Oracle Advanced Security es una opción de seguridad de la BD para Oracle Database 11g. Liberada desde la versión Oracle8i, Oracle Advanced Security combina capacidades de Cifrado en red, base de datos y autenticación fuerte todos juntos para ayudar a resolver los retos de las compañías en cuanto a requerimientos de privacidad cumplimiento:
1.
Cifrado transparente de datos TDE.
2.
Cifrado de Red
3.
Autenticación fuerte
TDE (Transparent Data
Encryption)
TDE está diseñado para proveer a los clientes
la habilidad de cifrar de manera transparente dentro de la base de datos sin
impactar a las aplicaciones existentes. Retorna los datos en formato Cifrado podría
impactar a las aplicaciones existentes. TDE provee la ventaja de Cifrar sin el
impacto asociados a soluciones tradicionales de base de datos que típicamente
requieren triggers y vistas.
Oracle Database
Vault puede ser
usado para proteger los datos de las aplicaciones ante interacciones del DBA y
otros usuarios privilegiados además de implementar robustos controles sobre el
acceso a la base de datos y la aplicación.
TDE no soporta Cifrado de columnas con
restricciones en llaves foráneas. Esto se debe al hecho de que cada tabla tiene
su propia y única llave de Cifrado.
Los pasos para la configuración de Oracle TDE
son los siguientes:
- Identifica aquellas columnas que contienen datos sensibles.
- Verifica que el tipo de dato soporta TDE.
- Verifica que el dato no es parte de la clave foránea.
- Cifra los datos nuevos y los ya existentes.
Identificar los datos
sensitivos
Identificar
información relacionada con datos PII (Personally Identifiable Information)
tales como números de seguridad social y tarjetas de credito, se sugiere comenzar
por una sencilla técnica en la que es fácil realizar búsquedas en el
diccionario de datos de Oracle para encontrar nombres de columnas y tipos de
datos que sean frecuentemente usados para almacenar esa información..
SQL> select
column_name, table_name, data_type from dba_tab_cols where column_name like
'%SOCIAL%' or column_name like '%SSN%'
or column_name like '%SECNUM%' or column_name like "%SOC%' and
owner='<owner>';
Verificar soporte de
datos TDE
TDE
soporta la mayoría de los tipos de datos más comunes usados en la base
de datos, de los cuales se incluyen:
- VARCHAR2
- CHAR
- DATE
- NUMBER
- NVARCHAR2
- NCHAR
- RAW
- RAW SECUREFILES (LOBS)
- BINARY_DOUBLE
- BINARY_FLOAT
SQL> create index cust_idx on customers (credit_card);
Cuando
una columna indexada está para ser cifrada, se recomienda primero hacer drop de
los índices existentes, cifrar la columna y finalmente reconstruir los
índices.
ORACLE DATAMASKING
Las organizaciones tienen la necesidad de
compartir los datos de producción con los usuarios internos y externos para
varios fines de negocio, como las pruebas de aplicación. Con Data Masking Pack,
las organizaciones ahora pueden compartir la información interna de manera segura,
y con los socios de negocio, y seguir cumpliendo con las regulaciones del
gobierno. Los administradores de base de datos y seguridad de la información
pueden mejorar su productividad al eliminar los procesos manuales y aplicar
políticas de seguridad de la información a sus organizaciones.
¿Qué es para Oracle el concepto de Datamasking?
Oracle Enterprise Manager Data Masking Pack
brinda una solución completa y fácil de utilizar para compartir los datos de
producción con las entidades internas y externas al tiempo que se evita que ciertas
partes sensibles o confidenciales de la información sean reveladas a entidades
no autorizadas
Data Masking y
Cumplimiento Regulatorio
Resguardar los datos de producción y evitar
la filtración de información confidencial o sensible a usuarios no productivos
se ha vuelto un imperativo corporativo para todas las organizaciones– gracias
al giro de regulaciones globales que gobiernan la privacidad de datos.
Las organizaciones siempre han mantenido la información confidencial, personalmente identificable o sensible en sus bases de datos de producción. Estas organizaciones deben proteger el uso y la distribución de la información en cumplimiento con las regulaciones, o arriesgarse a las multas y penalidades que implica la violación a estas leyes sobre privacidad de datos. Estas multas y penalidades pueden ser de miles de dólares por día. En consecuencia, ninguna organización puede permitirse violar estas leyes y arriesgar la indigna publicidad causada por violaciones no autorizadas a los datos.
- La Ley Sarbanes Oxley de 2002 en los EE. UU.
- La Ley de Instrumentos Financieros (FIEL) de Japón (también denominada J‐SOX) brinda mejores estándares sobre los controles internos para la información corporativa.
