Você está na página 1de 25

O Bom, O Mau e O Feio dos

Métodos de Segurança de
Bancos de Dados

Francisco Daffre
Diretor Técnico
Primesoft do Brasil
francisco@primesoft.com.br
www.primesoft.com.br

IDETI One Day 20 de Fevereiro de 2006


Agenda

Porque as ameaças à segurança exigem proteção dos


Bancos de Dados
Forças e falhas das várias abordagens:
Ferramentas de Encriptação dentro da Aplicação
Dispositivos sobre a Armazenagem
Solução aplicada ao Banco de Dados
Perguntas e Debate
Quem ameaça a privacidade de seus dados?

Pessoas fora do Firewall – hackers, crackers, ladrões,


espiões corporativos

Terceiros dentro do Firewall – fornecedores, parceiros,


contratados, clientes, provedores de “outsourcing”, etc

Colaboradores – autorizados, não autorizados e


descontentes
Porquê estamos vulneráveis?
A Informação é o alvo do ataque

Múltiplos pontos de ataque - rede, aplicações críticas, arquiteturas


multi-nível, e acesso web

O impacto e freqüencia das diversas correções de sistemas expõe


as vulnerabilidades

A maioria das organizações limita-se a implementar segurança de


perímetro

A segurança de redes foi desenhada para preservar recursos da


rede

Agressores experientes sabem como driblar mecanismos


tradicionais de defesa

A corrupção pode trazer um agressor para dentro de sua empresa


Elementos de Prevenção – Pessoas, Processos e Produtos

Estabelecendo políticas e procedimentos de segurança visiveis


Categorizar dados sensíveis e não sensíveis
As políticas devem ser aplicadas a TODOS os dados
A política deve ser consistente em toda a organização
Definir funções e responsabilidades para “permitir a auditoria”, checagem
periódica e balanços

Reporte e Auditoria Robustos


Fundamental para monitorar e executar a política
Focados somente na informação sensível
A Auditoria precisa ser de qualidade inquestionável

A tecnologia certa
Privilégios executados a nível de campo e usuário
Encriptação e um forte gerenciamento das chaves
Suporte a diversas aplicações e um custo compatível de implementação
Identificando ameaças para determinar a solução

Firewall Acesso Web

Acesso à rede
Aplicação

RDBMS

Ferramentas

Media / Storage
Dentro do Perímetro

Identificação/Autenticação

Controle de Acesso – proteje o caminho aos dados

Ocultação / Encriptação – proteje os dados


Obscuridade vs. Segurança

Mecanismo Qualidade Uso Razoável

Embaralhamento “Decoder Ring” Obscuridade Dados não-Sensíveis

Dígito de Controle Unidirecional, sem Obscuridade/Segurança


Situações de baixo risco,
melhor que não fazer nada
chaves
(Hashing)
Informação sensível
Encriptação Baseada em Chaves Segurança
#CC, Indentificaçòes
pessoais
Requerimentos Críticos & Práticos

Críticos
Proteger dados em uso e dormentes
Executar as políticas a nível de usuário e campo
Proteger as chaves de encriptação
Auditoria & relatórios

Práticos
Transparência a aplicações e infraestrutura
Impacto mínimo na performance
Custo Total de Propriedade (TCO) razoável
Informação disponível a todas as aplicações
Opções para Solução de Encriptação de Dados

Nível de Aplicativo – modificar aplicativos existentes


para adicionar os procedimentos de encriptação

Nível de Armazenamento – adicionar um dispositivo


físico entre o Banco de Dados e o dispositivo de
armazenamento

Nível de Bancos de Dados – software no BD e/ou


hardware anexado ao BD
Cenário
Renato Patricia Valter Patricia

1234 567

Billing ERP
12
34
567

Billing = Caseiro
RDBMS
ERP = Pacote 1234567
CSO

1234567

Storage Device
Encriptação no Nível do Aplicativo
Renato Patricia Valter Patricia

1234
1234 567

Billing #@/$^ ERP


#@
/ $^

Billing = Caseiro
RDBMS
ERP = Pacote #@/$^
Fulano CSO

Fulano #@/$^

Storage Device
Encriptação no Nível do Aplicativo
Renato Patricia Valter Patricia

