3. A lei Sarbanes-Oxley
SOX e segurança
Auditoria
Privacidade e proteção a dados
4. Banco de dados SQL Server
◦ Endurecendo o ambiente do banco de dados.
◦ Segurança de banco de dados dentro de um cenário
de segurança.
◦ O banco de dados e a rede
◦ Segurança nas comunicações entre bancos de
dados
◦ Criptografia
◦ Categorias de auditoria
◦ Práticas de segurança para o ambiente de banco de
dados
5. Banco de dados SQL Server
◦ Análise de segurança e monitoramento – possíveis
soluções.
Procedimentos e documentação
Checklist do Administrador
Checklist do Desenvolvedor
6. Em 2002 surgiu a lei SOX com o objetivo de
responder a uma série de grandes escândalos
corporativos e contábeis e estabelecer
padrões de segurança novos e aprimorados, a
SOX é uma lei federal dos Estados Unidos.
Ela objetiva o fechamento de brechas de
segurança, principalmente em dados
financeiros e contábeis e as camadas de banco
de dados e aplicação.
7. Sarbanes–Oxley Section 302: Disclosure controls
Sarbanes-Oxley Section 401: Disclosures in
periodic reports
Sarbanes–Oxley Section 404: Assessment of
internal control
Sarbanes–Oxley 404 and smaller public companies
Sarbanes–Oxley Section 802: Criminal penalties for
violation of SOX
Sarbanes–Oxley Section 1107: Criminal penalties
for retaliation against whistleblowers
8. Sarbanes–Oxley Section 302: Disclosure controls
Sarbanes-Oxley Section 401: Disclosures in periodic reports
Sarbanes–Oxley Section 404: Assessment of
internal control
Sarbanes–Oxley 404 and smaller public companies
Sarbanes–Oxley Section 802: Criminal penalties for
violation of SOX
Sarbanes–Oxley Section 1107: Criminal penalties for
retaliation against whistleblowers
9. A seção 404 define os requisitos para manter os
controles de segurança adequados em relação aos
sistemas de tecnologia da informação, porém
forja uma tarefa desafiadora e talvez um pouco
intimidante.
Aspectos:
Autorização
Autenticação
Acesso
10. Define que a área de TI tem como obrigação o
desenho da arquitetura e documentação de todos
os processos usados na TI, os quais são
constituídos pelas disciplinas:
Dados (Data)
Sistema (System)
Tecnologia (Technology)
Rede (Network)
11. A seção 404 discorre sobre a compreensão dos
conceitos básicos de privacidade e proteção de
dados, definir e fazer cumprir arquitetura, combinar
forças externas, influências internas, e ativos de
TI, simplificar a matriz de segurança,
desenvolvimento de estratégias baseadas no
controle de acesso, integração dos elementos
críticos de proteção de privacidade em engenharia
de sistemas e aplicações.
12. SOX também permite que uma
auditoria externa e análise de segurança de
seja feita para avaliar qualquer manipulação
de dados.
Tem sido provado que a maioria dos
problemas de segurança vêm de dentro da
organização
13. Baseada nas melhores práticas de
segurança a SOX impõe três regras, em
relação a proteção a dados:
Confidencialidade - proteção de
informações sensíveis contra divulgação não autorizado
ou interceptação inteligível.
Integridade - salvaguarda da exatidão e integridade das
informações e software.
Disponibilidade - Assegurar que as soluções de
informação estão disponíveis quando necessários.
14. Auditoria é a primeira atividade a ser realizada antes de
qualquer outra iniciativa para aumentar a segurança de um
banco de dados. (Ron Bem Natan, 2009 ).
Auditoria em banco de dados divide-se em:
Auditoria padrão
Auditoria obrigatória e de administrador
Auditoria minuciosa (Fine Grained Auditing
ou FGA)
Auditoria de valor
15. É umas das mais completas auditorias dentro
do banco de dados, ela permite a auditoria de
atividades baseadas no tipo de atividade,
objeto, privilégio, ou usuário.
auditoria padrão é umas das mais completas
auditorias dentro do banco de dados, ela
permite a auditoria de atividades baseadas no
tipo de atividade, objeto, privilegio, ou
usuário.
