Post on 19-Jul-2015
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved.
Share with
#ODSD2015
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
4
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Referent: Michal Soszynski
5
• 13 Jahre IT-Erfahrung
• Seit 9 Jahren fokussiert auf:
• Hochverfügbarkeit
• Konsolidierung
• Virtualisierung
• Vielfältige Projekte in der Industrie,
der Dienstleistung und im Bereich
der öffentlichen Auftraggeber
• Breites Branchen-Knowhow
Security Day 2015 Störungsfreiheit kritischer IT-Infrastrukturen
Michal Soszynski Senior Systemberater Oracle Sales Consulting
SECURITY Inside-Out
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
INFORMATIONSSICHERHEIT als Prozess Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse
7
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Pro
ze
ss
e
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz Informationswerte
(Vetraulichkeit, Integrität)
Sicherstellung der Verfügbarkeit
Disaster Recovery /Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch Systeme (HW& OS)
Netze Software Daten
Bu
ild
Op
era
te
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits- organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
syteme Firewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-management
Sichere OS
System-Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-performance Monitoring
CM
Hot-Backup Gebäudesicherheit Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-überwachung
Videoaufzeichnung Activity Logging
Sicherheitsaudits Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be-trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen”
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
INFORMATIONSSICHERHEIT als Prozess Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse
8
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Pro
ze
ss
e
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz Informationswerte
(Vetraulichkeit, Integrität)
Sicherstellung der Verfügbarkeit
Disaster Recovery /Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch Systeme (HW& OS)
Netze Software Daten
Bu
ild
Op
era
te
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits- organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
syteme Firewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-management
Sichere OS
System-Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-performance Monitoring
CM
Hot-Backup Gebäudesicherheit Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-überwachung
Videoaufzeichnung Activity Logging
Sicherheitsaudits Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be-trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen”
• Ausfall
• Zerstörung
• Unterbrechung von Diensten durch:
• Hardware & Softwarefehler
• Routinearbeiten
• Ausfall externer Dienstleister
Verlust der Verfügbarkeit
Corporate
Network
INTERNET
Corporate
Network
Mobile
Computing Teleworking
• Fehler & Ausfälle
• Wartung
• Schlechte Performance
• Verlust des Knowhows
• u.v.m.
Eingestuft als Risiko:
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Störungsfreiheit kritischer IT-Infrastrukturen
Schutzbedarf definieren
Ausfallsicherheit – Realität oder Wunsch?
End-2-End Verfügbarkeit
1
2
3
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Oracle Highly Confidential
Schutzbedarf definieren
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Geringe Kosten
Hohes Risiko
Hoch
Ris
iko
Hohe Kosten
geringes Risiko
Risiko vs. Kosten
Hoch
Gering Kosten
Wie findet man diesen Bereich?
Ziel: Wahrscheinlichkeit minimieren, dass das Risiko eintritt und im Ernstfall die Folgen abmildern!
• Ziel: Optimale Risikominimierung entsprechend der
Schutzbedürftigkeit zu angemessenen Kosten
• Aktion: Bedrohungs- und Risikoanalyse durchführen
Schutzbedarfsanalyse Hoch (kritisches System)
Bedrohungs- und
Risikoanalyse Fachverfahren/Applikation
Erfassung der Objekte
Bedrohungsanalyse
Risikoanalyse
IT-Konzept
Bewertung des Rest-Risikos
Eingabe/Schnittstellen/Dateien
Verlust der Verfügbarkeit
Stillstand im Betrieb
Höchstverfügbare Architektur
Abwanderung des Knowhows?
Eine Risikominimierung auf Basis Schutzbedürftigkeit ist Pflicht Umgang mit wesentlichen Konzepten zur Steigerung der IT Hochverfügbarkeit
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Schutzbedarf definieren
Prozentuale Verfügbarkeit
Ausfall pro Jahr (7x24x365)
Tage Stunden Minuten
95% 18 6 0
99% 3 15 36
99.9% 0 8 46
99.99% 0 0 53
99.999% 0 0 5
99.9999% 0 0 1
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Verfügbarkeit INSIDE OUT
Kennen Sie Ihre Anforderungen!
REALITÄT oder WUNSCH?
Für die komplette Anwendungsarchitektur!
Copyright © 2014, Oracle and/or its affiliates. All rights reserved | Bundespolizei | 21.05.2014 - CVC Potsdam
Hochverfügbarkeits-Strategie
Copyright © 2015 Oracle and/or its affiliates. All rights reserved.
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Oracle Highly Confidential
Ausfallsicherheit
REALITÄT oder WUNSCH?
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Beispiel 1: Backup-Konfiguration
Klassisches Kundenszenario aus der Praxis, z.B. im Datenbank Security Review:
• Ich sichere meine Datenbank regelmäßig mit dem RMAN
• Ich fertige 2 mal pro Tag ein Fullbackup an und zusätzlich 2 mal pro Tag ein inkrementelles Backup an
• Im Notfall kann ich auf die Backups der letzten 6 Tage zurückgreifen
… oder doch nicht?
REALITÄT oder WUNSCH?
15
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015 16
Demo RMAN Retention Policy
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Beispiel 2: Ausfallsichere Virtualisierung REALITÄT oder WUNSCH?
17
Host 1 Host 2 Host 3
V I R T U A L I S I E R U N G S S C H I C H T
VM1 VM1 VM1
Klassisches Kundenszenario aus der Praxis: Meine Hochverfügbarkeitsstrategie lautet VIRTUALISIERUNG
?
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015 18
Demo Oracle Restart
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Beispiel 3: Desaster Recovery 2.0 REALITÄT oder WUNSCH?
19
Standort-Replikation
Management Console
Produktion Standby
Lokale
Ausfallsicherheit
Lokale
Ausfallsicherheit
Globale
Ausfallsicherheit
• Abdeckung der Geoderundanz
• Synchrone Replikation
• Auslagerung von Arbeitslasten
• Schutz vor physikalischen
Schreibfehlern
• Effiziente standardisierte Administration
Anforderungen an eine moderne Lösung
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015 20
Demo Active Data Guard
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Oracle Highly Confidential
End-2-End Verfügbarkeit
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
End-2-End Verfügbarkeit sicherstellen
Infrastruktur
Oracle Database
Oracle Fusion Middleware
Plattform Integration: SOA Suite
Security: Identity Mgmt
Prozess-Mgmt: BPM Suite
User Interaction: WebCenter
Oracle Applications 3rd Party Eigenentwicklung
Applikationen & Fachverfahren
Oracle VM for x86
Oracle Linux Oracle Solaris
Oracle VM for SPARC / Solaris Zones / DSD
Meter & Charge
Optimize
Manage
Plan
Setup
Build
Test
Deploy
Monitor
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Datenkorruption (Überschwemmung, Feuer, usw.)
Systemwartung
Routine Operationen
Menschliche Fehler
Datenfehler & Desaster
Systemfehler
Hardware & O/S Upgrades
Patching, Anpassungen
Löschung und Modifikation von (System-)Daten
Stromausfall, Systemabsturz
Applikationsupgrades, Schemaanpassungen
Applikationswartung
Maxim
um
Availab
ility Arch
itectu
re
Be
st Practice
s Ungeplante und geplante Ausfälle absichern
Ungeplante Ausfallzeit
Geplante Ausfallzeit
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Storage
Data Guard / Active Data Guard Active Failover, Auslagerung von Queries, Reports, Backups, Rolling Upgrades
RAC, Weblogic Cluster, Clusterware fehlertolerante und skalierbare Server
Flashback " Rückspulknopf " für
die Datenbank
Online Redefinition Umdefinieren von Tabellen online
Datenbank
Automatic Storage Management (ASM)
fehlertoleranter und skalierbarer Speicher
Storage
Hochverfügbarkeits-Baukasten HA nach Bedarf mit optimalen Werkzeugen implementieren
RMAN & Secure Backup Geringe Kosten, hohe Performance, Datenschutz & Archivierung
Middleware Active Gridlink Ideale Integration des HA-
Frameworks
Datenbank
Middleware
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
Die nachfolgenden Präsentationen OD Security Day 2015
26
• 11:15 Uhr Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar
• 13:00 Uhr Typische Angriffsszenarien und deren Auswirkungen. Der Security Smoke Test
• 14:15 Uhr: Störungsfreiheit kritischer IT-Infrastrukturen
• 15:30 Uhr: Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert
• 16:45 Uhr Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbanktest prüft die wesentliche Funktionalität
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 | 16.04.2015
michal.soszynski@oracle.com