Upload
carsten-muetzlitz
View
92
Download
1
Embed Size (px)
Citation preview
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Oracle Direct Security Day 2015 2
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Share with
Bitte Fragen über den
WebEx-Chat
#ODSD2015
OracleDirect Security Day 2015
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 4
OD Sec Day: Die heutige Tages-Agenda
OracleDirect Security Day 2015
• 10:00 Uhr: Negib Marhoul Zugunsten einer ganzheitlichen Sicherheit – Security by Design
• 11:15 Uhr: Martin Obst Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar
• 13:00 Uhr: Carsten Mützlitz Typische Angriffsszenarien und deren Auswirkungen Der Security Smoke Test
• 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT-Infrastrukturen
• 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert
• 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015
Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse
INFORMATIONSSICHERHEIT als Prozess
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Pro
ze
ss
e
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz Informationswerte
(Vetraulichkeit, Integrität)
Sicherstellung der Verfügbarkeit
Disaster Recovery /Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch Systeme (HW& OS)
Netze Software Daten
Bu
ild
Op
era
te
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits- organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
syteme Firewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-management
Sichere OS
System-Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-performance Monitoring
CM
Hot-Backup Gebäudesicherheit Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-überwachung
Videoaufzeichnung Activity Logging
Sicherheitsaudits Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be-trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen”
5
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Negib Marhoul Oracle Systemberatung Potsdam
SECURITY Inside-Out
Zugunsten einer ganzheitlichen Sicherheit – Security By Design
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect Security Day 2015 7
Informationssicherheit als Prozess
Datensicherheit im Data Warehouse
Mit den richtigen Maßnahmen zur angemessenen Sicherheit
1
2
3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015
Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse
INFORMATIONSSICHERHEIT als Prozess
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Pro
ze
ss
e
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz Informationswerte
(Vetraulichkeit, Integrität)
Sicherstellung der Verfügbarkeit
Disaster Recovery /Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch Systeme (HW& OS)
Netze Software Daten
Bu
ild
Op
era
te
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits- organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
syteme Firewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-management
Sichere OS
System-Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-performance Monitoring
CM
Hot-Backup Gebäudesicherheit Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-überwachung
Videoaufzeichnung Activity Logging
Sicherheitsaudits
Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be-trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen”
8
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect Security Day 2015 9
Informationssicherheit als Prozess
Datensicherheit im Data Warehouse
Mit den richtigen Maßnahmen zur angemessenen Sicherheit
1
2
3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Herausforderung und Ziele im Data Warehouse Projekt
Ein DWH ist ein langlebiges Softwareprojekt im Unternehmen
Zentrale Datenbasis zur Unternehmenssteuerung
Fachlich verständlicher und schneller Zugriff auf alle Kennzahlen im Unternehmen
Historisierte Daten und vom operativen System entkoppelt
Oracle Direct Security Day 2015 10
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Hier gelten die selben Sicherheitsanforderungen
Mit dem Sicherheitsmanagement wurde definiert:
Mandantenfähigkeit
Oracle Direct Security Day 2015 11
Entwicklung eines Data Warehouse Systems
Definition der Geschäftsziele
MJ
A
C
A Q
L
Vorberechnete Kennzahlen
JSON
Unstructured JSON Data
Data Mining Statistikdaten
Oracle R
Stern Modell
Entwicklung des Informationsmodell
File (FS/HDFS)
Datenbanken
Anwendungen
Bestimmung der Quellen
Entwicklung der Datenbewirtschaftungsprozesse
(Performance & effiziente Datenhaltung)
Der Sicherheitsprozess muss Bestandteil der DWH Entwicklung werden!
z.B. Mandantenfähigkeit durchgängig entwickeln
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Applications
Zentrale Zugriffsüber
wachung Users
Zugriffs kontrolle
Privileged Users Mandanten
fähigkeit
12
DURCHGÄNGIGE SICHERHEIT Am Beispiel Mandatenfähigkeit
Oracle Direct Security Day 2015
Die selben Sicherheits-
anforderungen
In Memory
weitere Entwicklungen
Die selben Sicherheits-
anforderungen
Big Data
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
DEMO - Mandatenfähigkeit im DWH Umfeld
Oracle Direct Security Day 2015 13
• Simulation eines Zugriff auf das DWH von unterschiedlich privilegierten Anwendern
•Umsetzung der Sicherheitsstandards auch nach einer Weiterentwicklung des DWH Systems
•Der Sicherheitsprozess wird in die DWH Entwicklung eingebunden und Maßnahmen umgesetzt
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Agenda für die nächsten 30-45 Minuten
OracleDirect Security Day 2015 14
Informationssicherheit als Prozess
Datensicherheit im Data Warehouse
Mit den richtigen Maßnahmen zur angemessenen Sicherheit
1
2
3
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Direct Security Day 2015 15
Security by Design KORRIDOR Durch angemessene technische Maßnahmen
Security By Design
Technische Funktion
WENIG SECURITY
VIEL SECURITY
SECURITY BY DESIGN KORRIDOR
chronologische Softwareentwicklung
- Den Sicherheitsprozess in die DWH-Entwicklung einbinden!
- Praktikabel - Verfügbar - Effizient
Security By Design
IT SICHERHEITS VORGABEN
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 16
OD Sec Day: Die heutige Tages-Agenda
OracleDirect Security Day 2015
• 11:15 Uhr: Martin Obst Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar
• 13:00 Uhr: Carsten Mützlitz Typische Angriffsszenarien und deren Auswirkungen Der Security Smoke Test
• 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT-Infrastrukturen
• 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert
• 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The preceding is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
17 Oracle Direct Security Day 2015
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 18 Oracle Direct Security Day 2015