PDF de programación - Oracle Database 11g Versión 1 Soluciones Transparentes para la Seguridad y el Cumplimiento

Oracle Database 11g Versión 1
Soluciones Transparentes para la Seguridad y el
Cumplimiento
Informe Ejecutivo de Oracle
Junio de 2007





Oracle Database 11g Versión 1
Soluciones Transparentes para la Seguridad y el Cumplimiento

INTRODUCCIÓN
Durante los últimos diez años, han surgido varias regulaciones que imponen estrictos controles
internos y la protección de información personalmente identificable (PII). Algunos ejemplos de
dichas regulaciones incluyen Sarbanes-Oxley (SOX), PCI, HIPAA, Ley de Intercambio e
Instrumentos Financieros, Basilea II y la Directiva de la UE sobre Privacidad y
Comunicaciones Electrónicas en Europa. El continuo surgimiento de nuevas regulaciones en
todo el mundo junto con la naturaleza cada vez más sofisticada del robo de información
requiere una estricta seguridad de datos.



AMÉRICA
• Sarbanes-Oxley (SOX)
• Ley de Transferencia y Responsabilidad
de Seguros Médicos (HIPAA)
• CA SB 1386 y otras Leyes Federales de
Privacidad
• Ley de Seguridad de Datos de la Industria
de Tarjetas de Pago
• FDA CFR 21 Sección 11
• FISMA (Ley Federal de Administración de
Seguridad de la Información)

EMEA
• Directivas de Privacidad de la UE
• Ley de Sociedades del Reino Unido de
2006

APAC
• Ley de Intercambio e Instrumentos
Financieros (J-SOX)
• CLERP 9: Ley de Privacidad Corporativa y
Reforma de Auditorías (Australia)

GLOBAL
• Estándares Internacionales de
Contabilidad
• Basilea II (Banca Global)
• Pautas OECD sobre Gobierno Corporativo



Figura 1. Desafíos de Privacidad y Cumplimiento



Los estudios sobre Seguridad y Delitos Informáticos de CSI/FBI 2005 han
documentado que más del 70% de los ataques y la pérdida de datos de los sistemas
de información han sido cometidos por integrantes de la organización, es decir, por
aquellas personas por lo menos con autorización en algún nivel de acceso al sistema
y sus datos. Las soluciones transparentes de seguridad son críticas en la actual
economía global de negocios. Oracle Database 11g versión 1 brinda las capacidades
más avanzadas del sector respecto de la seguridad de los datos, con soluciones de
seguridad que funcionan de manera transparente con las aplicaciones existentes,
mientras se cumple con los requerimientos obligatorios de las regulaciones.

SOLUCIONES TRANSPARENTES DE SEGURIDAD
Las soluciones transparentes de seguridad son críticas porque históricamente la
mayoría de las aplicaciones ha dependido de la seguridad en el nivel de aplicaciones
para restringir el acceso a los datos sensibles. Los conceptos de seguridad como
privilegio mínimo y necesidad de conocimiento fueron considerados menos importantes que
la escalabilidad y la rápida implementación de nuevas aplicaciones. Internet aceleró
el desarrollo de nuevas aplicaciones para todos los aspectos del procesamiento de
negocios, dando como resultado una mejor accesibilidad, grandes ahorros de costo y
aumentos de productividad. No obstante, las regulaciones mundiales ahora

Oracle Database 11g Versión 1 Soluciones Transparentes para la Seguridad y el Cumplimiento Pag. 2

requieren controles más estrictos sobre información financiera sensible y relacionada
con la privacidad. Los productos de Oracle Database Security simplifican la
transición de la seguridad en el nivel de aplicaciones a la seguridad activada por la
base de datos, permitiendo que las organizaciones minimicen los costos relacionados
con el cumplimiento regulatorio y la implementación de estrictos controles internos.
Oracle Database Security brinda soluciones transparentes para la seguridad de
aplicaciones en las áreas críticas de administración de usuarios, control de acceso,
protección de datos y monitoreo.


User Management

• Oracle Identity Management

• Enterprise User Security



Monitoring

• Oracle Audit Vault

• EM Configuration Pack



Data Protection
• Oracle Advanced Security
• Oracle Secure Backup

Access Control
• Oracle Database Vault
• Oracle Label Security

Core Platform

Security



Figura 2. Productos de Oracle Data Security



ORACLE DATABASE 11G VERSIÓN 1 ADMINISTRACIÓN DE USUARIOS
La provisión eficiente y la no provisión de usuarios de base de datos constituyen una
parte importante de la arquitectura de seguridad empresarial. La seguridad de
usuarios empresariales de Oracle Database permite que los administradores
administren a los usuarios de base de datos en Oracle Identity Management o su
directorio corporativo utilizando Oracle Virtual Directory.