16. É de extrema importância e consiste em
implementar iniciativas de auditoria do
usuário privilegiado do banco de dados
SA/DBA abrangendo até a inicialização e
desligamento do SGBD
17. Permite que você especifique o que você
quer auditar baseado em comandos DDL
(SELECT, UPDATE, DELETE) e DML.
18. É um auditoria granular que objetiva ter
respostas para:
Quem, O que, Quando, Onde
Com base em um conjunto de critérios,
os critérios podem ser um comando, um
objeto, um privilégio, uma combinação estes,
ou mesma uma condição arbitrária altamente
granular.
19. A auditoria deve cumprir e avaliar todos os
requisitos regulatórios os quais a companhia
esta respondendo como o caso da SOX.
Uma auditoria interna através de um
departamento de auditoria não é suficiente, é
necessário um conjunto de auditores internos
e externos sendo esses independentes.
20. A auditoria externa geralmente é
prestada por empresas de auditoria
reconhecidas e homologadas a auditar as
normas regulatórias.
PricewaterhouseCoopers (PwC),
Deloitte,
KPMG
Ernest & Young (E & Y)
21. Os modernos sistemas de TI e controle de
segurança são baseados elementos essenciais
os quais compõem uma matriz de segurança.
22. Sob um aspecto legal a legislação de
proteção à privacidade de dados vem se
alterando rapidamente nos Estados Unidos,
Europa e Canadá, como por exemplo, a
Califórnia é considerada como a líder em
legislação destinada a proteção de
privacidade pessoal e roubo de identidade.
23. Proteger a confidencialidade das
informações de uma organização de forma
privada e protegida é o mesmo que dizer que
a organização mantém em segredo e com
acesso controlado e monitorado o acesso às
informações em qualquer forma de
armazenamento.
24. Esse aspecto será um aspecto constante de
desafios para a área de TI na construção de
sistemas e armazenamento de dados em Bancos
de Dados, visando sempre atender as alterações
das leis.
Privacidade podem ser classificados como:
◦ De domínio publico,
◦ Protegido
◦ Restrito.
25. O SQL Server de encontro aos requisitos da
SOX.
26. Segurança física do servidor no qual reside o
SQL Server.
Aplicar todos os service packs e hot fixes
para o sistema operacional do Windows
Server e SQL Server.
Certifique-se de todos os dados do SQL
Server e arquivos do sistema são instalados
em uma partição NTFS e que as permissões
adequadas estão definidas para os arquivos.
27. Usar baixo nível de privilégio para contas de
usuário para o serviço do SQL Server.
◦ Não use LocalSystem ou Administrador.
Apagar arquivos de instalação.
◦ Arquivos de instalação podem conter texto simples e sem criptografia,
onde residem informações de configuração
Proteger a conta SA com uma senha forte.
Remova todos os usuários de exemplo e
bancos de dados de aprendizado.
28. Verificar se existem usuários com senhas
nulas.
Remova o usuário convidado de todos os
bancos, exceto de master e tempdb.
Analisar como os papéis são atribuídos a
usuários em um nível de banco de dados e
servidor.
Crie um processo que lhe permita revisar
periodicamente papel e membros do grupo
criados no SQL Server.
29. Use a autenticação do Windows em vez da
autenticação mista.
Remova as bibliotecas de rede que não são
utilizados.
Não permitir ou promover o acesso remoto
ao sistema operacional e execução
ferramentas locais.
Remover ou restringir o acesso xp_stored
procedures.
30. Não instale extended procedures criadas
pelo usuário, pois podem abrir brechas de
segurança servidor.
Verificar e limitar as stored procedures que
são PUBLIC
Desabilitar o SQL mail buscando alternativas
para fazer métodos de notificação.
Não install full-text search a menos que
alguma aplicação em especifico necessite.
31. Desabilitar o Microsoft Distributed
Transaction Coordinator a menos que seja
realmente necessário para alguma aplicação.
Monitorar de perto todas as tentativas de
login que falharam.
Desenvolvedores não podem ter acesso a
instancias de produção.
Habilitar auditoria.