- La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996 en los EE.UU.
- La Directiva sobre la Protección de Datos en la Unión Europea son parte de las leyes globales que rigen la privacidad de los datos personales relacionados con los individuos.
- Incluso los procesadores de pagos con tarjeta de crédito han adoptado los estándares de la Industria de Tarjetas de Pago (PCI) respecto del uso y la distribución de información sobre tarjetas de crédito.
Las organizaciones siempre han mantenido la información confidencial, personalmente identificable o sensible en sus bases de datos de producción. Estas organizaciones deben proteger el uso y la distribución de la información en cumplimiento con las regulaciones, o arriesgarse a las multas y penalidades que implica la violación a estas leyes sobre privacidad de datos. Estas multas y penalidades pueden ser de miles de dólares por día. En consecuencia, ninguna organización puede permitirse violar estas leyes y arriesgar la indigna publicidad causada por violaciones no autorizadas a los datos.
Oracle Data Masking Pack
Oracle Data Masking Pack puede ayudar a las organizaciones a cumplir con las leyes de privacidad y confidencialidad al enmascarar los datos sensibles o confidenciales en los entornos de desarrollo, prueba o staging.
Data Masking Pack utiliza un proceso irreversible para reemplazar los datos sensibles con datos que parecen reales pero que están cancelados sobre la base de reglas de enmascaramiento, y garantiza que los datos originales no puedan ser recuperados ni restaurados. Oracle Data Masking Pack ayuda a mantener la integridad de la aplicación mientras enmascara los datos.
Definición de
Enmascarado de datos
Las actuales aplicaciones empresariales
tienen esquemas de base de datos muy complejos que contienen cientos o miles de
objetos de base de datos. Los administradores tienen la desalentadora tarea,
que a su vez consume mucho tiempo, de identificar todas las tablas y columnas
que contienen información confidencial o sensible, y organizarlas en los
formatos adecuados de enmascaramiento. Afortunadamente, Data Masking Pack
facilita esta tarea mediante la función de búsqueda incorporada que permite que
el administrador de seguridad de la información consulte todo el diccionario de
datos a fin de identificar las columnas o tablas potenciales que contienen los
datos sensibles.
Proceso de Enmascarado de datos
Antes de iniciar el proceso de
enmascaramiento, Data Masking Pack realiza una serie de pasos de validación
para garantizar que el proceso de enmascaramiento de datos prosiga hacia un fin
exitoso sin errores. Algunas de las verificaciones que realiza incluyen validar
los formatos de enmascaramiento. Este es un paso necesario en el proceso de
enmascaramiento de datos para garantizar que los formatos de enmascaramiento
elegidos cumplan con los requerimientos dev integridad de las aplicaciones y la
base de datos. Estos requerimientos pueden incluir la generación de valores
exclusivos de la columna que se enmascara debido a restricciones de exclusividad
o la generación de valores que cumplen con los requisitos de tipo y longitud de
columna.
Data Masking Pack utiliza un mecanismo
altamente eficiente y sólido para crear datos enmascarados. Data Masking
realiza operaciones en bloque para reemplazar con rapidez la tabla que contiene
datos sensibles por una tabla idéntica que contiene datos enmascarados, y reteniendo
al mismo tiempo las restricciones de la base de datos original, estructuras
asociadas de acceso e integridad referencial, como ÍNDICES, PARTICIONES y
permisos de acceso, como GRANTs.
A diferencia de los procesos de
enmascaramiento que son tradicionalmente lentos debido a que realizan
actualizaciones de tabla, Data Masking Pack aprovecha las optimizaciones
incorporadas en la base de datos para desactivar el ingreso a la base de datos
y lograr una ejecución en paralelo para crear rápidamente un reemplazo
enmascarado de la tabla original. La tabla original que contiene datos
sensibles se elimina completamente de la base de datos y ya no es
accesible.
Los administradores de base de datos cuentan
con la flexibilidad de programar el proceso de enmascaramiento en una ventana
adecuada para el mantenimiento, de manera que el proceso de enmascaramiento
puede iniciarse justo después de que se haya clonado la base de datos de producción
en un entorno staging.
Para los DBA avanzados, Data Masking Pack proporciona la opción de guardar el proceso de enmascaramiento como un script de manera que se pueda personalizar más adelante, de acuerdo con las necesidades de su organización.
Para los DBA avanzados, Data Masking Pack proporciona la opción de guardar el proceso de enmascaramiento como un script de manera que se pueda personalizar más adelante, de acuerdo con las necesidades de su organización.
No hay comentarios:
Publicar un comentario
Por favor deja tu comentario, es valioso.