PDF de programación - Informe Técnico sobre Oracle Advanced Security

Informe Técnico sobre Oracle Advanced Security
Informe Ejecutivo de Oracle
Junio de 2007



Informe Técnico sobre Oracle Advanced Security

INTRODUCCIÓN
GENERALIDADES SOBRE LA ENCRIPTACIÓN DE ORACLE DATABASE
ENCRIPTACIÓN TRANSPARENTE DE DATOS
Beneficios de la Encriptación Transparente de Datos
Generalidades sobre la Administración de Claves
PASOS DE IMPLEMENTACIÓN
Activar la Clave Maestra
Abrir Oracle Wallet
Cambiar la Clave Maestra
Cambiar la Contraseña Wallet
Identificar datos sensibles
Verificar el soporte TDE de tipos de datos
Controlar el Uso de Claves Externas
Encriptación de Datos mediante el Uso de TDE
Cambiar la clave de Tablas/Columnas
Mejores Prácticas al Encriptar por Primera Vez los Datos
ENCRIPTACIÓN DE BACKUP CON RMAN
Modos de Encriptación RMAN
Encriptación Transparente de Backups
Backups Encriptados por Contraseña
Backups Encriptados con modo dual
MEJORAS EN LA ENCRIPTACIÓN TRANSPARENTE DE DATOS
Soporte de Tipos de Datos Adicionales
Encriptación del Espacio de Tabla
Protección de Clave Maestra para Módulos de Seguridad de Hardware (HSM)
Encriptación DataPump
Soporte de Oracle Streams y Logical Standby
ENCRIPTACIÓN DE RED
Encriptación Estándar del Sector e Integridad de Datos
SSL
Seguridad JDBC
Fácil Configuración, Ningún Cambio en sus Aplicaciones
Buenos Servicios de Autenticación para Oracle Database 10g
Autenticación Kerberos
Mejoras en Kerberos
Soporte PKI
Soporte PKCS#12
Soporte PKCS#11, Tarjetas Inteligentes/Módulos de Seguridad de Hardware
Autenticación PKI para Usuarios Empresariales de Oracle Database 10g
Wallets Almacenadas en Oracle Internet Directory
Soporte de Certificados Múltiples
Sólida Encriptación Wallet
RADIUS (Servicio Dial-in para Usuarios Remotos)
RESUMEN

3
3
4
5
5
6
7
7
7
7
7
7
8
8
8
8
9
9
9
10
10
10
10
10
10
11
11
11
11
12
12
12
12
13
13
13
13
14
14
14
14
14
14
16

Informe Técnico sobre Oracle Advanced Security - Página 2



Informe Técnico sobre Oracle Advanced Security 11g

INTRODUCCIÓN
Operar en el actual entorno global de negocios plantea varios desafíos de seguridad
y cumplimiento. Los beneficios económicos de la subcontratación deben
relacionarse con protecciones adecuadas para resguardar la propiedad intelectual y la
información relacionada con la privacidad. En los últimos años, se han producido
varios incidentes de robo de identidad y fraudes de tarjetas de crédito, lo cual dio
como resultado daños multimillonarios. La protección contra este tipo de amenazas
requiere soluciones de seguridad transparentes en diseño. Las universidades y
organizaciones de salud están fortaleciendo la seguridad en cuanto a la información
personalmente identificable (PII), como los números de seguridad social, mientras
los minoristas trabajan para cumplir con los requerimientos PCI-DSS. Oracle
Advanced Security brinda una seguridad transparente, basada en estándares, que
protege los datos en la red, en el disco y en los medios de backup.

GENERALIDADES SOBRE LA ENCRIPTACIÓN DE ORACLE DATABASE
La encriptación es un componente clave del principio defensa-en-profundidad y es
importante para proteger los datos en tránsito y en reposo. Oracle primero introdujo
las API para la encriptación de base de datos en Oracle8i. Actualmente, las API para
encriptación de base de datos Oracle son utilizadas por muchos clientes para
encriptar los datos de aplicaciones sensibles. Lograr la transparencia y utilizar una
API de encriptación requiere la incorporación de llamadas de función dentro de la
propia aplicación o el uso de triggers de base de datos previamente insertados.
También se pueden necesitar visualizaciones de las aplicaciones para decodificar los
datos antes de que lleguen a la aplicación. Asimismo, la administración de claves
debe manejarse de manera programática.

Oracle Advanced Security Transparent Data Encryption (TDE), primero
introducido en Oracle Database 10g versión 2, es la solución más avanzada del
sector para la encriptación. TDE ofrece administración clave y transparencia
completa de encriptación de datos de aplicaciones sensibles. El proceso de
encriptación de base de datos es activado mediante el uso de comandos DDL,
eliminando por completo la necesidad de cambios en las aplicaciones, la
administración programática de claves, los triggers de base de datos y las
visualizaciones.



Informe Técnico sobre Oracle Advanced Security - Página 3



Característica del

paquete

DBMS

DBMS CRYPTO

OBFUSCATION
TOOLKIT (Oracle

8i y superior)

SE & EE

(Oracle Database 10g

R1 y superior)

SE & EE

Oracle Advanced

Security Transparent
Data Encryption
EE (única opción)

Algoritmos
criptográficos
Planillas para
completar
Modos de
encadenamiento
para el cifrado de
bloques
Algoritmos
criptográficos hash

DES, 3DES

Sin soporte

CBC

MD5

DES, DES, AES, RC4,
3DES_2KEY(1)
PKCS5, ceros

3DES, AES (128, 192 y
256 bits)
PKCS5(2)

CBC, CFB, ECB, OFB

CBC(2)

SHA-1, MD4(1), MD5(1)

SHA-1(2)

Algoritmos hash
con clave (MAC)

Sin soporte

HMAC_MD5,
HMAC_SH1

No disponible

Generador
criptográfico de
números
pseudoaleatorios

Tipos de base de
datos

RAW, VARCHAR2

RAW, NUMBER,
BINARY_INTEGER

No disponible

RAW, VARCHAR2

RAW, CLOB, BLOB

Todos menos: OBJ., ADT,
LOB

1) Ofrecido para la compatibilidad con versiones anteriores
2) Utilizado internamente, no disponible para desarrolladores


Tabla 1. Generalidades sobre la Encriptación de Oracle Database



ENCRIPTACIÓN TRANSPARENTE DE DATOS
TDE encripta los datos antes de que se escriban en el disco y los decodifica antes de
que vuelvan a la aplicación. El proceso de codificación y decodificación es realizado
en el nivel SQL, de manera completamente transparente para las aplicaciones y los
usuarios. Los backups subsiguientes de los archivos de base de datos en disco o
cinta tendrán los datos de aplicaciones sensibles encriptados. En forma opcional,
TDE puede utilizarse junto con Oracle RMAN para encriptar toda la base de datos
Oracle durante el backup a disco.



Remains Encrypted
On Backup Media

Transparently

Transparently

Decrypted

Information

Figura 1. Generalidades sobre la Encriptación Transparente de Datos

Data

Data

Encrypted



Informe Técnico sobre Oracle Advanced Security - Página 4



Beneficios de la Encriptación Transparente de Datos


1. Administración incorporada de claves

2. Encriptación transparente de columnas de aplicaciones sensibles

3. Encriptación transparente de espacios de tabla (Nuevo en 11g)

4. Encriptación transparente de Secure Files/LOBS (Nuevo en 11g)

5. Integración con el Módulo de Seguridad de Hardware (HSM) (Nuevo en 11g)


Generalidades sobre la Administración de Claves
Automáticamente, TDE crea una clave de encriptación cuando se encripta una
columna de la tabla de aplicaciones. La clave de encriptación es específica de la tabla.
Si se encripta más de una columna en una sola tabla, la misma clave de encriptación
es utilizada para todas las columnas. Cada clave de tabla se almacena en el
diccionario de datos Oracle y se encripta utilizando la clave de encriptación maestra
TDE. La clave de encriptación maestra se almacena fuera de la base de datos, en
Oracle Wallet, un archivo PKCS#12 formateado que se encripta utilizando una
contraseña suministrada por un administrador de seguridad designado o por un
DBA durante la configuración. La capacidad de almacenar la clave maestra en un
dispositivo HSM utilizando la interface PKCS#11 es nueva en Oracle Database 11g
Advanced Security.



Security DBA
opens wallet
containing
master key

Master key stored
in PKCS#12 Wallet

Master key
stored in HSM

Column keys encrypt

data in columns



or

HSMHSM

Figura 2. Arquitectura para la Administración de Claves TDE



Informe Técnico sobre Oracle Advanced Security - Página 5

PASOS DE IMPLEMENTACIÓN
Como TDE es transparente para el código de aplicación existente (no se necesitan
triggers de base de datos ni vistas), el proceso de encriptación es simple comparado
con las soluciones tradicionales de encriptación basadas en API. Los siguientes
pasos pueden utilizarse para aplicar TDE:


1. Activar la clave maestra

2. Identificar los datos sensibles que deben encriptarse (datos PII, tarjetas de

crédito)


3. Verificar si TDE brinda soporte de los tipos de datos y controlar el uso de

claves externas


4. Encriptar los datos sensibles utilizando TDE



Activar la Clave Maestra
Las claves maestras son específicas para cada base de datos. No obstante, cualquier
clave maestra puede copiarse en una base de datos secundaria siempre y cuando la
clave maestra no haya sido previamente establecida para la base de datos secundaria.
La clave maestra debe crearse antes de que una tabla de aplicaciones se encripte. La
sintaxis para activar la clave maestra es la siguiente:

SQL> alter system set key identified by “password”;

Este comando crea un wallet y utiliza la contraseña para encriptar el Wallet,
basándose en las recomendaciones del estándar PKCS#5. Oracle Wallet almacena
un historial de claves maestras de encriptación ya eliminadas y las pone a disposición
cuando los datos encriptados con una clave más antigua se vuelven a leer desde una
cinta de backup.

Abrir Oracle Wallet
El Wallet que contiene la clave de encriptación maestra debe abrirse antes de que la
base de datos pueda desencriptar las claves de tabla para encriptar o desencriptar los
datos de las apl