Escolar Documentos
Profissional Documentos
Cultura Documentos
de junio de 2013
Introduccin .................................................................................................................. 2
Descripcin de Oracle Audit Vault and Database Firewall ........................................... 3
Descripcin general de auditora y monitoreo .............................................................. 3
Audit Vault .................................................................................................................... 4
Database Firewall ........................................................................................................ 6
Cumplimiento de la poltica de la lista autorizada .................................................... 6
Cumplimiento de la poltica de la lista negra ............................................................ 6
Cumplimiento de la poltica de excepciones ............................................................ 6
Manejo de SQL no autorizado ................................................................................. 7
Informes ....................................................................................................................... 7
Informes de cumplimiento ........................................................................................ 8
Informes de actividades ........................................................................................... 8
Informes de derecho ................................................................................................ 9
Informes de auditora de procedimientos almacenados .......................................... 9
Alertas y notificaciones .............................................................................................. 10
Escalabilidad y seguridad .......................................................................................... 10
Implementacin .......................................................................................................... 11
Implementacin de la red de Database Firewall .................................................... 11
Implementacin de agentes de auditora ............................................................... 12
Creacin y administracin de polticas ................................................................... 12
Accesorios personalizados para la recopilacin de auditora .................................... 13
Integracin con soluciones de terceros ...................................................................... 13
Conclusin ................................................................................................................. 15
Introduccin
Las amenazas informticas, las leyes de privacidad y reglamentaciones conocidas como Sarbanes-Oxley
(SOX) y el Estndar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) han resultado
en que la proteccin de la informacin se convierta en un problema de prioridad superior para la
empresa. El Informe Data Breach Investigations de 2012 del Equipo de RIESGO de Verizon
determin que el 94 % de todos los datos comprometidos involucraban servidores. Este y diversos
estudios y encuestas realizadas por instituciones gubernamentales y acadmicas han concluido que un
porcentaje mensurable de violaciones de datos se han realizado usando la inyeccin de SQL,
credenciales robadas o por personal interno con acceso autorizado al sistema y sus datos. Proteger los
datos en los servidores requiere un enfoque de defensa profunda que involucra funciones tcnicas y
administrativas que cubren controles de prevencin, deteccin y administracin.
El principio de "confe pero verifique" no solo se aplica a usuarios privilegiados que tienen acceso
directo al servidor y la base de datos sino tambin a las aplicaciones que acceden a la base de datos.
La mayora de las aplicaciones en la actualidad funcionan como usuarios de alta confianza, usando
una cuenta grande de usuario para comunicarse con la base de datos, perteneciente a Oracle o no.
Esta arquitectura de aplicaciones, combinada con el nmero creciente de ataques en las bases de datos
a travs de la inyeccin de SQL o cuentas de usuarios privilegiados requiere que implementar controles
de deteccin sea una parte esencial de la estrategia general de defensa profunda.
Al implementar una solucin de monitoreo, es importante sealar que la calidad y precisin de la
informacin recopilada depender del nivel de visibilidad que la solucin tiene en las actividades del
sistema de destino. Tambin es importante comprender el riesgo asociado con los sistemas individuales
para poder determinar el nivel de visibilidad requerido para las actividades en esos sistemas. Una buena
analoga para comprender este concepto es considerar las cmaras o guardias en la entrada principal de
un edificio. Los dos pueden ver lo que sucede en el edificio, solo que uno puede detener lo que ingresa
en el edificio, pero ninguno puede proporcionar una vista completa de lo que sucedi dentro del
edificio. Si el edificio fuera una base de datos, la cmara o guardia podran monitorear las declaraciones
de SQL antes de que lleguen a la base de datos, pero el desafo es descubrir lo que sucede despus de
que SQL se ejecuta dentro de la base de datos. El SQL repetido distribuido por procedimientos
almacenados, SQL dinmico, operaciones de usuarios privilegiados, trabajos programados, ejecuciones
de activacin, nombres de usuario de aplicaciones y antes y despus de los valores de datos son
todos ejemplos de que la informacin es mayormente invisible desde fuera de la base de datos, pero
es visible al sistema de auditora dentro de la base de datos. Como resultado, el valor del monitoreo se
relaciona directamente con el nivel y calidad de la informacin recopilada y la funcionalidad disponible
de informes y alertas.
