DB Infrastructure Technology Day

Transcription

1

2 DB Infrastructure Technology Day La sécurité au cœur de vos données Jeudi 27 janvier 2011

3 Etat des lieux Quand la crainte ne veille pas, il arrive ce qui était à craindre Lao-Tseu

4 Sécurité des données. Ou en est-on? Les faits De nombreuses études montrent la préoccupation des entreprises en ce qui concerne la sécurité des données. Il en ressort que: 2010 DATA BREACH INVESTIGATIONS REPORT Étude sur 6 années de 900 incidents de sécurité sur les données 900 millions de lignes égarées, perdues, volées Le nombre d incidents déclaré est en croissance Cette tendance va s accentuer Les budgets sécurité des données restent peu prioritaires La sécurisation des bases de données est un chantier à venir Les données dites sensibles sont peu ou mal protégées Les risques à considérer sont très divers. Perte ou vols de supports, injection SQL, comptes utilisateurs, diffusion volontaire pour tests, etc. L impact organisationnel freine l adoption de mesures draconiennes 4

5 D où viennent les pertes? Pourcentages de brèches et de données perdues 2010 Data Breach Investigations Report

6 Sécurité des données. Ou en est-on? Encore des faits Les attaques externes restent majoritaires, mais le risque de fuite massive est interne Il y a autant d incidents liés à du piratage volontaire qu à des erreurs Causes d erreurs Oublis dans les paramètres basiques de configuration de la sécurité Action maladroite sous un important facteur de stress Plus de 50 % des attaques sont faciles Internet a considérablement contribué à la diffusion du savoir faire nécessaire pour attaquer des applications utilisant des bases de données 6

7 Impact organisationnel Etre conscient de la difficulté permet de l éviter. Lao-Tseu

8 Sécurité : Le nécessaire partage des rôles Où l on commence à parler de responsabilités Pôle sécurité Responsable de la définition des politiques de sécurité et de leur mise en œuvre Pôle applications & métiers Responsable des processus métier, des données et des applications vitales pour l activité économique de la société Direction générale Direction opérationnelle Sponsor Rôles Responsabilités A : Comptable Confidentialité R : Responsable Intégrité C : Consulté Disponibilité I : Informé Contrat de service Pôle Audit & conformité Responsable des contrôles de conformité aux politiques de sécurité et aux réglementations applicables Contrôle Pôle système Responsable du maintien en conditions opérationnelles (disponibilité, performances, fiabilité) des infrastructures du système d informations

9 La sécurité des bases : Qui est concerné? Beaucoup de personnes! Pôle sécurité RSSI et adjoints, experts sécurité Pôle applications & métiers Directeur d activité, responsables d applications, responsables données, développeurs Direction générale Direction opérationnelle Sponsor Rôles Responsabilités A : Comptable Confidentialité R : Responsable Intégrité C : Consulté Disponibilité I : Informé Contrat de service Pôle Audit & conformité Auditeurs internes, externes Contrôle Pôle système Architectes, ingénieurs système, ingénieurs réseau, DBA, experts produits,

10 Sécurité des bases ORACLE Renoncez à l étude et vous n aurez aucun souci. Lao-Tseu

11 La sécurité des bases Feuille de route A : Comptable R : Responsable C : Consulté I : Informé Pôle sécurité RSSI et adjoints, experts sécurité Pôle applications, métier Directeur d activité, responsables d applications, responsables données, développeurs Pôle système Architectes, ingénieurs système, ingénieurs réseau, DBA, experts produits, Pôle Audit & conformité Auditeurs internes, externes Gestion des configurations Audit préventif Audit - traçabilité Gestion des comptes Contrôle d accès renforcé Chiffrement Anonymisation / masquage

12 Gestion des configurations Une terrasse de neuf étages commence par un tas de terre. Lao-Tseu Où est la copie de cette base? J ai fait la mise à jour sur SATURNE12?

