ORACLE DATABASE VAULT OVERVIEW. Oracle Database e la sicurezza dei dati: Oracle Database VAULT

Documenti analoghi
lem logic enterprise manager

Audit & Sicurezza Informatica. Linee di servizio

Condividi, Sincronizza e Collabora

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Anonimizzazione automatica e ottimizzata dei dati. Libelle DataMasking (LDM) consente di automatizzare ed ottimizzare l anonimizzazione dei dati.

Business Consumer Solution. Il compagno ideale

Vodafone Device Manager. La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro

Incentive & La soluzione per informatizzare e gestire il processo di. Performance Management

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

Policy sulla Gestione delle Informazioni

AMMINISTRARE I PROCESSI

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Sistemi informativi secondo prospettive combinate

Privacy Day Forum - 23 Maggio 2013 Luca BOLOGNINI Renato CASTROREALE

1 La politica aziendale

ISO 9001:2015 e ISO 14001:2015

Si applica a: Windows Server 2008

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it

Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni. A cura di Bernardo Puccetti

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Modello di Controllo dell Accesso basato sui ruoli (RBAC)

SIEBEL CRM ON DEMAND MARKETING

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

Approfondimenti. Contenuti

La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000

Manuale d uso Software di parcellazione per commercialisti Ver [05/01/2015]

Sicurezza informatica in azienda: solo un problema di costi?

Gli strumenti del controllo economico-finanziario e l integrazione delle informazioni finanziarie ed i sistemi GRC (Governance, Risk e Compliance)

Meno rischi. Meno costi. Risultati migliori.

Che cos'è il cloud computing? e cosa può fare per la mia azienda

CERTIFICAZIONE DI QUALITA

D&B Connect. Facile integrazione di informazioni sulle imprese in sistemi SAP

Gruppi, Condivisioni e Permessi. Orazio Battaglia

SurfCop. Informazioni sul prodotto

CODICE ETICO Approvato dai membri del CDA a ottobre 2011

Il modello di ottimizzazione SAM

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

Bureau Veritas. 23 gennaio Maurizio Giangreco (Team Leader Qualità) For the benefit of business and people

Benvenuti. Luca Biffi, Supporto Tecnico Achab

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

Come funzione la cifratura dell endpoint

EyesLog The log management system for your server farm. Soluzioni Informatiche

ToolCare La gestione utensili di FRAISA NUOVO

Politica per la Sicurezza

Infrastruttura di produzione INFN-GRID

SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

AlboTop. Software di gestione Albo per Ordini Assistenti Sociali

Modifiche principali al programma Adobe Open Options NOVITÀ! DISPONIBILITÀ ESCLUSIVA DEL SOFTWARE ADOBE ACROBAT ELEMENTS

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

Supply Intelligence. Informazioni rapide e approfondite sui fornitori potenziali

Politica del WHOIS relativa al nome a dominio.eu

CHI SIAMO. BeOn è una società di consulenza italiana ad alta specializzazione in ambito di valutazione, sviluppo e formazione delle risorse umane.

Sfrutta appieno le potenzialità del software SAP in modo semplice e rapido

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Software per Helpdesk

L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

List Suite 2.0. Sviluppo Software Il Telefono Sas 10/06/2010

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Acronis License Server. Manuale utente

Zoo 5. Robert McNeel & Associates Seattle Barcelona Miami Seoul Taipei Tokyo

Database. Si ringrazia Marco Bertini per le slides

Corso di Amministrazione di Sistema Parte I ITIL 1

MODELLI DI ORGANIZZAZIONE E GESTIONE

Domande frequenti su Phoenix FailSafe

AREA MODELLI ORGANIZZATIVI

Appendice. Tecnologia Oracle

Retail L organizzazione innovativa del tuo punto vendita

MediSync Per la sincronizzazione efficiente dei dati degli assicurati

soluzioni di e-business knowledge management

Norton Internet Security

Gestione in qualità degli strumenti di misura

LA TEMATICA. Questa situazione si traduce facilmente:

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

Nome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Lezione 1. Introduzione e Modellazione Concettuale

Introduzione Ai Data Bases. Prof. Francesco Accarino IIS Altiero Spinelli Via Leopardi 132 Sesto San giovanni

Problematiche correlate alla sicurezza informatica nel commercio elettronico

GOW GESTIONE ORDINI WEB

CRM Configurazione e gestione accessi

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

GECO GECO GESTIONE COMMESSE. Data: Aprile 2006 Revisione: 2.0 Pagina: 1 / 15

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Base Dati Introduzione

Transcript:

ORACLE DATABASE VAULT OVERVIEW Oracle Database e la sicurezza dei dati: Oracle Database VAULT

Indice Indice... 2 Introduzione... 3 Prerequisiti... 4 Oracle Database Vault... 4 I Protocolli di sicurezza di Oracle Database Vault... 4 Oracle Database Vault REALM... 5 Oracle Database Vault command rule e factor... 5 Oracle Database Vault e la separation of Duty... 6 Oracle Database Vault Report... 7 Oracle Database Vault Manageability... 7 Oracle Database Vault and Applications... 7 Customer Case Study... 8 Conclusioni... 8

Introduzione La conformità alle normative di legge, lo spionaggio industriale e le minacce provenienti dall'interno sono solo alcune delle sfide che le organizzazioni nell'economia globale di oggi devono affrontare. Allo stesso tempo, si richiede la continua competitività e la flessibilità necessaria per implementare i sistemi IT in modo efficace nei costi, attraverso il consolidamento e la delocalizzazione. Mentre i problemi legati alle minacce di accesso alle informazioni privilegiate, non sono certamente nuove, la preoccupazione per l'accesso non autorizzato alle informazioni sensibili, non è mai stata cosi grande. Il costo di furto di dati finanziari, può essere molto piu che significativo. Allo stesso tempo, rispetto a normative quali Sarbanes-Oxley (SOX), l Unione europea con la direttiva sulla protezione dei dati, Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) le leggi sulla privacy richiedono forti controlli in materia di accesso ai dati sensibili. Oracle Database Vault offre una soluzione efficace e trasparente di sicurezza che aiuta le organizzazioni a conformarsi alle normative, implementare i sistemi in modo economicamente efficiente ed impedire l'accesso non autorizzato ai dati sensibili.

Prerequisiti Oracle Database Vault è disponibile per le versioni Oracle9i Database Release 2, Oracle Database 10g Release 2 e Oracle Database 11g. Oracle Database Vault Storicamente le prestazioni e l'alta disponibilità sono stati due dei fattori chiave nel mondo IT. Negli ultimi dieci anni tuttavia, la sicurezza è diventata un elemento critico, è per questo che Oracle Database Vault diventa una scelta di sicurezza per i database Oracle, fornendo una soluzione flessibile ed altamente adattabile ai controlli di sicurezza esistenti. I controlli di sicurezza di Oracle Database Vault includono realms e regole di comando, fattori, separazione di mansioni e comunicazione. Insieme, questi controlli riescono ad aumentare la sicurezza in tutte le applicazioni esistenti, senza richiedere modifiche al codice sorgente dell'applicazione. I Realms agiscono come un firewall all'interno del database Oracle realizzando controlli preventivi in materia di accesso ai dati utente privilegiato di applicazione. Normative sui comandi forniscono controlli su chi, quando, dove e come accede ai database, ai dati ed alle applicazioni. Con le command rule è possibile utilizzare fattori discriminanti come l'indirizzo IP, il metodo di autenticazione e il nome del programma da filtrare, rafforzando così la sicurezza circa le applicazioni esistenti. La separazione dei ruoli di Oracle Database Vault vede applicare un modello di privilegio minimo sulle basi di dati esistenti, scindendo la gestione degli account dalle attività tradizionali di amministrazione del database e gestione della sicurezza di Oracle Database Vault: Caratteristiche Realms Command Rule Factor Descrizione Sono i confini all'interno del database Oracle che agiscono come firewall per impedire agli amministratori di sistema di utilizzare i loro privilegi particolari per accedere a dati applicativi sensibili. Norme di sicurezza e controllo applicate all'esecuzione dei comandi amministrativi del database I parametri ambientali (quali indirizzo IP, il metodo di autenticazione) che possono essere utilizzati con le regole di comando ed i realm, in modo da creare percorsi sicuri e di fiducia per l accesso ai dati. Separation of Duty Definizione dei privilegi all'interno del database che distinguono le azioni principali amministrativa (gestione del sistema, l'amministrazione della sicurezza, e Amministrazione di database) a secondo delle mansioni amministrative Report Relazione dettagliata in merito alle tentate violazioni dei realm definiti nel database I Protocolli di sicurezza di Oracle Database Vault Mentre molti requisiti normativi sono di natura procedurale, le soluzioni tecniche sono necessarie per mitigare i rischi associati a elementi quali l'accesso non autorizzato e la modifica dei dati. Protocolli di sicurezza Ambiti Applicabile al Vault? Sarbanes-Oxley Section 302 Impedire modifiche non autorizzate ai dati Sarbanes-Oxley Section 404 Prevenire modifiche ai dati e agli accessi non autorizzati Sarbanes-Oxley Section 409 Prevenire accessi non autorizzati Gramm-Leach-Bliley Evitare accessi non autorizzati e modifiche non autorizzate

