PDF de programación - Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo

Documento técnico de Oracle
Junio de 2009

Oracle Database 11g: Soluciones rentables
para seguridad y cumplimiento normativo



Documento técnico de Oracle: Seguridad de Oracle Database

Protección de información delicada
Todo tipo de información, desde secretos comerciales hasta datos financieros e
información privada, ha pasado a ser el objetivo de sofisticados ataques provenientes de
ambos lados del firewall. Si bien la mayoría de las empresas han implementado
tecnologías de firewall, detección de intrusiones y filtro de correo no deseado, para
proteger los datos ahora se necesita una estrategia de defensa en profundidad que
también incluya el cumplimiento normativo. Con el respaldo de 30 años de experiencia
en seguridad, Oracle Database ofrece controles de defensa en profundidad que permiten
a las empresas proteger su información de manera transparente. Estos controles otorgan
a las empresas la posibilidad de proteger sus datos y asegurarse de lograr el
cumplimiento normativo de forma rentable y sostenible.

Impulsores de las medidas de seguridad
El avance de la tecnología dio lugar al surgimiento de Internet y la globalización de la
economía, y ha permitido a las empresas reducir los costos y aumentar la productividad
considerablemente. Sin embargo, la tecnología también permite enviar amenazas para
los datos desde cualquier parte del mundo. Ciertos impulsores del negocio, como la
consolidación de la información, la tercerización estratégica y la computación en nube
son cada vez más importantes para reducir los costos. Sin embargo, no es posible
implementar estos requisitos sin controles de seguridad adecuados y soluciones de
seguridad innovadoras. El desafío no es sólo proteger los datos, sino hacerlo de tal
manera que permita mantener la escalabilidad, el rendimiento y la elevada disponibilidad
de las aplicaciones.



1

Documento técnico de Oracle: Seguridad de Oracle Database

Figura 1. Impulsores de medidas de seguridad en negocios globales

La protección contra la pérdida accidental e intencional de datos por causas internas
requiere la implementación de los principios de "necesidad de conocimiento" y de
"confiar y verificar". En varios países, como Estados Unidos y Japón, se han aprobado
leyes que exigen controles internos de los datos financieros. Asimismo, hay cada vez
más normativas sobre privacidad que obligan a cifrar la
información personal
identificable. Por ejemplo, en los Estados Unidos, más de 40 estados aprobaron algún
tipo de ley sobre notificación de violaciones de datos. Al mismo tiempo, algunas
iniciativas impulsadas por la industria, como la norma de seguridad de los datos de la
industria de tarjetas de pago (PCI), implican la restricción del acceso a información sobre
tarjetas de crédito.

2

Documento técnico de Oracle: Seguridad de Oracle Database

Seguridad de defensa en profundidad
La defensa en profundidad conlleva un enfoque holístico de la seguridad de los datos.
Por lo tanto, es necesario tener en cuenta todo el ciclo de vida de los datos, dónde se
encuentran, qué aplicaciones y qué usuarios tienen acceso a ellos, en qué condiciones
ocurre el acceso, y asegurarse de que los sistemas estén configurados adecuadamente
y se mantengan así. Los tres elementos clave de este enfoque son el cifrado y
enmascaramiento de datos, el control de acceso y el monitoreo:



Figura 2. Defensa en profundidad

El cifrado y el enmascaramiento de datos son procesos importantes para proteger los
datos fuera del perímetro de control de acceso de la base de datos. Los datos
almacenados en discos por debajo de la base de datos y las aplicaciones, los datos
utilizados en entornos de prueba y de desarrollo, los datos que se transfieren a través de
la red y los datos almacenados en medios de backup requieren una protección que
solamente puede obtenerse mediante el cifrado y el enmascaramiento. El descarte de
unidades de disco y la presencia de superusuarios en el sistema operativo abren la
puerta al acceso sin impedimentos a ciertos datos delicados sin que se realice una
autenticación y ni se apliquen controles de acceso de la base de datos. El envío de datos
de producción a otros departamentos para pruebas y desarrollo implica una exposición
innecesaria de los datos delicados a personas que no tienen una verdadera necesidad
de conocimiento. Sin duda, los datos que se transmiten por una red están expuestos a
un elevado riesgo de acceso no autorizado.

3

Documento técnico de Oracle: Seguridad de Oracle Database

En la actualidad, los controles de acceso más allá de las aplicaciones son
imprescindibles para que la empresa pueda obtener los beneficios de la consolidación de
la información, la tercerización internacional y la computación en la nube. Hasta el
momento, el diseño de las aplicaciones apuntaba a escalar a los requisitos de Internet y
ofrecer acceso funcional según el rol del usuario. Hoy en día, sin embargo, las
reglamentaciones y las leyes sobre privacidad exigen que se limite el acceso a los datos
de las aplicaciones, incluso para el administrador de la base de datos y, especialmente,
para las herramientas ad hoc que permiten burlar las aplicaciones.

Si bien el cifrado y el control de acceso son componentes clave de la protección de
datos, incluso los mejores sistemas de seguridad necesitan la ayuda de un sistema de
monitoreo. Así como las cámaras de video sirven como complemento para las alarmas
sonoras en los hogares y las empresas, el monitoreo ofrece información complementaria
sobre quién, qué y cuándo se accedió a los datos para los sistemas de cifrado,
enmascaramiento y control de acceso.

Solución de seguridad de defensa en profundidad de
Oracle
Oracle ofrece una solución de defensa en profundidad integral y transparente que
satisface los desafíos asociados a las iniciativas comerciales y el complejo entorno
normativo que rige la economía mundial de hoy en día.

Figura 3. Solución de defensa en profundidad de Oracle



4

Documento técnico de Oracle: Seguridad de Oracle Database

Cifrado y enmascaramiento

• Oracle Advanced Security ofrece un cifrado transparente de los datos almacenados y

de los datos en tránsito.

• Oracle Secure Backup es una solución de backup en cinta que cifra las bases de datos

y los datos del sistema de archivos.

• Oracle Data Masking des-identifica los datos de producción antes de transferirlos a

entornos de prueba o a socios.

Control de acceso

• Oracle Database Vault ofrece control de acceso para los usuarios administrativos y

con privilegios, y controles en tiempo real de la actividad de la base de datos.

• Oracle Label Security ofrece control de acceso según la clasificación de los datos.

Monitoreo

• Configuration Management de Oracle Enterprise Manager analiza la base de datos y el
sistema de archivos en busca de parámetros de configuración relacionados con la
seguridad.

• Oracle Audit Vault consolida los datos de auditoría de varios servidores a fin de llevar
un registro de la actividad de los usuarios, y crea informes y alertas sobre actividades
sospechosas.

• Oracle Total Recall ofrece un historial de los cambios realizados sobre los datos

delicados.

5

Documento técnico de Oracle: Seguridad de Oracle Database

Cifrado y enmascaramiento
Cifrado de datos transparente
Oracle ofrece sólidas soluciones de cifrado que permiten proteger los datos delicados
contra el acceso no autorizado en el ámbito del sistema operativo y contra el robo de
hardware o medios de backup. Oracle Transparent Data Encryption (TDE) permite
satisfacer requisitos de privacidad y de la industria de tarjetas de pago mediante el
cifrado de la información personal identificable, como números de seguridad social y de
tarjetas de crédito.



Figura 4. Cifrado y autenticación firme de Oracle

Oracle permite cifrar de forma transparente columnas específicas de datos delicados
mediante el cifrado de columnas TDE, o cifrar aplicaciones completas mediante el
cifrado de espacios de tablas TDE. Con Oracle Enterprise Manager, es posible cifrar fácil
y rápidamente una columna o crear un espacio de tablas completamente cifrado para
almacenar todas las tablas de aplicaciones. El cifrado TDE es totalmente transparente
para las aplicaciones existentes y no requiere activadores, visualizaciones ni otros
cambios de aplicaciones. Se cifran los datos de forma transparente cuando se escriben
en el disco y se descifran de forma transparente una vez que se autenticó correctamente
al usuario de la aplicación y se aprobaron todos los controles de autorización. Las rutinas
de backup de la base de datos ya implementadas siguen en funcionamiento, mientras
que los datos se conservan cifrados en el backup. Para cifrar backups de bases de datos
completas, se puede usar TDE en combinación con Oracle RMAN a fin de cifrar los
backups en el disco. El cifrado de columnas TDE y el cifrado de espacios de tabla TDE
cuentan con la certificación para aplicaciones Siebel, PeopleSoft y Oracle E-Business
Suite.

Oracle Database 11g también permite almacenar la clave maestra de cifrado de TDE
externamente en un módulo de seguridad de hardware (HSM) mediante la interfaz

6

Documento técnico de Oracle: Seguridad de Oracle Database

estándar PKCS#11. Esta forma de almacenamiento ofrece un mayor nivel de seguridad
para proteger la clave maestra de TDE.