El monitoreo incluye el examen de los eventos iniciales (declaraciones de SQL) que generan los datos
de auditora. Como el monitoreo del trfico de SQL se realiza fuera de la base de datos, Database
Firewall puede decidir si debe permitirse, modificarse, bloquearse o alertarse sobre un evento. La
figura 3 muestra un ejemplo de un informe donde se bloquea un intento de inyeccin de SQL.
Audit Vault
Audit Vault es el repositorio central, altamente escalable y seguro que almacena los datos
consolidados de auditora y los registros de eventos generados por Database Firewall. Audit Vault
es la plataforma central para informar, alertar y para la administracin de polticas. Usando agentes
ligeros, los datos de auditora se transfieren del sistema de destino y luego opcionalmente se eliminan
del sistema de destino. Audit Vault puede consolidar informacin de auditora de todas las fuentes de
bases de datos y puede extenderse a fuentes del cliente, incluidas tablas/archivos de aplicaciones en
4
Usando la consola de Audit Vault, se identifican mltiples objetivos (Figura 5). La consola luego
se usa para administrar las polticas de Database Firewall, programar y personalizar los informes,
configurar la aprobacin de informes y configurar las alertas.
Figura 5: Consola de Oracle Audit Vault and Database Firewall que muestra
objetivos protegidos
Database Firewall
Database Firewall es el componente de monitoreo de la red fuera de la base de datos que monitorea el
trfico de entrada de SQL y acta como defensa de primera lnea contra las amenazas de inyeccin de
SQL y otras declaraciones no autorizadas de SQL. Database Firewall monitorea el acceso a los datos,
exige el cumplimiento de las polticas de acceso, destaca anormalidades y ayuda a proteger contra
ataques basados en red desde fuera o dentro de la organizacin. A diferencia de los firewalls
tradicionales de SQL que se basan en identificar SQL fuera de la poltica usando excepciones regulares,
Oracle Database Firewall aplica polticas que usan un motor sofisticado de anlisis de gramtica que
proporciona la escalabilidad, precisin y simplicidad de administracin requerida.
Las organizaciones pueden elegir implementar Database Firewall en el modo de monitoreo activo para
proteger sus activos de la base de datos o en modo de monitoreo pasivo para alertar al personal de
operaciones de seguridad sobre actividades inesperadas y/o auditora adicional para cubrir los requisitos
de cumplimiento. En el modo de monitoreo masivo, Database Firewall observa el trfico de la base de
datos y analiza las interacciones de SQL. La informacin de Database Firewall se registra en Audit
Vault, permitiendo que los informes incluyan informacin observada en la red junto con informacin
de auditora de la base de datos, sistemas operativos y directorios.
En el modo de monitoreo activo, Database Firewall intercepta de forma trasparente el trfico de SQL
que proviene de clientes de la base de datos que actan como firewall de la capa de aplicaciones, analiza
la seguridad de la carga de SQL en paquetes de TCP antes de reenviarla a la base de datos. Los ataques
que incluyen inyeccin de SQL pueden bloquearse comparando el SQL de entrada contra la lista
aprobada de SQL de aplicaciones. El soporte para polticas basadas en la lista autorizada, lista negra y
lista de excepciones ofrece un alto grado de flexibilidad en la implementacin.
DECLARACIN SUSTITUIDA
RESPUESTA DE LA BASE DE
DATOS (RESULTADO)
No se ha encontrado ningn
registro
SELECCIONAR * DE aaabbbccc;
ACTUALIZAR tbl_accounts
SELECCIONAR CONJUNTO
DOBLE 'Fred';
Tabla 1: Ejemplos de sustitucin de declaraciones de SQL en Oracle Audit Vault and Database
Firewall
Informes
Los informes de Oracle Audit Vault and Database Firewall pueden usarse para monitorear un amplio
rango de actividades, incluida la actividad de usuarios privilegiados en el servidor de la base de datos,
cambios a las estructuras de la base de datos y datos en declaraciones entrantes de SQL en la red. Los
informes pueden mostrar informacin consolidada de auditora de las bases de datos, sistemas
operativos y directorios, proporcionando una imagen completa de las actividades en la empresa.