HIPAA 164.306, 164.312 Impedire l'accesso non autorizzato ai dati Basel II Internal Risk Management Impedire l'accesso non autorizzato ai dati CFR Part 11 (FDA Impedire l'accesso non autorizzato ai dati Japan Privacy Law Impedire l'accesso non autorizzato ai dati PCI Requirement 7 Limitare l'accesso ai dati di business-to-know PCI Requirement 8.5.6 PCI Compensating Controls for Requirement 3.4 PCI - Requirement A.1: Hosting providers Protect cardholder Definizione dei privilegi all'interno del database che separano le azioni principali amministrative a seconda delle mansioni amministrative Attiva account utilizzati dai fornitori per la manutenzione remota solo durante il periodo di tempo necessario Fornisce la capacità di limitare l'accesso ai titolari di carta di dati o banche dati con i seguenti criteri:: IP address/mac addres Application/service User accounts/groups Oracle Database Vault REALM Gli amministratori di database e altri utenti privilegiati sono atti a svolgere un ruolo fondamentale nel mantenimento del database. Le prestazioni di backup, di recupero dati e l'alta disponibilità sono solo alcuni dei compiti che giorno per giorno, gli utenti privilegiati possono svolgere. Tuttavia, la capacità di evitare che gli utenti del database privilegiati visualizzino dei dati sensibili dell applicazione è diventata sempre più importante. Il consolidamento di applicazioni e il diritto di sourcing/off-shore richiedono controlli severi in materia di accesso ai dati sensibili, delle risorse umane, sanità, applicazioni retail e molte altre. I realm definiti in Oracle Database Vault impediscono agli utenti privilegiati di visualizzare i dati delle applicazioni utilizzando i loro privilegi di amministratore. Questa regola può essere utilizzata per proteggere un'intera applicazione o uno specifico insieme di tabelle all'interno di un'applicazione che prevede l'attivazione di policy di sicurezza altamente flessibili ed adattabili. Oracle Database Vault command rule e factor Command Rule e Factor consentono di autorizzare che vanno al di là dei ruoli di database tradizionali. i controlli multi-fattore Utilizzando le regole di comando e di autorizzazione, l'accesso alla base di dati può essere limitato a una subnet specifica o ad un application server distinto. Oracle Database Vault offre una serie di built-in factor, come l'indirizzo IP, che possono essere usati singolarmente o insieme, in combinazione con altri factor per innalzare notevolmente il livello di sicurezza su un'applicazione esistente. Inoltre, potranno essere definiti fattori personalizzabili per soddisfare i requisiti aziendali. Oracle Database Vault Command Rule offre la possibilità di associare facilmente le politiche di sicurezza sui comandi base comunemente usati. Command Rule consente di rafforzare i controlli interni e applicare le migliori policy di sicurezza. Consente di attivare una forte protezione sui dati business-critical.

Ad esempio, una Command Rule può essere usata per prevenire azioni deleterie di qualsiasi utente, anche l'amministratore di database o il proprietario di applicazione. Le Command Rule possono essere facilmente gestite tramite Oracle Database Vault console o utilizzando l interfaccia a riga comando. Oracle Database Vault e la separation of Duty Consente un approccio sistematico alla sicurezza, che rafforza i controlli all'interno del database e consente di soddisfare le esigenze richieste in tanti regolamenti. Crea tre responsabilità distinte all'interno del database. Responsabilità Account Management Security Administration Database Administration Descrizione Un utente con la responsabilità di gestione degli account puo creare, rimuovere o modificare gli utenti del database. Agli utenti preesistenti privilegiati sarà impedito di svolgere attività di account management La responsabilità di gestione della sicurezza è stata progettata per consentire a un utente di diventare amministratore della sicurezza (Database Vault Proprietario) del database. Un amministratore di sicurezza è in grado di gestire i realm, le command Rule, i factor, e redarre i report di sicurezza. La responsabilità dell amministrazione del database consente ad un utente con privilegi DBA di continuare a svolgere normale gestione e manutenzione associati al database come ad esempio il backup e il recupero di dati, l'applicazione di patch, e l'ottimizzazione delle prestazioni senza dover accedere ai dati aziendali protetti.