13 Oracle Enterprise Manager Et ses packs d administration Gestion des configurations DBA, ingénieurs système ORACLE Cartographie des bases de données GRID REFERENTIEL DES COMPOSANTS DEPLOYES ET DE REGLES Détection des changements Paramètres d instance, etc. ORACLE Configuration Management Pack for ORACLE DATABASE Introspection d un environnement pour référencer les systèmes et applications Gestion de politiques de conformité out-of-box (paramétrages, traces, etc.) Détection de changements 13

14 Oracle Enterprise Manager Et ses packs d administration Gestion des configurations DBA, ingénieurs système ORACLE Operating Systems Mises à jour et création de nouveaux environnements GRID REFERENTIEL DES COMPOSANTS DEPLOYES ET REGLES DE CONFIGURATION Synchronisation avec les bases de support ORACLE ORACLE Provisioning and patch automation Pack for ORACLE DATABASE Synchronisation périodique avec les référentiels de patches du support ORACLE Automatisation (contrôlée) des processus de mise à jour, bases et O.S Prise en compte des clusters : clusterware, bases et ASM Création automatisée de nouveaux environnements O.S Linux Copies de bases de données 14

15 Audit préventif Si vous croyez savoir, vous ne savez pas. Lao-Tseu Je fais confiance à tout le monde mais je vérifie!

16 Oracle Database Firewall Première ligne de défense Audit et traces Allow Log Alert Applications Substitute Block Alerts Built-in Reports Custom Reports Policies Ce composant de sécurité se distingue par sa localisation dans l infrastructure Il se situe DEVANT les bases de données et adresse donc plus particulièrement les risques d attaque réseau Il est nécessaire dès lors que l application est largement exposée à des utilisateurs d applications WEB intra ou internet En effet, la menace N 1 identifiée par le groupe OWASP dans son rapport 2010 sur les menaces de sécurité est l injection SQL

17 Oracle Database Firewall Première ligne de défense Audit et traces Allow Log Alert Applications Substitute Block Alerts Built-in Reports Custom Reports Policies Pour contrer cette menace d injection, il existe deux méthodes Auditer les codes source de l application et s assurer qu ils respectent les bonnes pratiques de sécurité, notamment par rapport à la validation des saisies effectuées par les utilisateurs Déployer un Firewall qui va filtrer les requêtes SQL et déterminer leur éventuelle dangerosité White Lists, Black Lists, faux positifs, faux négatifs Une White List contient la liste des ordres SQL licites Une Black List celle des ordres illicites Un faux positif est un ordre SQL dangereux qu on laisse passer Un faux négatif est un ordre licite qui est bloqué par erreur Dans un système parfait, il n y a pas de faux positif ni de faux négatif ;-)

18 Oracle Database Firewall Architecture Database Firewall Audit et traces Applications HA Database Firewall Database Firewall Management Server Gestion des Firewall et des politiques de sécurité Alertes Rapports et archives Policy Analyzer Création des politiques de sécurité Un serveur permet d administrer tous les Firewall de façon centralisée. Il collecte les logs Un outil d analyse facilite la création rapide de politiques d audit Les Firewall assurent le filtrage du trafic dans deux modes possibles ( ) En écoute uniquement, sans capacité de filtrage En passerelle avec possibilité de blocage 18

19 Audit - correctif Je fais confiance à tout le monde mais je veux savoir ce qui s est passé!

20 Oracle Audit Vault Rappels sur les mécanismes d audit des bases ORACLE Audit et traces Base de données AUDIT / NOAUDIT DBMS_FGA DBA_COMMON_AUDIT_TRAIL Fichiers OS: Paramètre AUDIT_FILE_DEST AUD$ FGA_LOG$ Types d audit Standard. Ordres DDL et DML. Utilisation de privilèges, d ordres SQL, accès aux objets. Fine Grained. Apparu en version 9i Enterprise. Permet de réduire la volumétrie de l audit en ciblant les conditions de déclenchement sur des conditions précises Ou stocker l audit? Dans la base cible, en utilisant des tables dédiées Ou sur des fichiers externes SYS est toujours audité sur des fichiers 20

21 Oracle Audit Vault Surveillance et audit automatisé des bases de données Audit et traces DBA ORACLE SQL Server DB2 Diffusion des règles d audit Evènements audités Database Vault! Alertes Rapports prédéfinis Rapports ad-hoc Auditeurs SYBASE REFERENTIEL DE REGLES D AUDIT ET DATAWAREHOUSE DES EVENEMENTS Politiques d audit Sécurité Projet Administrer un référentiel de politiques d audit Diffusion des règles d audit des bases ORACLE Récupération et stockage sécurisé des évènements Gestion d alertes Rapports automatisés ou à la demande (PDF) prédéfinis ou personnalisés Attestations et annotations de ces rapports Purge des évènements lorsqu ils sont stockés en lieu sûr 21

22 Gestion des comptes Liste des comptes, droit dans vos bottes?

23 Oracle Directory Services Enterprise Users Référentiels Annuaire LDAP SunOne, Active Directory, Novell Annuaire OID ou OVD SYS, SYSTEM, DBSNMP Sécurité Projet Utilisateurs ROLES LDAP ROLES BASE cn=jreno, CONNECT authentification reno Les utilisateurs peuvent être authentifiés par la base de données sur un annuaire LDAP reno n a pas de compte dans la base mais il a un compte dans l annuaire LDAP ( OID, SunOne iplanet, Active Directory, Novell) Il peut se connecter sur la base en s identifiant sur l annuaire Les droits de chaque utilisateur peuvent aussi être gérés dans l annuaire LDAP et non dans la base Des rôles dans la base de données peuvent être affectés aux utilisateurs, individuellement ou par appartenance à des groupes LDAP Ces mécanismes peuvent être étendus au rôle DBA et en 11g a SYSDBA 23

24 Contrôle d accès renforcé Hier soir le boss m a demandé si les DBAs avaient accès aux carnet d ordres Contrôler les accès des super utilisateurs! Plus facile à dire qu à faire! Mission impossible?

25 Oracle Database Vault Garder sous contrôle les comptes à pouvoirs DSA Data Security Administrator Contrôles d accès DBA Sécurité Projet SECURITE RH SYS, SYSTEM Séparation des responsabilités entre les administrateurs techniques, les responsables d application et les responsables de la sécurité Les DBAs gèrent techniquement les bases Le projet et les DSAs gèrent l accès aux données sensibles Couplé au chiffrement, assure une protection totale des données sensibles Contrôle systématique des tentatives d accès par privilèges SPECIAUX Domaines de sécurité (REALM) dans une base : SYS, RH, SECURITE (DVSYS) Certifié sur les applications ORACLE et SAP 25

26 Oracle Database Vault Gérer des contrôles d accès contextuels DSA Data Security Administrator Contrôles d accès Poste interne Poste mobile Sécurité Projet RH jdupond Facteurs Serveur jdupond SYS Règles d accès SYS, SYSTEM Officier sécurité Projet Heure, date L accès à un domaine de sécurité (REALM), par exemple RH, est contrôlé exclusivement par son propriétaire : le DSA peut donner accès : De façon statique. Désignation explicite des ayants droits. Par exemple jdupond Ou dynamique. Utilisation de facteurs assemblés dans des règles d accès Ex : Le compte SYS accède exceptionnellement au REALM RH si la connexion est autorisée par un officier de sécurité 26

27 Oracle Database Vault Gérer des contrôles d accès à des commandes SQL DSA Data Security Administrator Contrôles d accès CONNECT JDUPOND DELETE AUD$ Sécurité Projet RH Règles d exécution Niveau sécurité Facteurs SYS, JDUPOND DELETE, SELECT, UPDATE, CONNECT, CREATE USER, GRANT, DROP, Serveur Heure, date Le DSA peut aussi contrôler l accès à des commandes SQL Il utilise pour cela des facteurs assemblés dans des règles d exécution Quelques exemples N exécuter les commandes SQL DDL que localement depuis un serveur Interdire les DELETE & UPDATE sur une table d audit en l absence du DSA Autoriser les connexions à une base depuis certains serveurs, dans certaines plages horaires Protéger la base des commandes DDL «dangereuses» en exploitation normale 27

28 Chiffrement Que faire des clés? Chiffrer les données, chiffrer les données! Ils croient que ça va se faire tout seul? Il nous faut un gardien des clés

29 Oracle Advanced Security Le chiffrement réseau et stockage Chiffrement réseau DBA Chiffrement des flux réseau ORACLE pour la confidentialité (AES ) Entre la base et un serveur d application JAVA,.Net, TUXEDO Entre la base et un client direct en point à point Déclaratif Avec ou sans utilisation de certificats Scellement des données pour l intégrité (SHA-1) 29

30 Oracle Advanced Security Transparent Data Encryption (TDE) Chiffrement données Base ORACLE Sécurité Projet Applications 10g / 11g Tables Tablespace, UNDO, REDO, TEMP. Chiffrement / Déchiffrement Disques Chiffrement déclaratif des données sensibles en stockage ou en cours de traitement Couverture du risque de perte physique des données ou de lecture directe des fichiers de la base sur le serveur Un utilisateur ayant accès à une table voit les données chiffrées en clair Prise en charge complète de la gestion des clés de chiffrement Algorithmes de chiffrement : AES , 3DES Certifié sur les applications ORACLE et SAP 30

31 Oracle Advanced Security Transparent Data Encryption. La gestion des clés Chiffrement données Application Table KEY (TK) Sécurité Projet CLE PRINCIPALE DATABASE Tablespace KEY (TBSK) Disques La clé principale (Master Key : MK) est stockée à l extérieur de la base Dans un fichier ou un boîtier de sécurité (HSM) Son accès est protégé à minima par la connaissance d un mot de passe Dans le cas d un HSM, une carte est également nécessaire La base sans clé principale est inutilisable La clé principale de la base chiffre les clés de chiffrement colonne ou tablespace Le pôle sécurité projet gère la clé principale. Les procédures d exploitation, de gestion d incidents, et de sauvegardes du fichier chiffré sont à définir 31

32 Anonymisation / masquage

33 Oracle Data Masking Anonymisation irréversible des données de production Anonymisation Production LAST_NAME SSN SALARY AGUILAR ,000 BENSON ,000 Sécurité Projet Non-Production LAST_NAME SSN SSN SALARY ANSKEKSL AGUILAR ,000 60,000 BKJHHEIEDK BENSON ,000 40,000 DBA Copie de la base de production ou extraction partielle avec Oracle GoldenGate Protéger les données en les transformant de façon irréversible Maintenir l intégrité référentielle de la base (explicite et implicite) Définir une bibliothèque de formats de masques et les tester AVANT TRANSFORMATION Masques prédéfinis et/ou création de masques spécifiques (fonction PL/SQL) Grouper des colonnes liées entre elles lors de la transformation Effectuer du masquage conditionnel pour traiter certaines valeurs Bibliothèque de formats de masques 33

34 En guise de conclusion Trop loin à l est, c est l ouest. Lao-Tseu

35 Par où commencer? Bien connaître pour mieux défendre 1. Construire une équipe 2. Comprendre les besoins exprimés par la PSSI et les règles de conformité 3. Connaître l environnement des bases de données, les classifier 4. Analyser leurs contenus et les classifier 5. Etablir la politique de sécurité des bases (analyse de risques) : configuration, authentification, contrôle d accès, chiffrement, détection, procédure de réponse aux attaques 6. Former, responsabiliser tous les acteurs. Communiquer 7. Définir les critères de succès, les indicateurs 8. Mesurer le niveau de sécurité régulièrement 9. Recommencer

36 La sécurité des bases A l heure de la distribution des rôles A : Comptable R : Responsable C : Consulté I : Informé Gestion des Configurations Audit préventif Audit correctif Gestion des comptes Contrôle d accès renforcé Chiffrement Anonymisation masquage Pôle sécurité RSSI, adjoints, experts sécurité C I I A A A C Pôle applications & métiers Directeur d activité, responsables d applications, développeurs R C C R R R A Pôle système Architectes, ingénieurs système, ingénieurs réseau, DBA, experts produits, A R R C C C R Pôle Audit & conformité Auditeurs internes, externes I A A R I I I

37 Sécurité des données : Défense en périmètre Un ensemble de moyens complémentaires Prévenir les attaques physiques Améliorer la gestion des comptes Renforcer le contrôle d accès Auditer Surveiller le trafic réseau Maintenir des systèmes bien configurés Transformer les données qui sortent de la production

38 Sécurité des données : Défense en périmètre Les options et produits de sécurité pour la base de données ** Options de la version Enterprise Oracle Advanced Security ** Oracle Identity Management, Oracle Directory Services Oracle Database Vault ** Oracle Label Security ** Oracle Audit Vault Oracle Total Recall ** Oracle Database Firewall Oracle Configuration Management Pack Oracle Data Masking Pack

39 Sécurité des données : Défense en périmètre Les solutions de sécurité pour la base de données Surveiller / bloquer les attaques avant qu elles n atteignent la base Auditer les bases, pour disposer d un référentiel de traces Gérer les configurations Contrôler et renforcer les accès dans la base de données Empêcher les attaques directes sur les supports physiques Masquer les données sensibles externalisées Surveiller & bloquer Auditer Contrôler les accès Chiffrer & masquer Database Firewall Audit Vault Total Recall Configuration Management Database Vault Label Security Comptes utilisateurs et annuaires Advanced Security Secure Backup Data Masking

40 Questions