1234
1234 567
?
Billing #@/$^ ERP
#@
/ $^ / $^
#@

Billing = Caseiro
ERP = Pacote
RDBMS
#@/$^
?
Fulano CSO

Fulano #@/$^
?
Storage Device
Encriptação no Nível do Aplicativo

Pré-requisitos:
Habilidade para modificar o código da aplicação
Acesso aos recursos humanos necessários
Disponibilidade de Ferramentas de Encriptação

O que faz:
Dados protegidos no BD e no Armazenamento
Dados protegidos no uso e no trânsito

Fatores a considerar :
Programação necessária em TODAS as aplicações (TCO)
Limitação do poder do Banco de Dados – indexações,
pesquisas, “stored procedures”
Todo acesso deve ser feito através da aplicação
Gerenciamento das chaves não contemplado
Encriptação no Nível de Armazenamento
Renato Patricia Valter Patricia

1234 567

Billing ERP
12
34
567

Billing = Caseiro
RDBMS
ERP = Pacote 1234 567
Fulano CSO
Dispositivo

&*)# #@/$^

Storage Device
Encriptação no Nível de Armazenamento
Renato Patricia Valter Patricia

1234 567

Billing ERP
12
34
567

Billing = Caseiro
ERP = Pacote
RDBMS
1234 567
?
Fulano CSO
Dispositivo

&*)# #@/$^

Storage Device
Encriptação no Nível de Armazenamento

Pré-requisitos
Acesso à infraestrutura

O que faz:
Proteção de Dados com boa performance
Transparente às aplicações

Fatores a considerar:
Acesso não seletivo – Uma vez obtido o acesso, a totalidade dos
dados estão expostos
Auditoria difícil
Escalabilidade comprometida
Impacto na infraestrutura
Obsolecência
Vulnerabilidade do Banco de Dados
Encriptação em Bancos de Dados
Renato Patricia Valter Patricia

1234 567

Billing ERP
#@
/
$^ 5 67
12 or ( or
34 &*

Billing = Caseiro Auditoria


RDBMS &
ERP = Pacote #@/$^&*(
CSO Relatórios

#@/$^&*(

Storage Device
Encriptação em Bancos de Dados

Pré-requisitos
Definição de uma Política de Segurança

O que faz:
Protege os dados à medida que são gravados ou lidos do
Banco de Dados
Protege os dados no sistema de arquivos usados pelo BD
Permite encriptação a nível de campo
Transparente para as aplicações

Fatores a considerar
Dados em trânsito
Dependência do Banco de Dados e do Sistema Operacional
Suporte a diversos tipos de dados
Gerenciamento de chaves contemplado
Conclusões

A informação corporativa está vulnerável a ataques internos e


externos indistintamente

Controles de acesso e perímetro não são suficientes

Dados sensíveis requerem proteção no seu núcleo

Encriptação é a melhor opção para proteger o núcleo de


informação

Uma aplicação pronta atuando no Banco de Dados oferece a mais


robusta e eficiente solução
O Secure.Data é esta solução!

Atua diretamente no Banco de Dados

Permite proteção individualizada de colunas e tabelas

Robusto gerenciamento de chaves

Centralização das políticas de segurança

Suporte aos principais Bancos de Dados

Auditoria segregada

Separação das funções de DBA, Security Officer e Auditor


Arquitetado para o uso em toda a organização
Secure.Data foi desenhado para a disseminação em toda a organização

Escalabilidade e Alta Performance


Executado no hardware do Banco de dados
Aproveita as funcionalidades e atualizações dos DB’s
Aproveita a capacidade de processamento disponível
Balanceamento de cargas, multi-processamento, multi-
servidor, multi-CPU
Nenhuma rede ligada ao hardware
Nada de limitações de rede impactando a performance
Fácil de implementar
Fácil instalação
Interface Intuitiva
Transparente aos DB’s e aplicações
Instalação centralizada para sites remotos
Não requer instalação de hardware no local, ou
administração em locais remotos
Data Security Management™
Obrigado!

Perguntas e Debate

Francisc Daffre
Diretor Técnico
Primesoft do Brasil
francisco@primesoft.com.br
www.primesoft.com.br