Con Oracle Database Vault per esempio, è possibile suddividere ulteriormente la figura di DBA in diversi ruoli quali gestione del backup del database, analisi delle prestazioni ed applicazione delle patch. Se si dispone di una piccola impresa è possibile consolidare le responsabilità assegnando diversi account di accesso ad ogni ambito di competenza, consentendo una maggiore responsabilità ed un controllo granulare. Oracle Database Vault Report Oracle Database Vault offre numerose out-of-the-box relazioni che danno la possibilità di verificare come i tentativi di accesso ai dati siano stati bloccati dai realm. Per esempio, se un DBA tenta di accedere ai dati in una tabella di applicazione protetta da un regno, Oracle Database Vault blocca l'accesso e crea un record di controllo che può essere facilmente visualizzato con il rapporto di violazione regno. Oracle Database Vault Manageability Oracle Database Vault offre una console di amministrazione per la gestione dei realm, le command rule ed i set di regole. I report prodotti da Oracle Database vault possono anche essere visualizzati tramite la console. La gestione Oracle Database Vault è stata integrata con Oracle Enterprise Manager Grid Control, il software che offre la possibilità di monitorare Oracle Database Vault e clonare le impostazioni di sicurezza tra base dati differenti. Ad esempio il realm di Oracle Database Vault e la definizione delle regole di comando possono essere facilmente replicati da una central instance preconfigurata e testata di Oracle Database Vault, replicandoli verso un altro database Oracle Database Vault. Oracle Database Vault and Applications Oracle Database Vault è stato certificato con numerose applicazioni Oracle e non. La certificazione comprende verifica delle politiche di sicurezza specifiche, per ciascuna finestra di applicazione, incluse le definizioni per i realm e le command rule applicate a ciascuna delle applicazioni. Applicazioni Cerificazione Specifiche sulla protezione dei criteri disponibili? Oracle E-Business Suite (releases 11iand 12) Oracle PeopleSoft Oracle JD Edwards EnterpriseOne Oracle ebel Oracle Internet Directory SAP

Cinzia Spasari Customer Case Study Se si tratta di controllare l'accesso alla proprietà intellettuale, dati personali, informazioni sulla carta di credito o dati finanziari è possibile beneficiare di Oracle Database Vault il quale offre potenti controlli preventivi per aiutare le organizzazioni a conformarsi alle normative e di protezione contro le minacce sempre più sofisticate Esigenza del cliente Limitare l'accesso degli utenti privilegiati ai dati sensibili Applicare l'accesso alle applicazioni tramite processi e server middle tier Strutture di database al riparo da modifiche critiche intenzionale o accidentali Applicare specifiche patch o effettuare backup, o aprire finestre di manutenzione e monitorare il processo di patching. ORACLE DATABASE VAULT SOLUTION Definito un Realm in merito ai dati delle applicazioni dei clienti e autorizzato solo il proprietario in accesso ai dati, evitando così gli utenti privilegiati, come Amministratori di database ed applicazioni che accedono a questi dati sensibili Definire le regole per limitare l'accesso al database per le applicazioni specifiche di livello intermedio in esecuzione su server specifici. Definite le regole di comando aggiuntive per proteggere da operazioni pericolose come la chiusura dei database o l'eliminazione di strutture accidentali o intenzionali dei dati aziendali Definire regole per rispettare periodi di manutenzione, limitando in tal modo la manutenzione di database tramite login DBA a giorni ed orari specifici. Inoltre, utilizzando l autorizzazione multi-factor può applicare una regola per due persone distinte con ruoli distinti nel corso della manutenzione Conclusioni Oracle Database Vault è la soluzione leader del settore di controllo di accesso per risolvere i requisiti normativi, riducendo al minimo il rischio di minacce provenienti dall'interno. Oracle Database Vault offre controlli di sicurezza trasparenti. I requisiti comuni presenti nei regolamenti quali SOX, HIPAA e PCI-DSS. Oracle Database Vault è disponibile per Oracle9i Release 2 di Oracle 10g Release 2, e Oracle Database 11g. Oracle Database Vault è stato certificato con Oracle E-Business Suite, Oracle PeopleSoft, Oracle ebel, Oracle JD Edwards EnterpriseOne e SAP. Utilizzando Oracle Database Vault, i controlli preventivi possono essere facilmente svolti anche dalle applicazioni esistenti riducendo il rischio di accesso non autorizzato ai dati e applicando strategie di risparmio sui costi, come consolidamento l outsourcing. Pagina 8 di 8

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back