oracle. Todos los derechos reservados. Este documento se proporciona exclusivamente con fines informativos y sus contenidos están sujetos a cambio sin previo aviso. No se garantiza que el presente documento esté libre de errores, ni tampoco está sujeto a otras garantías y condiciones, ya sea expresadas oralmente o implícitas en la legislación, incluidas garantías y condiciones implícitas de comerciabilidad o adecuación para un propósito en particular. Oracle se exime específicamente de cualquier responsabilidad respecto del presente documento y tampoco se establece relación contractual directa o indirecta alguna mediante el mismo. El presente documento no podrá reproducirse, ni transmitirse de forma ni por medio alguno, sea éste electrónico o mecánico, para finalidad alguna, sin el expreso consentimiento escrito de Oracle Corporation. Oracle es una marca comercial registrada de Oracle Corporation y/o sus subsidiarias. Todos los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback