logging in or signing up Grenzen von Verschlüsselung und Protokollierung rbacher Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINT lite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 364 Category: Education License: All Rights Reserved Like it (0) Dislike it (0) Added: August 25, 2008 This Presentation is Public Favorites: 0 Presentation Description Vortrag über die Grenzen von Verschlüsselung und Protokollierung von Wolfgang Klinger, Principal Sales Consultant bei Oracle Austria GmbH Comments Posting comment... Premium member Presentation Transcript Grenzen von Verschlüsselung und Protokollierung : Grenzen von Verschlüsselung und Protokollierung Wolfgang Klinger Principal Sales Consultant Oracle Austria GmbH Agenda : <Insert Picture Here> Agenda Verschlüsselung Umgang mit Test- u. Entwicklungsdaten Protokollierung von Zugriffen Datensicherheit: Oracle Produkte : Datensicherheit: Oracle Produkte Benutzerverwaltung (Authentifizierung) Oracle Identity Management Enterprise User Security Datenschutz Oracle Advanced Security Oracle Secure Backup EM Data Masking Zugriffskontrolle (Autorisierung) Oracle Database Vault Oracle Label Security Oracle Access Manager Information Rights Management Monitoring Oracle Audit Vault EM Configuration Pack Oracle Identity Manager Sichere Infrastruktur Verschlüsselung: wozu? : Verschlüsselung: wozu? Datensicherheit: Geheimhaltung Schutz vor Datendiebstahl / Verlust von Daten Kein Ersatz für Authentifizierung und Autorisierung! Kein Ersatz für Trennung von Verantwortlichkeiten! Manuelle Verschlüsselung : Manuelle Verschlüsselung DBMS_CRYPTO (ab 10g) oder DBMS_OBFUSCATION_TOOLKIT PL/SQL Packages Verschlüsselung / Entschlüsselung von Spalten Aufruf aus der Applikation In allen DB-Editionen enthalten (XE, SE, EE) Oracle Advanced Security : Oracle Advanced Security Oracle Advanced Security Strong Authentication PKI, Kerberos, Radius Oracle Advanced Security – Strong Authentication : Oracle Advanced Security – Strong Authentication PKI (Public Key Infrastructure) Starkes Interesse bei Großkunden Oracle unterstützt SSL Beschleuniger Kerberos Populär durch einfache Verteilung Radius Datenbank-Integration mit RADIUS Oracle Advanced Security –Verschlüsselung im Netzwerk : Oracle Advanced Security –Verschlüsselung im Netzwerk Seit rund einem Jahrzent von Oracle angeboten Verschlüsselt die gesamte Kommunikation mit der Datenbank AES RSA RC4 (40-, 56-, 128-, 256-bit keys) DES (40-, 56-bit) und 3DES (2- und 3-key) Diffie-Hellman key exchange Datenintegrität mit Checksummen MD5, SHA-1 Erkennen von geänderten oder fehlenden Datenpaketen Einfach zu Installieren Oracle Advanced Security –Datenverschlüsselung : Oracle Advanced Security –Datenverschlüsselung Transparent Data Encryption Schlüsselverwaltung inkludiert Hilft rechtliche Anforderungen zu erfüllen Speicherung von Username und Password in Wallet Auf Smartcards bestehende Zertifikate werden unterstützt Verschlüsselung von Spalten (10g) Transparent für Applikationen Transparent Data Encryption : Transparent Data Encryption Neu in 11g: Tablespace level encryption Verschlüsselung der gesamten Anwendungsdaten Unterstützt Foreign Keys und Range Scans Verschlüsselung von LOBs Speicherung des Master Key in Hardware Security Modules (PKCS #11) Integriert mit LogMiner, Logical Standby, Streams, Datapump Agenda : <Insert Picture Here> Agenda Verschlüsselung Umgang mit Test- u. Entwicklungsdaten Protokollierung von Zugriffen Problem: Datendiebstahl : Problem: Datendiebstahl Produktion Produktivsysteme sind gut geschützt Problem: Datendiebstahl : Problem: Datendiebstahl Produktion Produktivsysteme sind gut geschützt ABER: Was ist mit den Testsystemen? Sensible Daten zugänglich für Entwickler