Practical security hands on with oracle solaris

Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |

Seguridad práctica con Oracle SolarisDuncan Hardie, Principal Product Manager Darren Moffat, Senior Principal Software Engineer

Oracle SolarisMarzo de 2016

Aguarde un momento por favor. La sesión comenzaráen breve en el horario señalado en el programa. Muchas gracias.


200 millones ExperianMar 2014

150 milloneseBay

Mayo 2014

22 millonesEducaciónJul 2014

Bancos de SudáfricaOct 2013

Tarjetas de crédito

150 millones + código

Adobe Oct 2013

98 millonesTarget

Dic 2013

20 millonesCredit Bureau

12 millonesTelecom.

Ene 2014

56 millonesHome Depot

Sept 2014

InmigraciónJun2014

Registrospersonales

76 millonesJPMC

Oct 2014

La era de las megaviolaciones a la seguridad


53 millonesSony

Dic 2014

227 millones

80 millonesAnthem

Feb 2015

3


Ataques socialesComando y control

Ataque por fuerza bruta

Malware

Ataque por inyección de SQL

Robo de credenciales

Vectores de ataques típicos

Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 4


Los riesgos son externos; las vulnerabilidades, internas

5


Nuestro tema de hoy: la seguridad en todos los niveles• Aplicación

– Privilegios mínimos

• SO – Arranque verificado

• Virtualización– Zonas inmutables

• Red– Rango de direcciones IP

• Capa de almacenamiento– Cifrado ZFS

Oracle Solaris Oracle SolarisOracle Solaris

Zona Zona

Zona Zona

Zona

Zona

Zona

Zona

6


Amenaza N° 1: Administrador inexperto con demasiados privilegios

7



Oracle Solaris mitiga el abuso y mal uso de credenciales

DelegaciónAcceso de usuarios basado en

actividades

Control basado en horariosControla cuándo los usuarios realizan acciones

Oracle Corporation - Confidencial 9


Amenaza N° 2: Instalación de troyano malintencionado

10



Antimalware/ Prevención de mal uso

• Línea de base reforzada

• Máquinas virtuales inmutables

• Arranque verificado

• Instalación y actualización seguras

Auditoría de contenido de archivos

• Monitoreo automático

• Registro de identidad

• Registro de diferencias en archivos

Aplicaciones de código abierto mejoradas

• sudo

• Puppet

• Y muchas más...

Registro de estándares del sector

• Obtención remota

• Integración con SIEM

Infraestructura segura: tecnologías de respaldo

12


Amenaza N° 3: Acceso malicioso a máquina virtual

13



• Zonas inmutables– Virtualización de solo lectura– También es posible con una zona global

y un invitado OVM Server para SPARC – Acceso a través de ruta de confianza

• Novedad: configuración de zonas dinámicas, permite crear zonas– Muy útil para nodos Openstack Nova

• Plantillas listas para usar

Protección de la infraestructura de aplicacionesMáquinas virtuales de solo lectura

Ninguna Flexible Fija D-Zone Estricta

/, /usr, /lb, … Permite escritura

Solo lectura

Solo lectura

Solo lectura

Solo lectura

/etc Permite escritura

Permite escritura

Solo lectura

Solo lectura

Solo lectura

/var Permite escritura

Permite escritura

Permite escritura

Permite escritura

Solo lectura

otro Permite escritura

Solo lectura

Solo lectura

Solo lectura

Solo lectura

Crear zona Sí No No Sí No

15


Cómo frenar el ingreso de malwareSistemas y máquinas virtuales inmutables

– No se permite el ingreso de atacantes– Se evitan errores del administrador– Se actualiza aun cuando los usuarios y

aplicaciones no tengan permisos de escritura

Software destinado a alterar sistemas– Firmware para aplicaciones – Instalar solo software conocido y de

confianza– Si no tiene firma, no instalar– Arranque verificado

16


Amenaza N° 4: Explotación de la red

17



Amenaza N° 5: Intento de acceder a datos confidenciales

19



Seguridad de Oracle por dentro y por fueraCapas de la pila

Oracle Corporation - Confidencial 21

S E G U R I D A DS E G U R I D A D

S E G U R I D A D

S E G U R I D A D

S E G U R I D A D

S E G U R I D A D

S E G U R I D AD

Gobierno, riesgo y cumplimiento (GRC) Revisión de acceso y certificaciones, detección de anomalías,aprovisionamiento de usuarios, gestión de derechos (entitlements)

Seguridad móvil, usuarios con privilegiosServicios de directorios, regulación de identidades Gestión de derechos, gestión de acceso

Cifrado, enmascaramiento, redacción, gestión de clavesControl de usuarios con privilegios, seguridad de grandes volúmenesde datos, configuración seguraEspacio seguro para aplicación + usuario, administración delegadaSistema antimalware, protección de datos + redInformes de cumplimiento de normativa, ciclo de vida de aplicaciones seguro Migración en vivo seguraZonas inmutables Plano de control independiente

Aceleración criptográfica Integridad de datos de aplicacionesArranque verificado

Cifrado de discos, Copias de respaldo segurasGestión de claves empresariales

SPARC/Solaris


LA SEGURIDAD INCORPORADA POR DENTRO Y POR FUERA AHORRA TIEMPOYDINERO, YREDUCE LOS RIESGOS

Mitiga el abuso y mal uso de credenciales

Ciclo de vida segurogarantizadoCifrado de todo, en todas partes, todo el tiempo

22


Preguntas y respuestas

23

Copyright © 2014 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 24


52%

34%

11%

4%

Base de datos

Red

Aplicación

Middleware

Capas informáticas más vulnerables a ataques

67%

15%

15%

3%

Base de datos

Red

Aplicación

Middleware

Asignación de recursos para proteger la capa informática

Fuente: CSO Online MarketPulse, 2013

Garantizar la seguridad de la red no basta: hay que proteger los datos