PDF de programación - Opciones de Seguridad de la BD Oracle 10g R2

Whitepaper Seguridad

 

Opciones  de  Seguridad  de  la  BD  Oracle  10g  R2 
(Oracle Database Vault, Oracle  Advanced Security 
Option y Oracle DataMasking) 

isvega 
19‐Abril‐2009 
 

2 

 

Contenido 

  

Tabla de contenido 

Introducción .................................................................................................................................... 3 

ORACLE DATABASE VAULT .............................................................................................................. 4 

Cumplimiento de controles............................................................................................................. 4 

Oracle Database Vault  y cumplimiento regulatorio....................................................................... 5 

Links de interés:............................................................................................................................... 8 

ORACLE  ADVANCED  SECURITY OPTION......................................................................................... 9 

ORACLE DATAMASKING ................................................................................................................ 14 

 

 

Pág. 2 

3 

 

 

Introducción 
Durante la última década han aparecido diversas regulaciones que dictaminan estrictos controles 
internos y protección de la información de identificación personal (PII). Constituyen ejemplos de 
estas regulaciones la ley Sarbanes‐Oxley (SOX), el Estándar de Seguridad de Datos de la Industria 
de Tarjetas de Pago (PCI), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la 
Ley de Instrumentos Financieros y Bolsa (Japón), la Ley Basel II y la Directiva de la Unión Europea 
sobre  Privacidad  y  Comunicaciones  Electrónicas  en  Europa.  La  continua  necesidad  de  nuevas 
regulaciones en todo el mundo combinada con la naturaleza cada vez más sofisticada del robo de 
información requiere de una sólida seguridad de datos.  

Si  a  la  fecha  Internet  ha  venido  acelerando  el  desarrollo  de  nuevas  aplicaciones  para  todos  los 
aspectos del procesamiento de negocios, las regulaciones ahora requieren controles mucho más 
estrictos  para  la  información  delicada,  tanto  financiera  como  relacionada  con  la  privacidad.  Se 
requieren  soluciones  de  seguridad  transparentes  para  implementar  los  controles  más  estrictos 
porque la mayoría de las aplicaciones se basan en la seguridad a nivel de aplicación para restringir 
el acceso a datos  delicados. Los  conceptos  de seguridad como  menor privilegio y necesidad de 
saber  se  consideraban  menos  importantes  que  la  escalabilidad  y  la  alta  disponibilidad.  Los 
productos  de  Oracle  en  seguridad  de  datos  complementan  la  seguridad  a  nivel  de  aplicación 
permitiendo  a  las  organizaciones  minimizar  los  costos  asociados  con  el  cumplimiento  de  las 
regulaciones y la implementación de los estrictos controles internos. 

Oracle  en  sus  32  años  de  existencia  ha  venido  innovando  y  fortaleciendo  su  portafolio  de 
soluciones  tanto  en  características  embebidas  en  la  Base  de  datos  como  funcionalidades  con 
mayor nivel de especialización denominadas opciones, las cuales habilitan la adopción de mejores 
prácticas y facilitan el cumplimiento de requerimientos asociados con la aplicación de controles, 
monitoreo y administración de la plataforma Oracle.  Este documento centra su atención en las 
opciones de Cifrado (Oracle Advanced Security Option), Segregación de deberes (Oracle Database 
Vault)  y  Mascaramiento  de  datos  en  ambientes  de  desarrollo  y  test  (Oracle  DataMasking)  y  los 
controles que pueden ser implementados para dar cumplimiento a marcos regulatorios globales 
y/o locales.    

 

 

Pág. 3 

4 

 

ORACLE DATABASE VAULT 

Qué es Oracle Database Vault? 
Oracle Database Vault es una opción de seguridad de la BD que se utiliza para proteger datos de la 
aplicación ante interacciones del DBA, mejora la protección de las estructuras de la base de datos 
ante  cambios  no  autorizados  y  cuenta  con  una  amplia  variedad  de  controles  de  acceso  para 
implementar requerimientos de seguridad de  manera dinámica  y flexible. Esas Características le 
ayudan  a  adherirse  a  Estándares  relacionados  con  la  separación  de  tareas,  cumplimiento 
regulatorio y control interno. Se configura Oracle Database Vault para Gestionar la seguridad por 
las instancias individuales de Base de datos. Es posible usar Oracle Database Vault en instalaciones 
standalone de la BD Oracle Database y en ambientes. Oracle Real Application Clusters (RAC)  

La  configuración  de  Oracle  Database  Vault  se  hace  de  manera  individual  para  gestionar  la 
seguridad  de  cada  instancia.  Esta  opción  se  instala  en  las  versiones  standalone  de  Oracle 
Database, en múltiples Oracle homes, y en ambientes de Oracle Real Application Cluster (RAC). 

Oracle  Database  Vault  requiere  que  las  versiones  de  la  base  de  datos  sean  Oracle  9i  (9.2.0.8) 
Enterprise  Edition  u  Oracle  Database  10g  Release  2  (10.2.0.3)  Enterprise  Edition  o  versiones 
superiores. 

