gestión y protección de usuarios con privilegiados security today andalucia
TRANSCRIPT
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 2
The following is intended to outline our general product direction. It
is intended for information purposes only, and may not be
incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality,
and should not be relied upon in making purchasing decisions. The
development, release, and timing of any features or functionality
described for Oracle’s products remains at the sole discretion of
Oracle.
Gestión de usuarios privilegiados
Juan Carlos Díaz
Principal Sales Consultant
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 4
Agenda
Introducción
Gestión de conexiones con usuarios genéricos
Gestión de conexiones con usuarios personalizados
Control de acceso y segregación de funciones en BB.DD.
Resumen: soluciones complementarias
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5
Acceso como
Root
Bases de Datos Directorios Servidores Unix
• Las cuentas privilegiadas son un punto de entrada clave para el fraude
• Es difícil monitorizar cuentas compartidas entre diferentes administradores
• Los privilegios de acceso excesivos son la causa principal en el ataque a
bases de datos, directorios, sistemas operativos, …
Cuanto mayor privilegio, mayor riesgo
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.
Clientes Datos sensibles:
Financieros
Cuentas bancarias
Facturación
… TRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 7
<Insert Picture Here>
Gestión de acceso de
usuarios genéricos
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 8
Oracle Privileged Account Manager
Directorio
LDAP
DBA
Base de Datos de
RRHH
• Usuario accede como DBA
• Añade Tabla a BBDD
• Falta de espacio en el sistema
Verifica si el usuario de
OPAM tienen el rol de
DBA en RRHH
Activa la password del DBA
para la aplicación de RRHH
basado en la política
correspondiente
Usuario libera las passwords
Oracle Privileged
Account Manager • Usuario accede
como superusuario
• Añade espacio en
disco
Servidor UNIX
Devuelve password de DBA
Pide password de DBA
Devuelve password de unix
Pide password de unix
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 9
Bases de Datos LDAP Sistemas Unix Genéricos
UNIX Oracle 9i, 10g,11g
MS SQLServer
Sybase 15
Sistemas soportados
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 11
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.
Clientes Datos sensibles:
Financieros
Cuentas bancarias
Facturación
… TRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 12
<Insert Picture Here>
Gestión centralizada de
usuarios de BB.DD.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 13
Cada persona tiene un usuario /password para TODAS las
bases de datos.
Las identidades del directorio se mapean a esquemas de base
de datos.
Los grupos del directorio se mapean a roles de base de datos.
Oracle Directory
Services
Enterprise User Security Usuarios de base de datos centralizados
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 14
Proceso de autenticación con EUS
ODS+
BB.DD.
configurada
para EUS
(2) Validación
credenciales de
juan.perez (1) Conexión
juan.perez/pwd
(4) Petición de Enterprise
Roles de juan.perez
(3) Respuesta
de juan.perez
(5) Enterprise Roles y
mapeo de roles de
juan.perez
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 15
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.
Clientes Datos sensibles:
Financieros
Cuentas bancarias
Facturación
… TRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 16
<Insert Picture Here>
Segregación de
funciones en BB.DD.
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 17
Oracle Database Vault Control de acceso y seguridad en base de datos
• Segregación de funciones y cotos de seguridad
• Asegura quién, dónde, cuándo y cómo accede a la base de datos
• Asegura los mínimos privilegios a los usuarios privilegiados
• Evita el “puenteo” de las aplicaciones y asegura el gobierno de los datos
• Permite consolidar de forma segura los datos de aplicaciones multicompañía
Compras
RR.HH.
Financiero
Responsable
de aplicación
select * from finance.customers DBA
Responsable
de seguridad
Aplicación
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 18
DBA
DBA RR.HH. HR HR
HR Realm
• DBA ve datos de RRHH select *
from HR.emp Protección contra accesos
Fin DBA Financiero
• DBA de RRHH ve Finan.
Eliminando riesgos de seguridad por consolidación de servidores
Fin Fin Realm
Pueden ser fácilmente aplicados a aplicaciones
existentes con mínimo impacto en el rendimiento
Oracle Database Vault Protegiendo aplicaciones existentes
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 19
Desarrollador DBA
Problemáticas de cuentas privilegiadas
CUSTOMERS SYS
BB.DD.
Clientes Datos sensibles:
Financieros
Cuentas bancarias
Facturación
… TRAZABILIDAD
GESTIÓN
SEGURIDAD
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 20
Enterprise User Security
Permite a usuarios no privilegiados usar las
passwords de sus LDAP/AD empresariales
para conectarse a la base de datos
Database Vault
Facilita la segregación de funciones
a todos los usuarios de la base de datos
Oracle Privileged Account Manager
Gestiona las passwords de usuarios privilegiados,
incluido SYS, SYSTEM y cuentas de aplicaciones
Soluciones complementarias
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 21
Resumen OPAM, DBV, EUS
Funcionalidad o servicio Solución Oracle
Gestionar passwords de SYS o SYSTEM OPAM
Gestionar passwords de usuarios privilegiados de aplicaciones OPAM
Gestionar password de usuarios privilegiados de DB Vault (e.g. SEC_ADMIN) OPAM
Gestionar passwords de Microsoft Active Directory (i.e. Servidores Windows que se
autentican en un dominio AD) OPAM
Gestión de cuentas privilegiadas de S.O. (root) o LDAP OPAM
Control de acceso de usuarios privilegiados de BBDD para limitar el acceso a datos de
aplicación y/o a operaciones de administración Database Vault
Autorización multifactor para reforzar políticas empresariales de seguridad Database Vault
Administración centralizada de los usuarios de la BD. Enterprise User Security
Mapear usuarios de BBDD a usuarios LDAP y roles de BBDD a grupos LDAP Enterprise User Security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 22
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 23
www.facebook.com/OracleDatabase
www.twitter.com/OracleDatabase
blogs.oracle.com/OracleDatabase
www.oracle.com/database/security
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 24
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 25