2. “WHO AM I”
Andre van Winssen
geboren en getogen in Maastricht
• 22+ jaar in de weer met Oracle software
• Principal Oracle Consultant bij Amis
• Oracle
• Database
• Weblogic, Identity & Access Management
• Oracle Certified Professional 7.3 .. 11g
• Oracle Certified Master 10g, 11g
• CISA, CISSP, CEH
3. BEDRIJF
• Actief vanaf 1991
• 90 medewerkers
• + 100 projecten succesvol
• + 1000 jr Oracle en Java kennis
• 3 Ace directors, 2 Aces, 1 OCM
• Kennispartner in Database, Weblogic,
SOA en ADF zaken
• Oók voor CIP (Centrum
Informatiebeveiliging en
Privacybescherming)
• Sinds 2012 onderdeel van Conclusion
4. MODERNE THEMA’S
• Cyberterrorisme, inbraak, fraude
• Opkomst van de Cloud
• Mobiele toegang
• Audits, voorschriften en compliance
• Gegevens delen, snelle provisioning
• Budget keuze
5. THEMA VAN DEZE PRESENTATIE
• Database toegangscontrole
• Bescherming bij de bron (de data)
• Weten met wie je van doen hebt
6. TWEE KANTEN VAN IDENTITY & ACCESS
MANAGEMENT
• Technische implementatie
• IT afdeling
• Daadwerkelijk provisionen van rechten,
rollen, gebruikers, tijdelijke toegang etc
• Governance
• Bedrijfsnivo, voldoen aan regelgeving
• Ontwerp/beheer systeembrede
• Rollen, functies
• Risico analyse
7. TOEGANGSCONTROLE
Ook wel BIV codering genoemd (Engels: CIA)
Classificatie aanduiding
1. Wenselijk
2. Belangrijk
3. Essentieel
Voor deze dimensies
1. Beschikbaarheid
2. Integriteit
3. Vertrouwelijkheid
Ook toepassen op gegevens in database
• Hoogste waarde bepaalt classificering van database als geheel.
8. BIV DIMENSIES
Beschikbaarheid
• Altijd en overal waar nodig beschikbaar
Integriteit
Beschermen tegen ongewenste mutaties
• Opzettelijk
• Per ongeluk
Vertrouwelijkheid
• Toegang tot wat je moet weten voor je functieuitoefening
• Geclassificeerd (publiek, beetje geheim, geheim, zeer
geheim)
• Encryptie toegepast
Extra: Verantwoordelijkheid
• Moet duidelijk zijn wie eindverantwoordelijk is voor CIA
9. VERTAALSLAG MAKEN
BIV codering moet worden vertaald
Hoe implementeer je BIV = (3,3,3)?
In deze presentatie vooral de Oracle
oplossingen
10. DATABASE VAULT
• Vanaf 2007 in Oracle Database 10gR2
• Backport naar Oracle Database 9i
• Std beschikbaar in Oracle Database 11g
• Helpt tegen lezen en wijzigen van business
data in productie door ‘superusers’
• Separation of Duty in de database
• DBA’s
• Business users
• Géén encryptie !
11. DATA ENCRYPTIE
• Plaintext -> ciphertext -> plaintext
• Data at rest
• Gebruik DBMS_CRYPTO of extern
• Transparent Data Encryption
• Database kolom of tablespace
• Backups
• Data in geheugen
• TDE column encryptie
• Data in transit
• ssh tunneling
• Netwerk encryptie à la Oracle
• SSL/TLS encryptie gratis voor RAC klanten (EE,
OneNode, SE) i.v.m. Security Alert CVE-2012-
1675 a.k.a “TNS Listener Poison Attack”
12. DATA MASKING/DATA REDACTION
• Maskeer gevoelige data bij kopie van
productie naar test of acceptatie
• Vervang liefst met realistische data en bijna
identieke eigenschappen als origineel zoals:
• Breedte
• Datatype
• Formaat
• Waardenverdeling (histogram)
• Maskeren moet onomkeerbaar proces zijn
• Veel nieuwe mogelijkheden in db 12
• DBMS_REDACT package, lijkt op Fine
Grained Access Control package
DBMS_FGA
14. DATABASE AUTHENTICATIE
WETEN MET WIE JE VAN DOEN HEBT
• Via password
• Password regels
• Laat authenticatie over aan OS
• Strong authentication
• Certificaten, Public Key Infrastructure
• RADIUS, token, smart cards
• Kerberos, Directory Services
• Biometrics
15. DATABASE AUDITING
WETEN WAT ER GEBEURT IN DE DATABASE
• Statement auditing
• Privilege auditing
• Database object auditing
• Do It Yourself database triggers
• Flashback data archive, Logminer
• Fine-grained auditing (FGA)
• Output naar DB, OS files, syslog
17. Q&A
Vraag aan u:
1. Zou u uw database willen hebben draaien bij een
Amerikaanse cloud provider, gelet op de Patriot act die
Amerikaanse regering wettelijk toestaat om toegang te
krijgen tot uw gegevens? Zelfs Larry Ellison, CEO van
Oracle Corp., had daar als staatsburger moeite mee
2. Mocht u een Europese cloud provider gebruiken, heeft u dan
een plan klaar als deze zou worden overgenomen door een
Amerikaanse partij (in verband met punt 1)?