32. Firewalls
Virtual private networks (VPNs)
A avaliação das vulnerabilidade e
gerenciamento de patches.
Antivirus
Intrusion detection systems (IDS)
Intrusion prevention systems (IPS)
33. Proteger os usuário e senhas usados na
interligação de banco de dados.
Garantir mecanismos de replicação de dados.
Segurança e monitoramento dos usuários e
das conexões de replicação.
Mapear e assegurar-se de conhecer todas as
fontes de dados e repositórios.
Garantir segurança e Monitorar os sistemas
log shipping schemes.
34. Proteger e monitorar bancos de dados móveis
Monitorar e limitar as comunicações de saída
(outbound).
35. Criptografar os dados que trafegam
(Encrypting data-in-transit ).
Criptografar os dados que não trafegam e
exigem alta segurança.
36. Auditar o logon/logoff no banco de dados
Auditar os consumidores do banco de dados
(Sistemas, ferramentas, Excel, ODBC entre outros)
Auditar a utilização do banco de dados fora
do horário normal de expediente corporativo.
Auditar as atividades DDL e DML
Auditar os erros que o banco de dados
apresentar.
37. Auditar as alterações de stored procedures,
triggers, alterações de privilégios de
usuário/login e outros atributos de
segurança.
Auditar a criação, alteração e uso dos
database links e replicação.
Auditar a alteração de dados sensíveis (Ex.
Salário)
38. Auditar as alterações feitas nas definições do
que é auditado.
39. A SOX para conformidade com os
procedimentos de segurança e documentação
para o SQL Server deve incluir o seguinte:
Descrição do modelo de segurança (Active
Directory, grupos de domínio, os papéisdo
SQL Server, banco de dados de papéis, etc.)
40. Um procedimento para criar uma nova conta,
quando chega um novo funcionário.
Um procedimento para
eliminar / desativar uma conta quando um
funcionário deixa a empresa.
Um procedimento para pedir permissões -
com uma data final desejada, se possível -
especialmente para permissões especiais.
41. Um procedimento para alterações de
senha (para logins do SQL Server).
Regras e regulamentos a seguir para um novo
software ou uma nova aplicação usando um
banco de dados SQL Server. Você também
deve aplicá-las às aplicações existentes,
tanto quanto possível.
42. Descrição de como as
aplicações devem criptografar arquivos de
senha ao usar SQLServer ou modo de
autenticação quando as senhas
são codificadas.
Descrição dos controles de
segurança periódicas (automático / manual).
43. Documentação para cada procedimento
manual e automatizado e as mudanças de
segurança.
Documentar a existência de verificações e
inspeções futuras.
44. Firewalls
◦ Colocar um firewall entre o servidor e a Internet.
◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no
seu firewall de perímetro. Se as instâncias
nomeadas estão escutando portas adicionais,
bloquear os demais.
◦ Em um ambiente multi-camadas, use múltiplos
firewalls para criar sub-redes selecionados.
45. Isolamento de serviços
◦ Isolar serviços para reduzir o risco de que um
serviço comprometido poderiam ser usadas para
comprometer os outros.
◦ Nunca instale o SQL Server em um controlador de
domínio.
◦ Executar serviços de servidor SQL separado em
contas separadas Windows.
◦ Executar servidor de aplicação e banco de dados
em servidores separados.
46. Use as ferramentas da Microsoft ou ferramentas de terceiros e
Realizar uma análise manual e monitoramento.
Contas de serviço
◦ Criar contas do Windows com os privilégios mais
baixo possível para a execução de serviços do
SQL Server.
Sistema de arquivos
◦ Usar NTFS.
◦ Usar RAID para arquivos de dados críticos.
47. Use as ferramentas do SQL Server e Microsoft.
◦ SQL Server Profiler.
◦ SQL Server Audit feature
◦ Activity Monitor
◦ Central Management Servers
◦ Data Collector and Management Data Warehouse
◦ SQL Server Policy-Based Management
◦ Resource Governor
◦ Transparent Data Encryption (TDE)
◦ Powershell
◦ Reporting Server
50. Use as ferramentas da Microsoft ou ferramentas de terceiros e
Realizar uma análise manual e monitoramento.
http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx