Publicado el 16 de Julio del 2017
717 visualizaciones desde el 16 de Julio del 2017
222,4 KB
14 paginas
Creado hace 16a (11/06/2008)
Oracle Label Security -
Mejores Prácticas para Aplicaciones de
Gobierno y Defensa
Informe Ejecutivo de Oracle
Junio de 2007
�Oracle Label Security – Mejores Prácticas para Aplicaciones de
Gobierno y Defensa
Introducción..................................................................................................................
Etiquetas de Sensibilidad y Mediación de Acceso...................................................
Algoritmo de Lectura para Mediación de Acceso...................................................
Incorporar Oracle Label Security…..........................................................................
Paso 1: Analizar el Esquema de Aplicaciones..........................................................
Paso 2: Analizar los Niveles de Sensibilidad............................................................
Paso 3: Analizar los Grupos de Datos......................................................................
Paso 4: Analizar los Compartimentos de Datos......................................................
Paso 5: Analizar la población de usuarios.................................................................
Paso 6: Analizar las autorizaciones especiales..........................................................
Paso 7: Revisar y Documentar...................................................................................
Metodología de Análisis..............................................................................................
Implementación............................................................................................................
Etiquetar Datos Antiguos…......................................................................................
Ocultar la columna de políticas de Oracle Label Security......................................
Administración de Oracle Label Security.................................................................
Exención de Aplicación…..........................................................................................
Ajuste de Desempeño..................................................................................................
Proxy con el Comando SET_ACCESS_PROFILE...............................................
Anexo A - Oracle Label Security: Autorizaciones Especiales para Usuarios…
Anexo B - Oracle Label Security: Opciones para la Aplicación de Políticas
Anexo C - Oracle Label Security: Autorización a Usuarios…..............................
3
3
4
4
4
4
4
5
5
5
5
5
6
6
7
7
7
8
8
9
9
10
Oracle Label Security – Mejores Prácticas para Aplicaciones de Gobierno y Defensa - Pagina 2
�Oracle Label Security – Mejores Prácticas para
Aplicaciones de Gobierno y Defensa
INTRODUCCIÓN
De acuerdo con los exigentes requisitos de seguridad que pueden encontrarse en las
organizaciones con un alto nivel de seguridad, Oracle Label Security brinda
capacidades amplias y flexibles para el control de acceso basado en etiquetas (LBAC)
a fin de respaldar la implementación de aplicaciones de seguridad de múltiples
niveles (MLS) en el ámbito de gobierno y defensa. Oracle Label Security supera las
limitaciones históricas de los sistemas MLS con una amplia disponibilidad de
plataformas y controles extensivos de políticas que pueden ajustarse de acuerdo con
los entornos específicos.
Disponible para Oracle8i Enterprise Edition y superior, Oracle Label Security puede
implementarse con Oracle RAC y Data Guard para escalabilidad y alta
disponibilidad. Este informe muestra las mejores prácticas que pueden utilizarse
para incorporar Oracle Label Security en una aplicación nueva o existente.
ETIQUETAS DE SENSIBILIDAD Y MEDIACIÓN DE ACCESO
La mediación de acceso de Oracle Label Security MLS funciona al comparar una
etiqueta de sensibilidad con las autorizaciones de etiquetas asignadas a un usuario de
aplicaciones.
Security
Access
Mediation
User Label
Authorizations
Oracle Label
Top Secret
Top Secret
Secret
Secret
Confidential
Confidential
Figura 1. Generalidades sobre Oracle Label Security
Oracle Label Security – Mejores Prácticas para Aplicaciones de Gobierno y Defensa - Pagina 3
�
User
Label
Authorizations
(Database or IdM)
Sensitivity Labels
Transparent
Transparent
Access Mediation
Access Mediation
Sensitivity Labels
Assigned To Application Data
Figura 2. Generalidades sobre el Control de Acceso de Oracle Label Security
Las etiquetas de sensibilidad son fundamentales para Oracle Label Security. Las
etiquetas de sensibilidad ofrecen controles sofisticados y determinan el acceso de un
usuario de aplicaciones a los datos de aplicaciones. Las etiquetas de sensibilidad
contienen un nivel, compartimentos opcionales y grupos opcionales.
Nivel—El nivel es un componente jerárquico que denota la sensibilidad de los
datos. Una organización gubernamental típica puede definir los niveles como
confidencial, sensible y altamente sensible.
Compartimento – El componente compartimento es opcional y a veces se lo califica
como categoría y no es jerárquico. En general, se define un compartimento o más
para segregar los datos. Los compartimentos pueden definirse para un area o
proyecto de conocimiento específico, altamente sensible.
Grupo – Los grupos son similares a las categorías y también son opcionales. No
obstante, los grupos pueden tener una relación principal-secundaria (parent-child).
Asimismo, Oracle Label Security evalúa los grupos de manera diferente de los
compartimentos. La Figura 3 muestra el algoritmo de mediación de lectura para las
etiquetas de sensibilidad
La representación externa de una etiqueta utiliza los dos puntos y comas para
separar los componentes. La etiqueta de sensibilidad Sensitive: Alpha, Beta : UK
contiene el nivel Sensitive, dos compartimentos Alpha y Beta, y un grupo UK.
Internamente, Oracle Label Security utiliza un identificador numérico denominado
label tag para cada nivel de sensibilidad. Mientras que las etiquetas de sensibilidad y
los label tags (identificación de etiquetas) pueden crearse dinámicamente en tiempo
de ejecución, Oracle recomienda definir todas las etiquetas de sensibilidad y los label
tags asociados por adelantado.
Algoritmo de Lectura para Mediación de Acceso
Oracle Label Security media el acceso al comparar las autorizaciones de las etiquetas
de usuarios con un nivel de sensibilidad.
Oracle Label Security – Mejores Prácticas para Aplicaciones de Gobierno y Defensa - Pagina 4
�Data level =<
User level
NN
NN
Data has
Grps
YY
User has at
least one
Grp
YY
Data has
comps
YY
NN
YY
User has all
comps
NN
YY
NN
No
Access
Access
Figura 3. Algoritmo de Lectura de Oracle Label Security
Incorporar Oracle Label Security
El proceso de análisis es importante para el éxito de utilizar Oracle Label Security.
El etiquetado avanzado de filas requiere determinar cómo y dónde aplicar Oracle
Label Security.
Paso 1: Analizar el Esquema de Aplicaciones
Analizar la aplicación implica identificar las tablas que necesitan aplicar una política
Oracle Label Security. Esto puede lograrse mejor con la ayuda de un administrador
de aplicaciones o un desarrollador con amplios conocimientos del esquema de
aplicación. En la mayoría de los casos, un pequeño porcentaje de las tablas de
aplicaciones necesitará una política Oracle Label Security. Si la aplicación tiene un
diagrama de relación de entidad (ER), puede resultar útil anotar en ER los niveles
para cada entidad.
Paso 2: Analizar los Niveles de Sensibilidad
Una vez identificadas las tablas del candidato, los datos contenidos en las tablas
necesitan evaluarse. Será necesaria la ayuda de un analista de datos o alguien con un
profundo entendimiento de los datos. Los niveles de datos se refieren al nivel de
sensibilidad de los datos. No Clasificado, Sensible y Altamente Sensible son ejemplos de
niveles de sensibilidad. Se recomienda considerar también los datos de aplicaciones
que pueden almacenarse en un futuro. Esto creará un conjunto grande de
definiciones de etiquetas en Oracle Label Security.
Proyectos
Activos
Oracle Label Security – Mejores Prácticas para Aplicaciones de Gobierno y Defensa - Pagina 5
�Proyectos
Activos
Secreto
Ultrasecreto
No Clasificado
Secreto
Paso 3: Analizar los Grupos de Datos
Grupos útiles para controlar el acceso basado en la propiedad de datos y para
compartir los datos en todas las organizaciones. Tal como con los niveles de datos,
la ayuda de alguien con amplia familiaridad con las operaciones de negocio puede ser
muy valiosa en esta etapa del análisis. Algunos ejemplos de grupos incluyen Estados
Unidos, Reino Unido, Europa, Asia.
Secreto: Alpha, Beta: US, UK
Ultrasecreto: Alpha, Beta: UK
Paso 4: Analizar los Compartimentos de Datos
Los compartimentos de datos son principalmente utilizados en ámbitos de gobierno
y defensa. Una aplicación comercial puede considerar que los grupos de datos son
suficientes para brindar el nivel necesario de control de acceso. No obstante, las
organizaciones comerciales pueden considerar que los compartimentos son útiles
para etiquetar información personalmente identificable (PII). En los ámbitos de
gobierno y defensa, los compartimentos son típicamente utilizados para restringir el
acceso a proyectos o áreas especializadas de conocimiento.
Secreto: Alpha, Beta: US, UK
Ultrasecreto: Alpha, Beta: UK
Paso 5: Analizar la población de usuarios
Este paso requiere obtener un entendimiento de la gran c
Crear cuenta
Comentarios de: Oracle Label Security - Mejores Prácticas para Aplicaciones de Gobierno y Defensa (0)
No hay comentarios