ORACLE ADVANCED SECURITY
20
1 CENTRO UNIVERSITÁRIO MAURICIO DE NASSAU ESPECIALIZAÇÃO EM BANCO DE DADOS ORACLE JOEL VILELA NETO JOSÉ KARLOS SOARES DA SILVA VITOR DA CRUZ BRANDÃO WASHINGTON LUIZ VAZ ORACLE ADVANCED SECURITY Recife 2013
-
Upload
washington-luiz-vaz -
Category
Technology
-
view
734 -
download
6
description
Trabalho realizado pelos discentes Joel Vilela Neto, José Karlos Soares da Silva, Vitor da Cruz Brandão e Washington Luiz Vaz para obtenção de nota na disciplina Segurança e Auditoria de Banco de Dados Oracle, ministrada pelo professor Flavio Rocha
Transcript of ORACLE ADVANCED SECURITY
1
CENTRO UNIVERSITÁRIO MAURICIO DE NASSAU
ESPECIALIZAÇÃO EM BANCO DE DADOS ORACLE
JOEL VILELA NETO JOSÉ KARLOS SOARES DA SILVA
VITOR DA CRUZ BRANDÃO
WASHINGTON LUIZ VAZ
ORACLE ADVANCED SECURITY
Recife
2013
2
JOEL VILELA NETO JOSÉ KARLOS SOARES DA SILVA
VITOR DA CRUZ BRANDÃO
WASHINGTON LUIZ VAZ
ORACLE ADVANCED SECURITY
Trabalho realizado pelos discentes Joel Vilela Neto, José Karlos Soares da Silva, Vitor da Cruz Brandão e Washington Luiz Vaz para obtenção de nota na disciplina Segurança e Auditoria de Banco de Dados Oracle, ministrada pelo professor Flavio Rocha
Recife
2013
3
INDICE
INTRODUÇÃO .................................................................................................... 4
1 ORACLE ADVANCED SECURITY ENCRYPTION .......................................... 5
2 CRIPTOGRAFIA DE DADOS TRANSPARENTES ......................................... 6
3 VISÃO GERAL DO PROCESSO DE CRIPTOGRAFIA ................................... 7
4 LABORATÓRIO .............................................................................................. 8
5 CONCLUSÃO ................................................................................................... 19
REFERÊNCIAS BIBLIOGRÁFICAS ................................................................... 20
4
INTRODUÇÃO
Invariavelmente nas organizações, por mais sistemas de segurança que esteja utilizando, pode por ventura ocorrer incidentes de roubo de identidade e fraudes de dados legados que podem resultar em diversos prejuízos para a Organização ou até mesmo para sua carteira de clientes.
Visando esta problemática, várias Organizações, independente do ramo de atividade possuem a ciência de como é primordial a disponibilidade de controles de segurança eficazes em de dados confidenciais.
O Oracle Advanced Security proporciona uma segurança transparente, baseada em padrões, que protege os dados por meio de criptografia rede , nos armazenamento e com serviços de autenticação forte.
1 ORACLE ADVANCED SECURITY ENCRYPTION
O Oracle Advanced Security Transparent Data Encryption (TDE), é a solução de criptografia mais avançada no setor. utilizando algoritmos de criptografia padrão no setor e um gerenciamento de chaves integrado, municiando uma criptografia transparente
Comparando a tecnologia Oracle com os demais bancos de dados no mercado, o Oracle Advanced Security não necessita de alterações de aplicativos. decodifica os dados antes deles serem retornados ao aplicativo. de criptografia e decodificação é
Oracle Advanced Security de conformidade regulamentar, rede, em mídia de armazenamento e dados no banco de dados de divulgação não autorizada. A criptografia de dados transparente é um componente Advanced Security, no qual provê umdados e resguardando informações confidencias sem qualquer nos aplicativos.
ORACLE ADVANCED SECURITY ENCRYPTION
O Oracle Advanced Security Transparent Data Encryption (TDE), é a solução de criptografia s avançada no setor. Sua tecnologia foi lançada na versão Oracle Database 10g,
algoritmos de criptografia padrão no setor e um gerenciamento de chaves uma criptografia transparente de dados de aplicativos confidenciais.
Comparando a tecnologia Oracle com os demais bancos de dados no mercado, o Oracle necessita de triggers de banco de dados, visualizações nem outras
alterações de aplicativos. Sua A TDE criptografa os dados de maneira automática difica os dados antes deles serem retornados ao aplicativo. Em resumo, seu
de criptografia e decodificação é inteiramente transparente a aplicativos e usuários.
Oracle Advanced Security fornece apoio aos clientes de modo a aprovarde conformidade regulamentar, dando a proteção necessária para dados confidencias na rede, em mídia de armazenamento e dados no banco de dados de divulgação não autorizada. A criptografia de dados transparente é um componente
no qual provê uma solução de criptografia de ponta resguardando informações confidencias sem qualquer necessidade de
5
O Oracle Advanced Security Transparent Data Encryption (TDE), é a solução de criptografia Oracle Database 10g,
algoritmos de criptografia padrão no setor e um gerenciamento de chaves de dados de aplicativos confidenciais.
Comparando a tecnologia Oracle com os demais bancos de dados no mercado, o Oracle de banco de dados, visualizações nem outras
de maneira automática e Em resumo, seu processo
transparente a aplicativos e usuários.
aprovar todos os requisitos dados confidencias na
rede, em mídia de armazenamento e dados no banco de dados de divulgação não autorizada. A criptografia de dados transparente é um componente primordial do Oracle
de ponta para banco de necessidade de adulterações
6
2 CRIPTOGRAFIA DE DADOS TRANSPARENTES
A proteção de um banco de dados pode ser realizada de diversas maneiras, seja a partir de um sistema seguro, de criptografias de ativos confidenciais ou até mesmo a partir de um firewall em volta do sistema operacional onde está instalado o de banco de dados, entretanto, em um cenário onde é utilizado uma mídia física (como unidades ou fitas de backup) , onde existe uma possibilidade de ser furtada, a solução viável é criptografar dados confidenciais no banco de dados e proteger suas chaves para criptografar os dados com um certificado. Agindo assim, impedimos que alguém sem as chaves use os dados.
A criptografia transparente de dados (TDE) executa criptografia de E/S em tempo real e a descriptografia de dados e arquivos de log. A criptografia utiliza uma DEK (chave de criptografia do banco de dados), que é armazenada no registro de inicialização do banco de dados para disponibilidade durante a recuperação, que por sua vez, é uma chave simétrica privada por um certificado armazenado no banco de dados mestre do servidor ou uma chave assimétrica protegida por um módulo EKM.
A TDE resguarda os dados e arquivos de log, fornecendo a disposição de se adaptar a muitas leis, regulamentos e diretrizes estabelecidos em vários setores e países. Isso permite que os desenvolvedores de software criptografem dados usando algoritmos de criptografia AES e 3DES, sem alterar os aplicativos utilizados.
7
3 VISÃO GERAL DO PROCESSO DE CRIPTOGRAFIA
O Oracle Transparent Data Encryption (TDE) admite criptografar colunas individuais que contêm dados confidenciais, ou tablespaces inteiros da aplicação.
O TDE de forma transparente criptografa dados quando estes são gravados no disco e os descriptografa quando são lidos de volta ao usuário e/ou aplicação autorizada. As aplicações não devem ser alteradas para aproveitar este recurso.
A partir da criptografia da coluna TDE, cada tabela com colunas criptografadas tem sua própria chave de criptografia (chave da tabela), usada para todas as colunas criptografadas nessa tabela, independentemente do número de colunas criptografadas. Essas chaves da tabela são armazenadas no dicionário de dados e criptografadas com a chave mestra de criptografia, armazenada fora do banco de dados Oracle, seja no arquivo Oracle Wallet ou em um Módulo de Segurança de Hardware (HSM). Nenhuma chave é armazenada com texto sem formatação.
A criptografia do Tablespace do TDE aceita criptografar tablespaces inteiros da aplicação. Todos os objetos criados nos tablespaces criptografados são criptografados automaticamente. A criptografia de tablespaces tem as seguintes vantagens sobre a criptografia de colunas do TDE:
- Nenhum aumento nos requisitos de armazenamento
- Transparência verdadeira, nenhuma alteração nos planos de execução
- Não há necessidade de identificar colunas individuais para criptografia
- Suporte de todos os tipos de dados e tipos de índice.
Uma vez criada à chave mestra de criptografia (no Oracle Wallet ou no HSM), clique no link 'Tabelas' ou 'Tablespaces' em 'Links Relacionados' nesta página para criptografar seus dados de aplicação, ou no link 'Importar e Exportar' para criptografar arquivos de exportação.
8
5 LABORATORIO
Inicialmente, deve-se realizar a conexão no banco de dados, seja através do Enterprise Manager (EM) ou SQL*PLUS, como sysdba.
Agora, será realizada a edição da tabela, para encriptar uma ou mais colunas. Para exemplo, iremos utilizar a tabela EMP do em Esquema | Tabelas, para localizá
Em seguida, ao editar a tabelas, serão apresentadas as tabelas do Schema SCOTT. Em “selecionar”, marcamos a tabela EMP, em seguida, clicamos no botão “Editar”:
Agora, será realizada a edição da tabela, para encriptar uma ou mais colunas. Para exemplo, iremos utilizar a tabela EMP do Schema SCOTT. No Enterprise Manager, iremos em Esquema | Tabelas, para localizá-la:
Em seguida, ao editar a tabelas, serão apresentadas as tabelas do Schema SCOTT. Em “selecionar”, marcamos a tabela EMP, em seguida, clicamos no botão “Editar”:
9
Agora, será realizada a edição da tabela, para encriptar uma ou mais colunas. Para Schema SCOTT. No Enterprise Manager, iremos
Em seguida, ao editar a tabelas, serão apresentadas as tabelas do Schema SCOTT. Em “selecionar”, marcamos a tabela EMP, em seguida, clicamos no botão “Editar”:
Em seguida, serão apresentadaspara criptografia. Para liberar esta opção, deve
Será apresentada uma tela questionando se deseja realmente ativar as opções de criptografia da tabela, no qual será informado “Sim”, para prosseguir neste laboratório:
apresentadas todas as colunas da tabela EMP, entretanto, bloqueadas para criptografia. Para liberar esta opção, deve-se clicar no botão “Opções de Criptografia”:
Será apresentada uma tela questionando se deseja realmente ativar as opções de criptografia da tabela, no qual será informado “Sim”, para prosseguir neste laboratório:
10
todas as colunas da tabela EMP, entretanto, bloqueadas se clicar no botão “Opções de Criptografia”:
Será apresentada uma tela questionando se deseja realmente ativar as opções de criptografia da tabela, no qual será informado “Sim”, para prosseguir neste laboratório:
11
No Enterprise Manager, a criação do Wallet fica no caminho “Servidor | Criptografia de Dados Transparentes”, com o status da Wallet (ainda não criada) como CLOSED.
Ao criar uma Wallet, será solicitado o usuário e senha do Sistema Operacional e a informação da senha do Wallet a ser criado, bem como sua confirmação:
Criado o Wallet, o Enterprise Manager irá apresentar o diretório do Wallet no Sistema Operacional e seu status como OPEN.
Para criar um Wallet pelo pelo SQL*PLUS, crie um diretório no Sistema Operacional:
Em seguida, crie o Wallet e defina a chave mestra na instância de Banco de Dados em execução, digitando o comando abaixo. Onde está “oracl
Criado o Wallet, o Enterprise Manager irá apresentar o diretório do Wallet no Sistema l e seu status como OPEN.
Para criar um Wallet pelo pelo SQL*PLUS, crie um diretório no Sistema Operacional:
Em seguida, crie o Wallet e defina a chave mestra na instância de Banco de Dados em execução, digitando o comando abaixo. Onde está “oracle13” é a senha do Wallet:
12
Criado o Wallet, o Enterprise Manager irá apresentar o diretório do Wallet no Sistema
Para criar um Wallet pelo pelo SQL*PLUS, crie um diretório no Sistema Operacional:
Em seguida, crie o Wallet e defina a chave mestra na instância de Banco de Dados em e13” é a senha do Wallet:
Com o Wallet criado, agora poderemos criptografar os dados de uma ou mais colunas de uma tabela, voltando novamente em Esquema |Tabelas. Ao localizar a tabela SCOTT.EMP, decidimos criptografar a coluna SAL, marcando em “Criptclicamos no botão “Opções de Criptografia”:
No SQL*PLUS, a criptografia desta coluna na tabela SCOTT.EMP seria da seguinte maneira:
Com o Wallet criado, agora poderemos criptografar os dados de uma ou mais colunas de uma tabela, voltando novamente em Esquema |Tabelas. Ao localizar a tabela SCOTT.EMP, decidimos criptografar a coluna SAL, marcando em “Criptografado” esta coluna, em seguida, clicamos no botão “Opções de Criptografia”:
No SQL*PLUS, a criptografia desta coluna na tabela SCOTT.EMP seria da seguinte
13
Com o Wallet criado, agora poderemos criptografar os dados de uma ou mais colunas de uma tabela, voltando novamente em Esquema |Tabelas. Ao localizar a tabela SCOTT.EMP,
ografado” esta coluna, em seguida,
No SQL*PLUS, a criptografia desta coluna na tabela SCOTT.EMP seria da seguinte
Nesta tela do Enterprise Manager, será informado o algoritmo de criptografia. Nãoinformando o algoritmo desejado, o Oracle considera o AES192 como criptografia padrão.
Ao clicar no botão “Continuar”, ilustrada na janela anterior, será apresentada a tela abaixo, confirmando que a criptografia da tabela SCOTT.EMP foi realizada com suvisualizar o status do job criado para esta criptografia, o Enterprise Manager disponibiliza um link, com o nome do Job.
Nesta tela do Enterprise Manager, será informado o algoritmo de criptografia. Nãoinformando o algoritmo desejado, o Oracle considera o AES192 como criptografia padrão.
Ao clicar no botão “Continuar”, ilustrada na janela anterior, será apresentada a tela abaixo, confirmando que a criptografia da tabela SCOTT.EMP foi realizada com suvisualizar o status do job criado para esta criptografia, o Enterprise Manager disponibiliza um
14
Nesta tela do Enterprise Manager, será informado o algoritmo de criptografia. Não informando o algoritmo desejado, o Oracle considera o AES192 como criptografia padrão.
Ao clicar no botão “Continuar”, ilustrada na janela anterior, será apresentada a tela abaixo, confirmando que a criptografia da tabela SCOTT.EMP foi realizada com sucesso. Para visualizar o status do job criado para esta criptografia, o Enterprise Manager disponibiliza um
15
16
Com a tabela criptografada, o usuário só irá conseguir inserir nesta tabela se o wallet estiver aberto.
Para reabrir o Wallet, o deve ser realizado a utilização do comando abaixo, no SQL*PLUS:
Com a tabela criptografada, o usuário só irá conseguir inserir nesta tabela se o wallet estiver
Para reabrir o Wallet, o deve ser realizado a utilização do comando abaixo, no SQL*PLUS:
17
Com a tabela criptografada, o usuário só irá conseguir inserir nesta tabela se o wallet estiver
Para reabrir o Wallet, o deve ser realizado a utilização do comando abaixo, no SQL*PLUS:
Por fim, iremos forçar a geração dos archivelogs:
A criptografia também pode ser verificada no arquivo USERS01.DBF:
Para listar todas as tabelas criptografas,
Por fim, iremos forçar a geração dos archivelogs:
A criptografia também pode ser verificada no arquivo USERS01.DBF:
Para listar todas as tabelas criptografas, utilize o comando da imagem abaixo:
18
utilize o comando da imagem abaixo:
19
CONCLUSÃO
A criptografia de dados e a autenticação forte são os principais componentes do princípio de defesa em profundidade.
O Oracle Advanced Security para atender todos os requisitos de DSS do PCI, atendendo deste modo a requisitos confidenciais em um banco de dados, para proteção números de CPF, contas de bancos, endereços e outras informações a qual seja interessante criptografar. A proteção de dados confidenciais por meio de unidades de disco e mídias de backup contra acesso não autorizado, reduz consideravelmente o impacto de mídias perdidas ou roubadas.
A criptografia em rede do Oracle Advanced Security obtém um papel consideravelmente formidável na segurança dos dados em trânsito, evitando o acesso não autorizado de dados confidenciais circulando na intranet. Os serviços de autenticação forte, como Kerberos e PKI, estão ficando mais conhecidos na identificação de usuários com grau elevado de certeza.
20
REFERENCIAS BIBLIOGRÁFICAS
ORACLE ADVANCED SECURITY - TRANSPARENT DATA ENCRYPTION <http://www.youtube.com/watch?v=ToFKDkcewhA> Acesso em: 04 jul. 2013
ORACLE ADVANCED SECURITY <<http://www.oracle.com/technetwork/pt/database/enterprise-edition/documentation/oracle-advanced-security-431885-ptb.pdf> Acesso em: 12 jul. 2013.
ORACLE: CRIPTOGRAFANDO TABELAS COM O TDE <http://www.profissionaisti.com.br/2011/05/oracle-criptografando-tabelas-com-o-tde/ > Acesso em: 14 jul. 2013.
