ORACLE DATABASE VAULT OVERVIEW. Oracle Database e la sicurezza dei dati: Oracle Database VAULT

Transcript

1 ORACLE DATABASE VAULT OVERVIEW Oracle Database e la sicurezza dei dati: Oracle Database VAULT

2 Indice Indice... 2 Introduzione... 3 Prerequisiti... 4 Oracle Database Vault... 4 I Protocolli di sicurezza di Oracle Database Vault... 4 Oracle Database Vault REALM... 5 Oracle Database Vault command rule e factor... 5 Oracle Database Vault e la separation of Duty... 6 Oracle Database Vault Report... 7 Oracle Database Vault Manageability... 7 Oracle Database Vault and Applications... 7 Customer Case Study... 8 Conclusioni... 8

3 Introduzione La conformità alle normative di legge, lo spionaggio industriale e le minacce provenienti dall'interno sono solo alcune delle sfide che le organizzazioni nell'economia globale di oggi devono affrontare. Allo stesso tempo, si richiede la continua competitività e la flessibilità necessaria per implementare i sistemi IT in modo efficace nei costi, attraverso il consolidamento e la delocalizzazione. Mentre i problemi legati alle minacce di accesso alle informazioni privilegiate, non sono certamente nuove, la preoccupazione per l'accesso non autorizzato alle informazioni sensibili, non è mai stata cosi grande. Il costo di furto di dati finanziari, può essere molto piu che significativo. Allo stesso tempo, rispetto a normative quali Sarbanes-Oxley (SOX), l Unione europea con la direttiva sulla protezione dei dati, Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) le leggi sulla privacy richiedono forti controlli in materia di accesso ai dati sensibili. Oracle Database Vault offre una soluzione efficace e trasparente di sicurezza che aiuta le organizzazioni a conformarsi alle normative, implementare i sistemi in modo economicamente efficiente ed impedire l'accesso non autorizzato ai dati sensibili.

4 Prerequisiti Oracle Database Vault è disponibile per le versioni Oracle9i Database Release 2, Oracle Database 10g Release 2 e Oracle Database 11g. Oracle Database Vault Storicamente le prestazioni e l'alta disponibilità sono stati due dei fattori chiave nel mondo IT. Negli ultimi dieci anni tuttavia, la sicurezza è diventata un elemento critico, è per questo che Oracle Database Vault diventa una scelta di sicurezza per i database Oracle, fornendo una soluzione flessibile ed altamente adattabile ai controlli di sicurezza esistenti. I controlli di sicurezza di Oracle Database Vault includono realms e regole di comando, fattori, separazione di mansioni e comunicazione. Insieme, questi controlli riescono ad aumentare la sicurezza in tutte le applicazioni esistenti, senza richiedere modifiche al codice sorgente dell'applicazione. I Realms agiscono come un firewall all'interno del database Oracle realizzando controlli preventivi in materia di accesso ai dati utente privilegiato di applicazione. Normative sui comandi forniscono controlli su chi, quando, dove e come accede ai database, ai dati ed alle applicazioni. Con le command rule è possibile utilizzare fattori discriminanti come l'indirizzo IP, il metodo di autenticazione e il nome del programma da filtrare, rafforzando così la sicurezza circa le applicazioni esistenti. La separazione dei ruoli di Oracle Database Vault vede applicare un modello di privilegio minimo sulle basi di dati esistenti, scindendo la gestione degli account dalle attività tradizionali di amministrazione del database e gestione della sicurezza di Oracle Database Vault: Caratteristiche Realms Command Rule Factor Descrizione Sono i confini all'interno del database Oracle che agiscono come firewall per impedire agli amministratori di sistema di utilizzare i loro privilegi particolari per accedere a dati applicativi sensibili. Norme di sicurezza e controllo applicate all'esecuzione dei comandi amministrativi del database I parametri ambientali (quali indirizzo IP, il metodo di autenticazione) che possono essere utilizzati con le regole di comando ed i realm, in modo da creare percorsi sicuri e di fiducia per l accesso ai dati. Separation of Duty Definizione dei privilegi all'interno del database che distinguono le azioni principali amministrativa (gestione del sistema, l'amministrazione della sicurezza, e Amministrazione di database) a secondo delle mansioni amministrative Report Relazione dettagliata in merito alle tentate violazioni dei realm definiti nel database I Protocolli di sicurezza di Oracle Database Vault Mentre molti requisiti normativi sono di natura procedurale, le soluzioni tecniche sono necessarie per mitigare i rischi associati a elementi quali l'accesso non autorizzato e la modifica dei dati. Protocolli di sicurezza Ambiti Applicabile al Vault? Sarbanes-Oxley Section 302 Impedire modifiche non autorizzate ai dati Sarbanes-Oxley Section 404 Prevenire modifiche ai dati e agli accessi non autorizzati Sarbanes-Oxley Section 409 Prevenire accessi non autorizzati Gramm-Leach-Bliley Evitare accessi non autorizzati e modifiche non autorizzate