Seguridad de Usuarios Empresariales
La seguridad de usuarios empresariales permite que miles de usuarios sean
administrados centralmente en un directorio corporativo existente. Los usuarios
pueden autenticarse individualmente utilizando una contraseña, Kerberos o
credencial PKI y compartir una sola cuenta de la base de datos, simplificando así la
administración de usuarios y aumentando la seguridad. Por ejemplo, una sola cuenta
de la base de datos denominada 'Org A' podría definirse en la base de datos Oracle, y
los usuarios de la Unidad de Negocios A podrían asignarse a la nueva cuenta. La
necesidad de cuentas individuales en la base de datos se ve reducida. Se pueden crear
roles globales para SYSDBA y SYSOPER en Oracle Identity Management, lo cual es
nuevo en Oracle Database 11g versión 1. Las organizaciones con grandes cantidades
de bases de datos pueden administrar centralmente el acceso SYSDBA y SYSOPER
a varias bases de datos empresariales. La capacidad de administración para seguridad
de usuarios empresariales ha sido integrada con Enterprise Manager Database
Control, algo nuevo en Oracle Database 11g versión 1. Asimismo, Oracle
recientemente completó las pruebas de seguridad de usuarios empresariales con
Oracle Virtual Directory. Oracle Virtual Directory permite que la seguridad de
usuarios empresariales de Oracle Database trabaje con directorios corporativos
existentes como Microsoft Active Directory, simplificando drásticamente la
administración de usuarios de la base de datos Oracle.



Oracle Database 11g Versión 1 Soluciones Transparentes para la Seguridad y el Cumplimiento Pag. 3





O ra c le In te rn e t D ire c to ry

o r E x is tin g

C o rp o ra te D ire c to ry v ia
O ra c le V irtu a l D ire c to ry

V e rify

C re d e n tia ls

S Y S D B A

E n te rp ris e

U s e rs

O ra c le D a ta b a s e A u th e n tic a tio n

• P a s sw o rd o r
• K e rb e ro s o r
• P K I

S Y S D B A

A p p

O rg A

S u s a n

B o b

Figura 3. Oracle Database Enterprise User Security con

Oracle Identity Management



ORACLE DATABASE 11G VERSIÓN 1 CONTROL DE ACCESO
La Base de Datos Oracle ofrece los controles de acceso más avanzados de la
industria. Durante los últimos 30 años, Oracle ha incorporado poderosas
características para el control de acceso como Virtual Private Database y Oracle
Label Security. Cumplir con los estrictos requerimientos de control interno de las
regulaciones requiere el control de acceso a bases de datos, aplicaciones y datos
desde el interior de la base de datos y la reducción de obligaciones en el nivel de
aplicaciones.

Oracle Database Vault
Oracle Database Vault es la solución de seguridad líder más reciente del sector de
Oracle diseñada específicamente para proteger los datos de negocio para el
cumplimiento regulatorio y reducir el riesgo asociado con las amenazas internas. Ya
sea que se trate de aplicaciones cliente servidor tradicionales o de aplicaciones
basadas en la Web, Oracle Database Vault brinda controles de seguridad flexibles,
transparentes y altamente adaptables sin la necesidad de realizar cambios en las
aplicaciones. Oracle Database Vault recientemente obtuvo el premio 2007 a la
Excelencia Global en Seguridad de Base de Datos, otorgado por Info Security
Products Guide. Oracle Database Vault está disponible para Oracle Database 9i
versión 2, Oracle Database 10g versión 2 y Oracle Database 11g versión 1. Además,
Oracle Database Vault ha sido validado con las Aplicaciones Oracle PeopleSoft.
Actualmente, se encuentra en proceso la validación con otras aplicaciones, como
Oracle E-Business Suite y Siebel.



Oracle Database 11g Versión 1 Soluciones Transparentes para la Seguridad y el Cumplimiento Pag. 4

Realms

Reports

Multi-Factor
Authorization

Command
Rules

Separation
of Duty

Hardened Operating System (Recommended)

Highly Privileged User Controls

Realms
•

Prevent highly privileged users from
accessing application data

Separation of Duty
•

Control administrative actions within the
database to prevent actions that may
violate regulations and best practices

Run security related reports on Realms
and other Database Vault enforcements

Reports
•

Flexible and Adaptable Custom

Security Policies


Multi-Factor Authorization
•

Created Trusted Paths to data, defining
who, when, where and how applications,
data and databases are accessed

Command Rules
•

Enforce operational policies based on IT
Security and internal or external auditor
recommendations



Figura 4. Generalidades sobre Oracle Database Vault



Oracle Database Vault Realms
Oracle Database Vault Realms evita que los DBA, propietarios de aplicaciones y
otros usuarios privilegiados vean los datos de aplicaciones utilizando sus poderosos
privilegios. Oracle Database Vault Realms pone en marcha controles preventivos,
ayudando a reducir el impacto potencial cuando se produce una violación a los
datos, permitiendo que el DBA realice su trabajo con más eficiencia. Oracle
Database Vault Realms puede utilizarse para proteger toda una aplicación o un
grupo específico de tabla