Qualitätssicherer Angreifer, da weniger gesichert Staging Test Test Clone Clone Lösung: Modifizieren der Daten : Lösung: Modifizieren der Daten Produktion Testsysteme mit unechten Daten Haben die Testdaten die gleichen Eigenschaften wie die realen Daten? Namensverteilungen Eigenschaften von Kreditkartennummern Konsistente Maskierung über Tabellen hinweg (Fremdschlüssel) Staging Test Test Clone Clone Maskieren Was ist Datenmaskierung? : Was ist Datenmaskierung? Ziel Anonymisierung von Daten unter Beibehaltung realistischer Eigenschaften Grund Schutz der realen Daten vor Zugriff durch nicht autorisierte Personen Szenario Gut abgesichertes Produktivsystem und offen zugängliche Testsysteme Einfach: Wahlloses Maskieren Was ist Datenmaskierung? : Was ist Datenmaskierung? Ziel Anonymisierung von Daten unter Beibehaltung realistischer Eigenschaften Grund Schutz der realen Daten vor Zugriff durch nicht autorisierte Personen Szenario Gut abgesichertes Produktivsystem und offen zugängliche Testsysteme Komplex: Reales Maskieren Enterprise ManagerData Masking Pack : Eigenschaften Maskieren abhängiger Spalten in anderen Tabellen Implizit – Referenzielle Constraints Explizit – Festlegen in EM Vorlagen für Maskierungsformate Anzeige von Beispieldaten vor der Maskierung Enterprise ManagerData Masking Pack Produktion Staging Maskieren Test Test Clone Clone Agenda : <Insert Picture Here> Agenda Verschlüsselung Umgang mit Test- u. Entwicklungsdaten Protokollierung von Zugriffen Warum Auditing? : Warum Auditing? Es existiert keine Sicherheit ohne Auditing !! Auditing ist EXTREM wichtig um die Sicherheit zu erhöhen Externe Audits müssen bewältigt werden Wenn etwas passiert, BRAUCHEN Sie den Audit-Trail Auditing zwingt Sie, viele Dinge zu verstehen und darauf zu reagieren Was Auditieren? : Was Auditieren? Logon/Logoff Events Zugriffe auf sensitive Objekte Datenänderungen bei sensitiven Objekten Pre- und Post-Values DDL Error Auditing: sehr wichtig, wird oft übersehen Source Auditing: z.B. create procedure Security Änderungen: z.B. grant Database Links, Replikation Was NICHT Auditieren? : Was NICHT Auditieren? Datenänderungen ausgenommen jene eines kleinen Subsets der Daten Aktivitäten von Batches, Loads etc. Besser nur die Änderungen solcher Programme zu loggen Detaillierter Applikations-Log Generell gilt: wenn zu viel auditiert wird, werden die Logs nicht mehr durchgesehen, dann ist es sinnlos sie zu schreiben Oracle Database: Arten von Auditing : Oracle Database: Arten von Auditing Standard-Auditing 4 Kategorien: Statement, Privilegien, Objekte, Netzwerk By access oder by session Successful oder nicht successful Fine Grained Auditing DB-Trigger Oracle Audit Vault ÜbersichtTrust-but-Verify : Oracle Audit Vault ÜbersichtTrust-but-Verify Audit Daten Sammeln und Konsolidieren Oracle 9i Release 2 und höher Einfacheres Compliance Reporting Built-in Reports Custom Reports Insider Threats Entdecken und Verhindern Alarm bei verdächtigen Aktivitäten Skalierbar und Sicher Database Vault, Advanced Security Partitioning Niedrigere IT Kosten mit Audit Policies Audit-Settings zentral administrieren Oracle Audit Vault BerichteOut-of-the-box Audit Assessments & Eigene Berichte : Oracle Audit Vault BerichteOut-of-the-box Audit Assessments & Eigene Berichte Mitgelieferte Berichte Aktivität privilegierter Benutzer Zugriff auf sensible Daten Rollen-Grants DDL Aktivität Login / Logout Selbstgeschriebene Berichte Was haben privilegierte Benutzer in der Finanz-DB getan? Was hat Benutzer ‘A’ in verschiedenen DBs getan? Wer hatte Zugriff auf sensible Daten? Externe Berichte Oracle BI Publisher, Application Express oder 3rd Party Tools Oracle Audit Vault : Oracle Audit Vault You do not have the permission to view this presentation. In order to view it, please contact the author of the presentation.
Grenzen von Verschlüsselung und Protokollierung rbacher Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINT lite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 364 Category: Education License: All Rights Reserved Like it (0) Dislike it (0) Added: August 25, 2008 This Presentation is Public Favorites: 0 Presentation Description Vortrag über die Grenzen von Verschlüsselung und Protokollierung von Wolfgang Klinger, Principal Sales Consultant bei Oracle Austria GmbH Comments Posting comment... Premium member Presentation Transcript Grenzen von Verschlüsselung und Protokollierung : Grenzen von Verschlüsselung und Protokollierung Wolfgang Klinger Principal Sales Consultant Oracle Austria GmbH Agenda : <Insert Picture Here> Agenda Verschlüsselung Umgang mit Test- u. Entwicklungsdaten Protokollierung von Zugriffen Datensicherheit: Oracle Produkte : Datensicherheit: Oracle Produkte Benutzerverwaltung (Authentifizierung) Oracle Identity Management Enterprise User Security Datenschutz Oracle Advanced Security Oracle Secure Backup EM Data Masking Zugriffskontrolle (Autorisierung) Oracle Database Vault Oracle Label Security Oracle Access Manager Information Rights Management Monitoring Oracle Audit Vault EM Configuration Pack Oracle Identity Manager Sichere Infrastruktur Verschlüsselung: wozu? : Verschlüsselung: wozu? Datensicherheit: Geheimhaltung Schutz vor Datendiebstahl / Verlust von Daten Kein Ersatz für Authentifizierung und Autorisierung! Kein Ersatz für Trennung von Verantwortlichkeiten! Manuelle Verschlüsselung : Manuelle Verschlüsselung DBMS_CRYPTO (ab 10g) oder DBMS_OBFUSCATION_TOOLKIT PL/SQL Packages Verschlüsselung / Entschlüsselung von Spalten Aufruf aus der Applikation In allen DB-Editionen enthalten (XE, SE, EE) Oracle Advanced Security : Oracle Advanced Security Oracle Advanced Security Strong Authentication PKI, Kerberos, Radius Oracle Advanced Security – Strong Authentication : Oracle Advanced Security – Strong Authentication PKI (Public Key Infrastructure) Starkes Interesse bei Großkunden Oracle unterstützt SSL Beschleuniger Kerberos Populär durch einfache Verteilung Radius Datenbank-Integration mit RADIUS Oracle Advanced Security –Verschlüsselung im Netzwerk : Oracle Advanced Security –Verschlüsselung im Netzwerk Seit rund einem Jahrzent von Oracle angeboten Verschlüsselt die gesamte Kommunikation mit der Datenbank AES RSA RC4 (40-, 56-, 128-, 256-bit keys) DES (40-, 56-bit) und 3DES (2- und 3-key) Diffie-Hellman key exchange Datenintegrität mit Checksummen MD5, SHA-1 Erkennen von geänderten oder fehlenden Datenpaketen Einfach zu Installieren Oracle Advanced Security –Datenverschlüsselung : Oracle Advanced Security –Datenverschlüsselung Transparent Data Encryption Schlüsselverwaltung inkludiert Hilft rechtliche Anforderungen zu erfüllen Speicherung von Username und Password in Wallet Auf Smartcards bestehende Zertifikate werden unterstützt Verschlüsselung von Spalten (10g) Transparent für Applikationen Transparent Data Encryption : Transparent Data Encryption Neu in 11g: Tablespace level encryption Verschlüsselung der gesamten Anwendungsdaten Unterstützt Foreign Keys und Range Scans Verschlüsselung von LOBs Speicherung des Master Key in Hardware Security Modules (PKCS #11) Integriert mit LogMiner, Logical Standby, Streams, Datapump Agenda : <Insert Picture Here> Agenda Verschlüsselung Umgang mit Test- u. Entwicklungsdaten Protokollierung von Zugriffen Problem: Datendiebstahl : Problem: Datendiebstahl Produktion Produktivsysteme sind gut geschützt Problem: Datendiebstahl : Problem: Datendiebstahl Produktion Produktivsysteme sind gut geschützt ABER: Was ist mit den Testsystemen? Sensible Daten zugänglich für Entwickler Qualitätssicherer Angreifer, da weniger gesichert Staging Test Test Clone Clone Lösung: Modifizieren der Daten : Lösung: Modifizieren der Daten Produktion Testsysteme mit unechten Daten Haben die Testdaten die gleichen Eigenschaften wie die realen Daten? Namensverteilungen Eigenschaften von Kreditkartennummern Konsistente Maskierung über Tabellen hinweg (Fremdschlüssel) Staging Test Test Clone Clone Maskieren Was ist Datenmaskierung? : Was ist Datenmaskierung? Ziel Anonymisierung von Daten unter Beibehaltung realistischer Eigenschaften Grund Schutz der realen Daten vor Zugriff durch nicht autorisierte Personen Szenario Gut abgesichertes Produktivsystem und offen zugängliche Testsysteme Einfach: Wahlloses Maskieren Was ist Datenmaskierung? : Was ist Datenmaskierung? Ziel Anonymisierung von Daten unter Beibehaltung realistischer Eigenschaften Grund Schutz der realen Daten vor Zugriff durch nicht autorisierte Personen Szenario Gut abgesichertes Produktivsystem und offen zugängliche Testsysteme Komplex: Reales Maskieren Enterprise ManagerData Masking Pack : Eigenschaften Maskieren abhängiger Spalten in anderen Tabellen Implizit – Referenzielle Constraints Explizit – Festlegen in EM Vorlagen für Maskierungsformate Anzeige von Beispieldaten vor der Maskierung Enterprise ManagerData Masking Pack Produktion Staging Maskieren Test Test Clone Clone Agenda : <Insert Picture Here> Agenda Verschlüsselung Umgang mit Test- u. Entwicklungsdaten Protokollierung von Zugriffen Warum Auditing? : Warum Auditing? Es existiert keine Sicherheit ohne Auditing !! Auditing ist EXTREM wichtig um die Sicherheit zu erhöhen Externe Audits müssen bewältigt werden Wenn etwas passiert, BRAUCHEN Sie den Audit-Trail Auditing zwingt Sie, viele Dinge zu verstehen und darauf zu reagieren Was Auditieren? : Was Auditieren? Logon/Logoff Events Zugriffe auf sensitive Objekte Datenänderungen bei sensitiven Objekten Pre- und Post-Values DDL Error Auditing: sehr wichtig, wird oft übersehen Source Auditing: z.B. create procedure Security Änderungen: z.B. grant Database Links, Replikation Was NICHT Auditieren? : Was NICHT Auditieren? Datenänderungen ausgenommen jene eines kleinen Subsets der Daten Aktivitäten von Batches, Loads etc. Besser nur die Änderungen solcher Programme zu loggen Detaillierter Applikations-Log Generell gilt: wenn zu viel auditiert wird, werden die Logs nicht mehr durchgesehen, dann ist es sinnlos sie zu schreiben Oracle Database: Arten von Auditing : Oracle Database: Arten von Auditing Standard-Auditing 4 Kategorien: Statement, Privilegien, Objekte, Netzwerk By access oder by session Successful oder nicht successful Fine Grained Auditing DB-Trigger Oracle Audit Vault ÜbersichtTrust-but-Verify : Oracle Audit Vault ÜbersichtTrust-but-Verify Audit Daten Sammeln und Konsolidieren Oracle 9i Release 2 und höher Einfacheres Compliance Reporting Built-in Reports Custom Reports Insider Threats Entdecken und Verhindern Alarm bei verdächtigen Aktivitäten Skalierbar und Sicher Database Vault, Advanced Security Partitioning Niedrigere IT Kosten mit Audit Policies Audit-Settings zentral administrieren Oracle Audit Vault BerichteOut-of-the-box Audit Assessments & Eigene Berichte : Oracle Audit Vault BerichteOut-of-the-box Audit Assessments & Eigene Berichte Mitgelieferte Berichte Aktivität privilegierter Benutzer Zugriff auf sensible Daten Rollen-Grants DDL Aktivität Login / Logout Selbstgeschriebene Berichte Was haben privilegierte Benutzer in der Finanz-DB getan? Was hat Benutzer ‘A’ in verschiedenen DBs getan? Wer hatte Zugriff auf sensible Daten? Externe Berichte Oracle BI Publisher, Application Express oder 3rd Party Tools Oracle Audit Vault : Oracle Audit Vault