5 HIPAA , Impedire l'accesso non autorizzato ai dati Basel II Internal Risk Management Impedire l'accesso non autorizzato ai dati CFR Part 11 (FDA Impedire l'accesso non autorizzato ai dati Japan Privacy Law Impedire l'accesso non autorizzato ai dati PCI Requirement 7 Limitare l'accesso ai dati di business-to-know PCI Requirement PCI Compensating Controls for Requirement 3.4 PCI - Requirement A.1: Hosting providers Protect cardholder Definizione dei privilegi all'interno del database che separano le azioni principali amministrative a seconda delle mansioni amministrative Attiva account utilizzati dai fornitori per la manutenzione remota solo durante il periodo di tempo necessario Fornisce la capacità di limitare l'accesso ai titolari di carta di dati o banche dati con i seguenti criteri:: IP address/mac addres Application/service User accounts/groups Oracle Database Vault REALM Gli amministratori di database e altri utenti privilegiati sono atti a svolgere un ruolo fondamentale nel mantenimento del database. Le prestazioni di backup, di recupero dati e l'alta disponibilità sono solo alcuni dei compiti che giorno per giorno, gli utenti privilegiati possono svolgere. Tuttavia, la capacità di evitare che gli utenti del database privilegiati visualizzino dei dati sensibili dell applicazione è diventata sempre più importante. Il consolidamento di applicazioni e il diritto di sourcing/off-shore richiedono controlli severi in materia di accesso ai dati sensibili, delle risorse umane, sanità, applicazioni retail e molte altre. I realm definiti in Oracle Database Vault impediscono agli utenti privilegiati di visualizzare i dati delle applicazioni utilizzando i loro privilegi di amministratore. Questa regola può essere utilizzata per proteggere un'intera applicazione o uno specifico insieme di tabelle all'interno di un'applicazione che prevede l'attivazione di policy di sicurezza altamente flessibili ed adattabili. Oracle Database Vault command rule e factor Command Rule e Factor consentono di autorizzare che vanno al di là dei ruoli di database tradizionali. i controlli multi-fattore Utilizzando le regole di comando e di autorizzazione, l'accesso alla base di dati può essere limitato a una subnet specifica o ad un application server distinto. Oracle Database Vault offre una serie di built-in factor, come l'indirizzo IP, che possono essere usati singolarmente o insieme, in combinazione con altri factor per innalzare notevolmente il livello di sicurezza su un'applicazione esistente. Inoltre, potranno essere definiti fattori personalizzabili per soddisfare i requisiti aziendali. Oracle Database Vault Command Rule offre la possibilità di associare facilmente le politiche di sicurezza sui comandi base comunemente usati. Command Rule consente di rafforzare i controlli interni e applicare le migliori policy di sicurezza. Consente di attivare una forte protezione sui dati business-critical.

6 Ad esempio, una Command Rule può essere usata per prevenire azioni deleterie di qualsiasi utente, anche l'amministratore di database o il proprietario di applicazione. Le Command Rule possono essere facilmente gestite tramite Oracle Database Vault console o utilizzando l interfaccia a riga comando. Oracle Database Vault e la separation of Duty Consente un approccio sistematico alla sicurezza, che rafforza i controlli all'interno del database e consente di soddisfare le esigenze richieste in tanti regolamenti. Crea tre responsabilità distinte all'interno del database. Responsabilità Account Management Security Administration Database Administration Descrizione Un utente con la responsabilità di gestione degli account puo creare, rimuovere o modificare gli utenti del database. Agli utenti preesistenti privilegiati sarà impedito di svolgere attività di account management La responsabilità di gestione della sicurezza è stata progettata per consentire a un utente di diventare amministratore della sicurezza (Database Vault Proprietario) del database. Un amministratore di sicurezza è in grado di gestire i realm, le command Rule, i factor, e redarre i report di sicurezza. La responsabilità dell amministrazione del database consente ad un utente con privilegi DBA di continuare a svolgere normale gestione e manutenzione associati al database come ad esempio il backup e il recupero di dati, l'applicazione di patch, e l'ottimizzazione delle prestazioni senza dover accedere ai dati aziendali protetti.

