PDF de programación - Seguridad y cumplimiento rentables de Oracle Database 11g

Documento técnico de Oracle
Marzo de 2011

Seguridad y cumplimiento rentables de Oracle
Database 11g versión 2





Documento técnico de Oracle: Seguridad y cumplimiento rentables de Oracle Database 11g versión 2

Introducción ....................................................................................... 2
Seguridad de Oracle Database ......................................................... 2
Cifrado y enmascaramiento ............................................................... 3
Cifrado de datos estáticos ............................................................. 3
Cifrado de datos en tránsito ........................................................... 5
Cifrado de datos en cintas de backup ............................................ 5
Enmascaramiento de datos para no producción ............................ 5
Control de acceso ............................................................................. 6
Control de usuario privilegiado ...................................................... 6
Controles de acceso en tiempo real............................................... 7
Administración de la seguridad ...................................................... 7
Clasificación de datos .................................................................... 8
Auditoría y seguimiento ..................................................................... 8
Auditoría de la actividad en la base de datos ................................. 8
Administración de la configuración .............................................. 10
Evaluaciones de cumplimiento .................................................... 10
Retención e historial de datos...................................................... 11
Monitoreo y bloqueo ........................................................................ 11
Firewall para bases de datos ....................................................... 11
Certificaciones de aplicaciones ....................................................... 12
Oracle Exadata Database Machine ................................................. 13
Conclusión ...................................................................................... 13





Documento técnico de Oracle: Seguridad y cumplimiento rentables de Oracle Database 11g versión 2

Introducción
La información empresarial, desde secretos comerciales hasta datos financieros y de
privacidad, se ha vuelto el blanco de ataques sofisticados. Si bien la mayoría de las
empresas ha implementado tecnologías de firewall perimetral, de detección de intrusos
y antispam, proteger los datos hoy en día requiere de una estrategia de seguridad
integral y profunda. Al adoptar esta estrategia, las empresas pueden proteger sus datos,
cumplir las normas y alcanzar iniciativas comerciales como consolidación y cloud
computing de forma más segura.

Seguridad de Oracle Database
La arquitectura de seguridad integral de Oracle puede dividirse en cuatro áreas que abarcan desde
medidas de protección hasta controles de detección de seguridad. Estas cuatro áreas son: cifrado
y enmascaramiento, control de acceso, auditoría y seguimiento, control y bloqueo.

Figura 1: Seguridad integral de Oracle

Las empresas pueden optar por implementar los controles de seguridad integral de Oracle
combinados o por separado. El método y el tipo de control que se utilice dependerá de factores
internos y externos, por ejemplo: carácter confidencial de los datos, requisitos regulatorios y de
privacidad, aplicación de cloud computing, administración de bases de datos remotas, división de
tareas y acceso a plataformas físicas.



2



Documento técnico de Oracle: Seguridad y cumplimiento rentables de Oracle Database 11g versión 2

El cifrado y el enmascaramiento son importantes para la protección de datos fuera del perímetro
de control de acceso a la base de datos. Este proceso incluye datos contenidos en el disco,
datos en entornos de evaluación y desarrollo, datos que se transfieren entre una red y otra,
y datos de backup. Los ataques a los sistemas operativos dejan abierta la posibilidad de que se
acceda libremente y en forma directa a datos de carácter confidencial a través de los archivos que
integran la base de datos, para lo cual es necesario omitir los controles de acceso y autenticación
que la protegen. La utilización de datos de producción con fines de evaluación y desarrollo puede
poner datos confidenciales innecesariamente al alcance de individuos que no necesitan conocerlos.
Los controles de acceso estrictos dentro de la base de datos en la capa de datos permiten a las
organizaciones aumentar los estándares de seguridad de las aplicaciones existentes, así como
mejorar la protección de datos consolidados a partir de varios repositorios. La limitación del
acceso ad-hoc a los datos de las aplicaciones, incluso por parte de los administradores de la base
de datos, no solo permite atender a las cuestiones de privacidad y seguridad, sino que también
bloquea los ataques a cuentas de usuarios privilegiados.
Si bien el cifrado y el control de acceso son componentes clave de la protección de datos,
incluso los mejores sistemas de seguridad no son suficientes si no se cuenta con un sistema de
monitoreo. Así como las cámaras de video sirven como complemento para las alarmas sonoras
dentro y fuera de las empresas, el monitoreo de lo que sucede dentro de la base de datos y de las
solicitudes que ingresan en ella son aspectos fundamentales del principio “confiar, pero verificar”
y de la protección contra ataques de inyección SQL.