Asimismo, los informes pueden incluir informacin sobre funciones y privilegios de administracin
de cuentas de la base de datos, administracin de objetos y cambios a procedimientos almacenados.
Los auditores pueden acceder a informes interactivamente a travs de una interfaz web en la
Consola del Auditor, o a travs de archivos de informe en PDF o XLS. La exploracin interactiva
fcil de usar se basa en la tecnologa Oracle Application Express, con capacidad de crear cuadros y
grficos con cdigos de colores. Las columnas de informe pueden clasificarse, filtrarse, reordenarse,
7
agregarse o eliminarse. Las reglas pueden destacar automticamente filas especficas para que los
usuarios puedan detectar rpidamente una actividad sospechosa o no autorizada.
Las definiciones de los informes en PDF y XLS pueden usarse para programar la generacin
automtica de informes. Los informes pueden programarse y entregarse por medio de documentos
adjuntos en un correo electrnico o URL. Tambin pueden definirse informes que requieren la
aprobacin de mltiples auditores. Los usuarios pueden utilizar Oracle BI Publisher para crear
nuevas plantillas de informes en PDF o XLS o personalizarlas para cumplir con requisitos especficos
de cumplimiento y seguridad. Asimismo, el esquema del repositorio de Audit Vault es documentado,
permitiendo la integracin con soluciones de informes de terceros.
Informes de cumplimiento
Los informes estndar de evaluacin de auditora listos para usar se clasifican para ayudar a cumplir
con reglamentaciones estndar tales como el Estndar de Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI-DSS), la Ley Gramm-Leach-Bliley (GLBA), la Ley de Portabilidad y
Responsabilidad de Seguros de Salud (HIPAA), la Ley Sarbanes-Oxley (SOX) y la Ley de Proteccin
de Datos de la Unin Europea (DPA).
Figura 6: Informes de cumplimiento incorporados en Oracle Audit Vault and Database Firewall
Informes de actividades
Los informes de actividades cubren temas tales como inicios de sesin fallidos, cambios a las tablas
de aplicaciones, cambios al esquema de la base de datos o derechos de usuario (consulte la Figura 7).
Por ejemplo, si desea auditar cada vez que un usuario realiza una declaracin de SQL de lenguaje de
definicin de datos (DDL) como ANULAR o ALTERAR, el Informe de cambios al esquema de la
base de datos predefinido destaca filas de ese usuario en particular y desglosa los detalles de eventos
individuales. Tambin puede obtener una descripcin de todos los eventos de auditora que pueden
filtrarse incluso ms por sistema de destino, usuario, operacin, hora, etc.
Figura 7: Informes de actividad incorporados en Oracle Audit Vault and Database Firewall
Informes de derecho
Los informes de derecho describen los tipos de acceso que los usuarios tienen a Oracle Database.
Proporcionan informacin sobre los usuarios, funciones, perfiles y privilegios usados. Estos informes
son tiles para seguir el acceso innecesario a los datos, encontrar privilegios duplicados y simplificar el
otorgamiento de privilegios. Despus de generar una instantnea del derecho, puede comparar
diferentes instantneas para descubrir cmo la informacin del derecho ha cambiado a lo largo del
tiempo. Esto es particularmente til para identificar el cambio de un nivel inicial de derechos ya
aprobados para la base de datos.
Alertas y notificaciones
Audit Vault ofrece la capacidad de detectar y alertar sobre actividades que pueden indicar intentos
de obtener acceso no autorizado y/o abusar de los privilegios del sistema. Las polticas de Database
Firewall pueden configurarse para generar alertas sobre la actividad en la red, proporcionando un
control de deteccin con advertencia temprana para actividad maliciosa potencial. Asimismo Audit
Vault monitorea continuamente los eventos recopilados, evaluando las actividades en funcin de las
condiciones definidas de alerta. Las alertas pueden asociarse con cualquier evento de la base de datos
que incluya eventos del sistema tales como cambios a tablas de aplicaciones, la creacin de usuarios
privilegiados o eventos en que alguien intenta acceder a informacin de negocios sensible y es
bloqueado por una poltica de Oracle Database Vault.
Como se muestra en la Figura 8, las alertas tambin pueden configurarse para que se basen en
umbrales y en plazos de tiempo. Por ejemplo, si ocurren 10 intentos fallidos en el inicio de sesin en
un plazo de 1 minuto, posiblemente indicando un ataque de fuerza bruta, se genera una alerta.
La interfaz de Audit Vault proporciona resmenes grficos de las alertas. Incluyen un resumen de la
actividad de alertas y fuentes principales por nmero de alertas. Los usuarios pueden hacer clic en los
grficos resumidos y acceder a un informe ms detallado. Para los fines de los informes, las alertas
pueden agruparse por fuente, categora de evento y gravedad (advertencia o crtico).
Escalabilidad y seguridad
Los datos de auditora son un registro importante de la actividad de negocios, y deben protegerse
contra modificaciones para asegurar la integridad de los informes e investigaciones. Audit Vault
almacena datos de auditora en un repositorio seguro construido usando la tecnologa de bases de
10
datos de Oracle lder en la industria. La transferencia puntual de datos de auditora desde sistemas de
origen a Audit Vault Server es esencial para cerrar la ventana a intrusos que pueden intentar modificar
los datos de auditora y cubrir sus huellas. Audit Vault puede configurarse para transferir datos de
auditora en casi tiempo real. Audit Vault tambin puede configurarse para cifrar datos durante la
transmisin.
El repositorio se construye en una base de datos incorporada de Oracle Enterprise Edition que
incluye numerosas tecnologas de Oracle, incluida la compresin, particin, cifrado y controles de
usuarios privilegiados. El uso de la compresin es particularmente importante para el almacenamiento
optimizado de datos consolidados. La combinacin de estas tecnologas y la base de datos Oracle
Enterprise Edition resulta en un repositorio con escalabilidad masiva.
Un nico Audit Vault puede escalar para admitir cientos de agentes de auditora y Database Firewalls,
y cada uno de ellos a su vez puede alojar mltiples caminos de auditora y cientos de bases de datos
correspondientes. La consola integrada del administrador puede configurar todo el sistema, monitorear
la implementacin, arrancar/apagar Database Firewalls y agentes, configurar la operacin del Database
Firewall HA y administrar las operaciones de copia de seguridad y restablecimiento.
La interfaz de Audit Vault admite dos amplias categoras de usuarios: Auditores y administradores.
Los auditores configuran las polticas de auditora y monitoreo, definen, generan y acceden a informes
de auditora y alertas. Los administradores configuran ajustes bsicos de la red y el servidor para los
objetivos protegidos, arrancan y detienen agentes y Database Firewalls, y configuran y monitorean la
operacin de Audit Vault Server. Los administradores no tienen acceso a la informacin de auditora.
Dentro de las dos categoras de funciones, puede definirse una posterior separacin de deberes.
Puede asignarse un subconjunto de activos protegidos a los auditores y administradores individuales,
asegurando que pueda implementarse un nico repositorio para admitir a toda una empresa que posee
mltiples organizaciones, subsidiarias o regiones geogrficas. Las autorizaciones detalladas son
particularmente importantes cuando la informacin puede cubrir mltiples pases con diferentes
reglamentaciones sobre privacidad y requisitos de puerto seguro.
Implementacin
Implementacin de la red de Database Firewall
Database Firewall puede implementarse como un puente de red transparente, simplemente insertado
en la red en un segmento entre los clientes de la base de datos/servidores de aplicaciones y las bases
de datos protegidas (como se muestra en la figura 10). Esta arquitectura de puente 'en lnea' no
requiere cambios de configuracin a la base de datos, aplicaciones o la misma base de datos, y
proporciona la flexibilidad para un monitoreo activo y pasivo. Si solo se requiere un monitoreo pasivo
de la actividad de la base de datos, tambin es posible reenviar el trfico a Database Firewall usando el
puerto de expansin.
En escenarios donde es difcil agregar un nuevo puente de red, o si los servidores de la base de datos
se encuentran en algunos lugares remotos, Database Firewall tambin puede configurarse como proxy
de forma tal que todo el trfico al servidor de la base de datos se dirija a travs de Database Firewall.
