Технологии защиты от инсайдеров для центров обработки и хранилищ данных Дмитрий Шепелявый, MBA, PMP, CISSP Директор по продуктам безопасности, Oracle СНГ

2 План презентации Вопросы к безопасности информации в хранилище Обзор решений Oracle по защите данных в хранилищах Database Vault Audit Vault

3 Вопросы к безопасности в СУБД Имеет ли ваш администратор СУБД фактический доступ к конфиденциальной информации? Уверены ли вы, что сотрудники имеют доступ только к необходимой им информации? Знаете ли вы, когда, и к какой информации пользователь имел доступ? Уверены ли вы, что обнаруживаете все попытки несанкционированного доступа к информации в БД? Уверены ли вы, что информация на физических носителях и в резервных копиях надежно защищена от утечки? А ваши базы данных продаются на Горбушке? SQL запрос Приложение Удаленный WEB доступ

4 KEY to the KINGDOM Connect / as SYSDBA These crimes were all committed by thieves inside the organization with valid user credentials. В Нью-Йорке завершился суд по делу о краже клиентской базы из Morgan Stanley. В утечке оказался виноват инсайдер. Суд приговорил его к 26 годам лишения свободы и $850K штрафа В Нью-Йорке завершился суд по делу о краже клиентской базы из Morgan Stanley. В утечке оказался виноват инсайдер. Суд приговорил его к 26 годам лишения свободы и $850K штрафа

5 Базовые средства безопасности Identity Management Oracle Database Vault Oracle Audit Vault Oracle Secure Backup Virtual Private Database Oracle Label Security Transparent Data Encryption Fine-Grained Auditing Oracle Advanced Security

6 Oracle Database Vault

7 Oracle Database Vault Первое коммерческое решение для БД Позволяет исключать (ограничивать) доступ администраторов/суперпользователей к данным приложений (keys to the kingdom) В том числе: контролировать доступ к приложениям и данным любого пользователя БД определять привилегии пользователей согласно служебным обязанностям проводить аудит действий,формировать отчеты Обеспечивает возможность безопасной консолидации IT-ресурсов организации Все механизмы встроены в БД Oracle

8 Microsoft, IBM и Sybase не имеют аналогичных средств Руководителям организаций важно, чтобы администраторы баз данных управляли базами данных, а не данными... Noel Yuhanna, Senior Analyst Forrester Research

9 Oracle Database Vault Функциональные элементы Отчеты Защищенные области Многофакторная авторизация Разграничение по служебным обязанностям Динамическая настройка правил безопасности Аудит

10 Oracle Database Vault Автоматизация превентивной защиты Fine Grained Audit Database Encryption API Virtual Private Database «Прозрачное» шифрование данных Мандатный доступ Proxy and Client Identifier Надежная аутентификация ПредупреждениеОбнаружение Автоматизация Шифрование трафика Database Vault

11 Oracle Audit Vault

12 Enterprise Auditing Требования пользователей Консолидация данных аудита Много разрозненных данных (audit silos) Отчеты по данным аудита Необходимость в специализированных отчетах для аудиторов Мониторинг данных аудита Необходимость в эффективном и централизованном сканировании данных Управление данными Обеспечение безопасного хранения конфиденциальных данных аудита Большой объем хранимой информации Архивирование данных Настройка параметров аудита Необходимо обеспечить контроль и управление настройками параметров мониторинга и аудита

13 Компоненты Audit Vault Функциональная схема Источники данных аудита Управление настройками Данные аудита Data WarehouseОтчетыПредупреждения Средства обеспечения безопасности Средства управления и контроля Audit Vault СЕРВЕР Audit Vault АГЕНТ Коллекторы Данные аудита Параметры настроек (управления) AV_Admin AV_Auditor Управление Контроль

14 Аудит в базах данных Oracle Высокая точность и гибкость User Object Statement Privilege Condition Audit Table Transaction Log Аудит П р и л о ж е н и я OS File Запись данных

15 Преимущества использования Audit Vault Консолидация данных аудита, поступающих из различных прикладных систем Обнаружение изменений данных пользователями этих систем (в т.ч. и привилегированными) Защита получаемых данных аудита от изменений и других видов вмешательства Централизованное назначения политик аудита для баз данных Oracle

16 Пользователи базовых решений «Прозрачное» шифрование (TDE) Виртуальные базы данных (VPD) Мандатный доступ (OLS) Шифрование трафика (ASO:Network encryption) Шифрование данных (ASO:Encryption API)

17 Решения Oracle по безопасности существенно способствуют выполнению Закона о персональных данных

, Россия, Москва, Саввинская набережная, (495)