7 Con Oracle Database Vault per esempio, è possibile suddividere ulteriormente la figura di DBA in diversi ruoli quali gestione del backup del database, analisi delle prestazioni ed applicazione delle patch. Se si dispone di una piccola impresa è possibile consolidare le responsabilità assegnando diversi account di accesso ad ogni ambito di competenza, consentendo una maggiore responsabilità ed un controllo granulare. Oracle Database Vault Report Oracle Database Vault offre numerose out-of-the-box relazioni che danno la possibilità di verificare come i tentativi di accesso ai dati siano stati bloccati dai realm. Per esempio, se un DBA tenta di accedere ai dati in una tabella di applicazione protetta da un regno, Oracle Database Vault blocca l'accesso e crea un record di controllo che può essere facilmente visualizzato con il rapporto di violazione regno. Oracle Database Vault Manageability Oracle Database Vault offre una console di amministrazione per la gestione dei realm, le command rule ed i set di regole. I report prodotti da Oracle Database vault possono anche essere visualizzati tramite la console. La gestione Oracle Database Vault è stata integrata con Oracle Enterprise Manager Grid Control, il software che offre la possibilità di monitorare Oracle Database Vault e clonare le impostazioni di sicurezza tra base dati differenti. Ad esempio il realm di Oracle Database Vault e la definizione delle regole di comando possono essere facilmente replicati da una central instance preconfigurata e testata di Oracle Database Vault, replicandoli verso un altro database Oracle Database Vault. Oracle Database Vault and Applications Oracle Database Vault è stato certificato con numerose applicazioni Oracle e non. La certificazione comprende verifica delle politiche di sicurezza specifiche, per ciascuna finestra di applicazione, incluse le definizioni per i realm e le command rule applicate a ciascuna delle applicazioni. Applicazioni Cerificazione Specifiche sulla protezione dei criteri disponibili? Oracle E-Business Suite (releases 11iand 12) Oracle PeopleSoft Oracle JD Edwards EnterpriseOne Oracle ebel Oracle Internet Directory SAP

8 Cinzia Spasari Customer Case Study Se si tratta di controllare l'accesso alla proprietà intellettuale, dati personali, informazioni sulla carta di credito o dati finanziari è possibile beneficiare di Oracle Database Vault il quale offre potenti controlli preventivi per aiutare le organizzazioni a conformarsi alle normative e di protezione contro le minacce sempre più sofisticate Esigenza del cliente Limitare l'accesso degli utenti privilegiati ai dati sensibili Applicare l'accesso alle applicazioni tramite processi e server middle tier Strutture di database al riparo da modifiche critiche intenzionale o accidentali Applicare specifiche patch o effettuare backup, o aprire finestre di manutenzione e monitorare il processo di patching. ORACLE DATABASE VAULT SOLUTION Definito un Realm in merito ai dati delle applicazioni dei clienti e autorizzato solo il proprietario in accesso ai dati, evitando così gli utenti privilegiati, come Amministratori di database ed applicazioni che accedono a questi dati sensibili Definire le regole per limitare l'accesso al database per le applicazioni specifiche di livello intermedio in esecuzione su server specifici. Definite le regole di comando aggiuntive per proteggere da operazioni pericolose come la chiusura dei database o l'eliminazione di strutture accidentali o intenzionali dei dati aziendali Definire regole per rispettare periodi di manutenzione, limitando in tal modo la manutenzione di database tramite login DBA a giorni ed orari specifici. Inoltre, utilizzando l autorizzazione multi-factor può applicare una regola per due persone distinte con ruoli distinti nel corso della manutenzione Conclusioni Oracle Database Vault è la soluzione leader del settore di controllo di accesso per risolvere i requisiti normativi, riducendo al minimo il rischio di minacce provenienti dall'interno. Oracle Database Vault offre controlli di sicurezza trasparenti. I requisiti comuni presenti nei regolamenti quali SOX, HIPAA e PCI-DSS. Oracle Database Vault è disponibile per Oracle9i Release 2 di Oracle 10g Release 2, e Oracle Database 11g. Oracle Database Vault è stato certificato con Oracle E-Business Suite, Oracle PeopleSoft, Oracle ebel, Oracle JD Edwards EnterpriseOne e SAP. Utilizzando Oracle Database Vault, i controlli preventivi possono essere facilmente svolti anche dalle applicazioni esistenti riducendo il rischio di accesso non autorizzato ai dati e applicando strategie di risparmio sui costi, come consolidamento l outsourcing. Pagina 8 di 8