Esto requiere una direccin de IP/puerto de Database Server en el cliente de la base de datos o en la
aplicacin a cambiar a la direccin de IP/puerto para el proxy de Database Firewall, junto con
cambios al receptor de la base de datos para rechazar las conexiones directas. La mayora de los
11
interruptores de red empresarial y firewalls tradicionales tambin pueden usarse para redirigir el trfico
de la base de datos en un puerto de proxy de Oracle Database Firewall, permitiendo que el trfico de
SQL sea protegido sin cambios a los clientes de la base de datos o aplicaciones. El firewall de una base
de datos dada puede operar como puente transparente para algunas bases de datos y como proxy para
otras.
Database Firewall admite un agente del lado del servidor local, solo de monitoreo para garantizar la
flexibilidad en la eleccin de un punto de red en que se controla el trfico. Host Monitor, parte del
agente de auditora, captura el trfico de SQL que llega al servidor de la base de datos y lo reenva de
forma segura a Database Firewall. Puede usarse para monitorear de forma remota servidores de base
de datos ejecutados en plataformas Linux y Windows.
Firewall puede analizar todas las declaraciones capturadas de SQL dentro de un plazo de tiempo para
que puedan especificarse polticas apropiadas. Tambin permite que se asocien factores tales como
nombres de usuario, direcciones de IP, programas del cliente y hora del da con polticas para
declaraciones de SQL.
Audit Vault puede definir centralmente y proporcionar ajustes de auditora para las bases de datos de
Oracle. Esto proporciona a los auditores internos y a seguridad de TI una forma mucho ms sencilla
de administrar la configuracin de auditora en toda la empresa y demostrar el cumplimiento y
controles repetibles a los auditores externos.
14
Conclusin
Oracle Audit Vault and Database Firewall ayuda a las organizaciones a aumentar la seguridad
monitoreando de forma proactiva la actividad de la base de datos en la red y dentro de la base de
datos, protegiendo contra las amenazas de inyeccin de SQL y automatizando la consolidacin de los
datos de auditora en un repositorio seguro y escalable. Los amplias capacidades de informe y alerta
proporcionan a los auditores y al personal de seguridad acceso a informacin detallada y alertas de
advertencia temprana sobre actividad maliciosa potencial. Pueden controlarse fuentes ms all de las
bases de datos, con soporte listo para usar para la consolidacin de datos de auditora de diferentes
sistemas operativos y servicios de directorio. Una arquitectura extensible de accesorios permite que se
agreguen fuentes personalizadas de auditora al marco de recopilacin, permitiendo acumular datos de
auditora especficos de las aplicaciones y generar informes conjuntos con otros datos de eventos en el
repositorio. Los controles de deteccin y prevencin para las bases de datos pueden utilizarse de
acuerdo con los requisitos de seguridad de bases de datos pertenecientes y no pertenecientes a Oracle.
15
Oracle est comprometida con el desarrollo de prcticas y productos que ayuden a proteger el medio ambiente
Copyright 2012, Oracle y/o sus filiales. Todos los derechos reservados. Este documento se proporciona nicamente con fines
informativos y su contenido est sujeto a cambios sin previo aviso. No se garantiza que este documento est libre de errores, ni
Autor: Oracle
sujeto a ninguna otra garanta o condicin, ya sea formulada verbalmente o implcita en la ley, incluidas garantas y condiciones
implcitas de comerciabilidad o aptitud para un propsito especfico. En especial, excluimos cualquier responsabilidad con respecto
a este documento y tampoco se establece una relacin contractual directa o indirectamente mediante este documento. Este
Oficinas centrales
mundiales de
documento no se puede reproducir ni transmitir de cualquier forma o por cualquier medio, electrnico o mecnico, para cualquier
propsito, sin nuestro permiso previo y por escrito.
Oracle y Java son marcas registradas de Oracle y/o sus filiales. Otros nombres pueden ser marcas comerciales de sus respectivos
propietarios.
EE. UU.
Consultas a nivel mundial:
Telfono:
+1.650.506.7000
Fax: +1.650.506.7200
oracle.com
Intel e Intel Xeon son marcas comerciales o marcas comerciales registradas de Intel Corporation. Todas las marcas comerciales de
SPARC se usan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International, Inc. AMD,
Opteron, el logotipo de AMD y el logotipo de AMD Opteron son marcas comerciales o marcas comerciales registradas de Advanced
Micro Devices. UNIX es una marca comercial registrada de The Open Group. 0612