Cifrado y enmascaramiento

Cifrado de datos estáticos
Oracle proporciona soluciones de cifrado sólidas que permiten proteger los datos confidenciales
del acceso no autorizado a través del sistema operativo o de medios de backup. El cifrado
de datos transparente (TDE) de Oracle Advanced Security posibilita el cumplimiento de los
requisitos regulatorios y de privacidad al cifrar información de identificación personal (PII) como
números de seguro social e información financiera como números de tarjetas de crédito. Oracle
Advanced Security ofrece la capacidad de cifrar aplicaciones enteras mediante el cifrado TDE de
espacio de tablas, así como de cifrar datos confidenciales individuales mediante el cifrado TDE
de columnas. El cifrado TDE de Oracle Advanced Security permite que las empresas cifren sus
bases de datos Oracle rápidamente y en forma rentable; para hacerlo, impide el acceso a datos
confidenciales a través del sistema operativo sin tener que modificar las aplicaciones y ayudando
a cumplir una amplia variedad de regulaciones.

3



Documento técnico de Oracle: Seguridad y cumplimiento rentables de Oracle Database 11g versión 2



Figura 2: Oracle Advanced Security


El cifrado TDE de Oracle Advanced Security cifra datos con transparencia antes de escribirlos
en el disco y los descifra en forma transparente al extraerlos del disco. La diferencia principal
entre el cifrado TDE de Oracle Advanced Security y las soluciones de cifrado basado en disco
o volumen es que los datos solo se descifran después de que un usuario se ha autenticado en la
base de datos Oracle y ha aprobado los controles de autorización relacionados en el nivel de la
aplicación o de la base de datos. Además, Oracle Advanced Security es compatible con Kerberos,
PKI y RADIUS, lo cual otorga un nivel de autenticación a las bases de datos más estricto.
A través del cifrado TDE de Oracle Advanced Security, las rutinas actuales de backup de la base
de datos siguen en funcionamiento y los datos permanecen cifrados en el medio de backup.
Para cifrar backups de bases de datos enteras, el cifrado TDE de Oracle Advanced Security
puede usarse en combinación con Oracle RMAN.
Una parte importante de cualquier solución de cifrado de datos es la administración de las claves
de cifrado. Oracle Advanced Security administra las claves de cifrado en forma transparente y,
para ello, utiliza una arquitectura de claves de dos capas que consiste en una sola clave de cifrado
maestra y una o más claves de cifrado de datos. Oracle Advanced Security almacena fácilmente
la clave de cifrado maestra en un archivo cifrado PKCS#12 conocido como Oracle Wallet.
Tanto la clave maestra de cifrado TDE como las claves de cifrado de datos para el cifrado TDE
de columnas pueden rotarse según se necesite. Debido a los requisitos de recuperación y backup,
las claves de cifrado maestras utilizadas con anterioridad se conservan en Oracle Wallet. La clave
maestra de cifrado TDE, nueva incorporación a Oracle Database 11g, puede almacenarse en un
módulo de seguridad de hardware (HSM). La integración en HSM permite la administración
centralizada de las claves de cifrado maestras, así como el almacenamiento de claves de cifrado
certificado FIPS 140-2 de nivel 2 ó 3. Este aspecto resulta particularmente útil para las bases
de datos que utilizan Oracle Advanced Security. Oracle Advanced Security interopera con
dispositivos HSM mediante la interfaz PKCS #11 estándar en el sector.

4



Documento técnico de Oracle: Seguridad y cumplimiento rentables de Oracle Database 11g versión 2

El cifrado TDE de Oracle Advanced Security puede usarse en una amplia gama de aplicaciones,
incluidas Oracle E-Business Suite, Oracle Siebel, Oracle PeopleSoft, Oracle JD Edwards
EnterpriseOne, Oracle Retail Applications (Retek), Oracle Financial Services (iFlex), Infosys
Finacle y SAP.
Para obtener un procesamiento criptográfico de alto rendimiento, Oracle Database 11g versión 2
(11.2.0.2) con Oracle Advanced Security utiliza automáticamente la aceleración criptográfica de
hardware disponible en casi todas las CPU Intel® XEON®
5600; para ello, aprovecha las nuevas
instrucciones de estándar de cifrado avanzado (AES-NI). Este aumento adicional del rendimiento
resulta particularmente útil para el almacén de d