Upload
expolink
View
267
Download
0
Embed Size (px)
Citation preview
Oracle Security: Противодействие внутренним угрозам до, во время и после инцидента
Сергей Базылько, к.ф.-м.н., CISSPДиректор по продажам продуктов безопасности Oracle СНГ
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
г. КАЗАНЬ15 ОКТЯБРЯ 2015
#CODEIB
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Информационная безопасность: status quo
ИБ ИТКонфиденциальность Целостность Доступность
3
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Меры противодействия внутренним угрозам
4
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 5
S EC U R I T YS EC U R I T YS EC U R I T YS EC U R I T YS EC U R I T YS EC U R I T Y
S E C U R I T Y
ORACLE SECURITY INSIDE OUT ЗАЩИТА НА КАЖДОМ УРОВНЕ
76%ВЗЛОМ по СЕТИ УКРАДЕНЫЫЕ и СЛАБЫЕ ПАРОЛИ
Governance Risk & Compliance Оценка необходимости доступа, Выявлениеаномалий, Создание учетных записей, Управление привилегиямиМобильная безопасность, Привилегированныепользователи, сервисы директорий
Шифрование, маскирование, управление ключами, защита Big Data
Solaris Trusted Extensions,LDAP Host Access Control
Secure Live Migration
Крипто-акселераторыКонтроль целостности данных приложений
Secure backup, Шифрование дисковILM Security
ENTERPRISE M
ANAGER
80%
КОМПРОМЕТАЦИЯ СЕРВЕРОВ ПРИЛОЖЕНИЙ
94%КРАЖА ДАННЫХ С СЕРВЕРОВ
50%
РАСПРОСТРАНЕНИЕ ВОЗМОЖНО ИЗ-ЗА НЕПРАВИЛЬНЫХ
НАСТРОЕК
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Соответствие требованиямОтраслевые стандарты и законодательство
6
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
12 требований PCI DSShttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Требования Национальной платежной системыhttp://security-orcl.blogspot.co.uk/2014/05/blog-post.html
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Персональные данные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Персональные данные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Identity and Access Management – защита доступа в приложения и управление учетными записями, проведены проверки на наличие не декларированных возможностей по 3-НСД и 2-НДВOracle Enterprise Single Sign-On – контроль доступа в информационные системы персональных данныхOracle DB 11gR2 + Database Vault – разграничение доступа к данным в приложениях на уровне СУБДOracle Enterprise Linux – защита сертифицированной БД Oracle на уровне операционной системы, по 3-НСД и 2-НДВOracle Fusion Middleware – по 3-НСД и 2-НДВExadata, ExalogicAudit Vault and Database Firewall
Продукты Oracle, сертифицированные ФСТЭК
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Public Info
Сертификаты ФСТЭК Maximum performance
on Oracle Exa-stack#3215 – Oracle Exadata –
DB security features#3299 – Oracle Exalogic –
Java security features #soon – Oracle Exalytics
Maximum security level (Гостайна)
#3095 – Oracle Enterprise Linux (OEL) – operating system security features
#3196 – Oracle Fusion Middleware – Java security
features
#3295 – Oracle Identity & Access Management (IAMS) – Security as a
Service
Security for heterogeneous environment
#2858 – Oracle Database on Linux , Solaris &
Windows – DB security features
#3103 – Oracle Enterprise Single Sign-On – product
security features
#3364– Oracle Audit Vault and Database Firewall
#soon – Oracle Mobile Security Suite
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Соответствие требованиям или безопасность• Персональные данные
– Включает ли ваша модель угроз риски административного доступа?
– Как быстро можно закрыть доступ при увольнении?
– Как подтверждены защитные механизмы?
ПОДГОТОВИЛСЯ К СЮРПРИЗАМ?
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 14
GOLD
BRONZESILVER
PLATINUM
Критичные для ограниченного исп.Quarterly results,M&A, IP, Source code…Для внутреннего
использованияTransactions,Orders…
СоответствиезаконодательствуPII, PCI,PHI, SOX…Не критичные
Internal portals,Org. directories,Test/dev systems…
Не все данные одинаково ценные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Secure Data
Secure Access
Secure Configuration
Command & Control
Scan and patchSecure configurationAudit sensitive activities
Encrypt stored dataEncrypt network trafficMask and subset
15
Redact application dataRestrict DBA accessMonitor SQL traffic
Защитные меры и ценность данных
GOLD
BRONZESILVER
PLATINUM
Control DB operationsAnalyze runtime privilegesBlock unauthorized SQL trafficAudit comprehensively
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Oracle Public 16
SIMPLIFIEDSECURITY
STANDARD CONFIGURATIONS
SECURITYROADMAP
SECURITY CONTROLS
Выгоды
Соответствует ценности данных
Больше защиты за те же вложения
Для всей организации
Планирование и управляемость
Адекватная защита для каждого класса
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 17
MobileSecurity
Identity Governance
Directory Services
AccessManagement
Encryption& Redaction
PrivilegedUser Control
KeyManagement
ActivityMonitoring
ConfigurationManagement
DatabaseFirewall
ЗАЩИТА ДОСТУПА К ПРИЛОЖЕНИЯМ И ДАННЫМ
IDENTITY MANAGEMENT DATABASE SECURITY
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Oracle Identity Management
Полный спектр решений для защиты доступа
Identity Governance
Access Management
Directory Services
Cloud
On-Premise
Managed Cloud
Способы установки
Mobile Security
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
• Возможность применения единых политик безопасности как к обычным, так и к привилегированным (разделяемым) учетным записям
• Устранение (уменьшение) потенциальных угроз от инсайдеров
• Упрощение соответствия требованиям регуляторов– Сертификация «владения» привилегированными учетными записями
Привилегированный пользователь как источник угроз
Базы данных
sys
OIG
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB Public 20
Контроль активности
Database Firewall
Аудит и отчетность
ДЕТЕКТИВНАЯ
Редакция иМаскирование
Контроль за действиями привилегированных
пользователей
Шифрование
ПРЕВЕНТИВНАЯ АДМИНИСТРАТИВНАЯ
Управление конфигурациями
Всесторонняя защита для максимальной безопасностиРешения Oracle по защите баз данных
Анализ привилегий ипоиск конфиденциальных
данных
Key & Wallet Management
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Exadata – машина баз данных для консолидации СУБД• Все яйца в одной
корзине?• Уникальное ПО firmware
для ячеек хранения• Доступ к данным
возможен как на уровне ОС, так и СУБД и приложений
• Кто контролирует привилегированный доступ?
adminsys/dba
Приложения
21
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Не заметно для работы
Программно-аппаратный комплекс средств для защиты Exadata
TDE
ODV
• Сертифицированная платформа (OFM, 2НДВ, 3СВТ) для Oracle Enterprise Manager
• Управление и разграничение доступа к сертифицированным средствам защиты Exadata
• Контроль доступа администраторов к СУБД и запись терминальных сессий
• Хранение ключей в сертифицированном HSM
adminsys/dba
Приложения
22
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB 23
INSIDEOUT
SECURITYМногоуровневая защита
Безопасностьсамого ценного
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |#CODEIB
Спасибо за внимание!
Сергей Базылько, к.ф.-м.н., CISSPДиректор по продажам продуктов безопасности[email protected]+7 915 018 8804
24