Cumplimiento de controles  
Las  opciones  de  seguridad  de  la  base  de  datos  Oracle,  dan  cumplimiento  a  un  amplio  rango  de 
regulaciones y normativas entre las que se destacan las siguientes: 

 

Pág. 4 

 



5 

 

Oracle Database Vault  y cumplimiento regulatorio 
Los  reinos  definidos  en  Oracle  Database  Vault,  Características  para  segregar  deberes,  el  uso  de 
reglas  de  comandos  y  el  uso  de  factores  son  aplicables  para  reducir  el  riesgo  mapeando  los 
requerimientos expresos en regulaciones de alcance mundial.  Regulaciones tales como Sarbanes‐
Oxley (SOX), Healthcare Insurance Portability and Accountability Act (HIPAA), Basel II y PCI tienen 
requerimientos  comunes  que  incluyen  el  uso  de  controles  internos,  separación  de  deberes  y 
control fuerte para el acceso a información sensible del negocio. Mientras muchos requerimientos 
encuentran en regulaciones tales como SOX y HIPAA son Iniciativas de naturaleza procedimental, 
se  requiere  de  las  soluciones  técnicas  para  mitigar  esos  riesgos asociados  con  ítems  tales  como 
modificaciones no autorizadas de los datos y accesos inapropiados. 

 

Pág. 5 

 

6 



Sarbanes Oxley Section 404

Para la regulación Sarbanes Oxley se aplican las mejores prácticas de Oracle para el aseguramiento 
de la base de datos cumpliendo con los siguientes requerimientos: 

• Bloqueo y expiración de cuentas por defecto  
• Designar una cuenta específica de BD para la creación de usuarios  
• Database Vault 
• Usar un nuevo almacén externo para contraseñas donde sea posible realizar  procesos en 

lotes. 

• Asignar una cuenta específica de BD para la administración de todas las políticas VPD 

(Virtual Private Database) que se tienen o se planean crear. 

• Designar una cuenta específica de BD para Gestionar todas las políticas FGA que se tienen 

o se planean crear. 


Limitar conectividad como SYSDBA donde sea posible 

• Oracle está en el proceso de eliminar la dependencia de conexiones SYSDBA (en versiones 

11g y superior) 

• Comenzar usando SYSOPER para operaciones shutdown / Startup. 


Auditoría de Base de datos  

• Auditar operaciones del sys  

 

Pág. 6 

7 

 

• Activar auditoria granular fina para tablas sensibles 
• Activar auditoria estándar  
• Considerar cuentas no propietarias al mínimo si su preocupación es desempeño. 
• Auditar todas las sentencias DDL 
•

Integrar con la solución Oracle Audit Vault  

 
Enterprise Manager Configuration Scanning 

• Escaneo básico de configuraciones en 10g R1 
• Mucho mejor en 10g R2 & superior. 
• El siguiente release –manejo de configuraciones estándar. 


Consideraciones para nuevos desarrollos  

• No usar información tipo PII (personal Identifable Information) en llaves primarias o 

foráneas. 

• Grabar tablas y vistas que contengan datos PII.  
• Cumplimiento 
• Auditoría 
• Diseño de gestión de Usuarios con base en directorios. 
• Aplicar el uso de tecnologías de esquema compartido.  
• No usar “select user from dual” en “application code” 



Diseño con nuevas tecnologías: Database Vault. 
 
El flujo de tareas que se deben realizar para la protección de esquemas o base de datos con Oracle 
Database Vault son las siguientes: 

 

Pág. 7 

8 

Access Control

Oracle Database Vault
Transparent Protection
1

Define Realms
(Block Highly Privileged Users)

2
3

Add SQL Command Rules

(Optional)

Add other security policies

(Optional)

4
5
6

PL/SQL scripts to deploy security policies

Test your application

Consider application maintenance

 

 

 

Links de interés:

• Oracle Database Vault Best practices: http://www.oracle.com/technology/deploy/security/database‐

security/pdf/twp_database_vault_bestpractices_20080219.pdf 

• Hands‐On: http://www.oracle.com/technology/deploy/security/database‐security/database‐

vault/index.html 

• Preguntas y respuesta frecuentes: http://www.oracle.com/technology/deploy/security/database‐

security/database‐vault/dbv_faq.html 

 

 

Pág. 8 

9 

 

ORACLE  ADVANCED  SECURITY OPTION 

Qué es Oracle ASO? 
Oracle Advanced Security es una opción de seguridad de la BD para Oracle Database 11g. Liberada 
desde la versión Oracle8i, Oracle Advanced Security combina capacidades de Cifrado en red, base 
de datos y autenticación fuerte todos juntos para ayudar a resolver los retos de las compañías en 
cuanto a requerimientos de privacidad cumplimiento:  

1. Cifrado transparente de datos  TDE. 

2. Cifrado de Red  

3. Autenticación fuerte  

TDE (Transparent Data Encryption) 
TDE está diseñado para proveer a los clientes la habilidad de cifrar de manera transparente dentro 
de la base de datos sin impactar a las a