Получен сертификат ФСТЭК на Oracle Database 12c

Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ЗАО "Центр разработки, испытаний и обучения в области информационных технологий" (ЦРИОИТ) завершило работы по сертификационным испытания СУБД Oracle Database 12c с используемыми компонентами Advanced Security и Database Vault и получило сертификат ФСТЭК №3611 сроком действия до 6 сентября 2019 г.

Это - наш первый опыт сертификации в режиме производства на территории Российской Федерации разработанных в Oracle Corporation программных решений; в связи с чем возможны небольшие изменения в Регламенте выдачи дистрибутивов обновлений, которые будут проходить проверку и выдаваться ЗАО ЦРИОИТ.

Свежие аналитические отчеты от Gartner

В соответствии с Gartner's Magic Quadrant for Identity Governance and Administration от 29 февраля 2016 года решения Oracle Identity Management продолжают лидировать на рынке.

Среди преимуществ Oracle Identity Governance Suite 11gR2 PS3 перечислены: 

• Гибкость и кастомизируемость решений, а также эффективная модель данных, позволяющая перенести исполнение ресурсоемких задач на уровень СУБД
• Единая технологическая платформа, включающая управление мобильными ресурсами
• Глубокая интеграция в семейство решений Fusion Middleware, позволяющая заказчикам получать синергетический эффект от совместного использования продуктов
• Возможность повсеместного развертывания за счет глобального присутствия на рынке вендора и наличия разветвленной партнерской сети

Нашлись и недостатки - относительная сложность внедрения, требующая обучения сотрудников или привлечения сторонних ресурсов, не самые восторженные отзывы заказчиков и опасения в связи с реорганизацией...

В последнем пункте речь возможно идет об облачном курсе Oracle и о том, как он повлияет на планы развития продуктов и сроки появления новых версий. Тут я могу всех успокоить - уже в этом квартале мы должны анонсировать новые Identity Cloud Services, а затем - 12 версию IdM.

Как минимум в течение года по этой ссылке можно будет посмотреть оригинал отчета.

Кстати Gartner ужесточил требования к участникам сравнения - например, из пятерых прошлогодних лидера оставил только троих самых-самых, а общее число претендентов сократилось с 19 до 14... О других изменениях можете почитать в статье "What’s Changed: Gartner’s 2016 Magic Quadrant for Identity Governance and Administration (IGA)".


Второй отчет - Gartner's Magic Quadrant for Data Masking Technology от 22 декабря 2015 года - подтверждает наше лидерство в области защиты данных.

Аналитики Gartner отметили, что “организации должны обеспечивать маскирование, деперсонализацию и защиту конфиденциальных данных при их хранении внутри компании и защите от внешних атак. Применение технологии обезличивания данных помогает организациям повысить уровень безопасности и обеспечить конфиденциальность данных и в то же время - обеспечить соответствие требованиям регуляторов.

В отчете Gartner также отмечается, что “обезличивание данных предназначено для обеспечения защиты данных, сохраняя при этом удобство использования защищенными данными. Это необходимо для тестирования приложений (когда тестирование должно быть проведено на тестовых данными вместо реальных) и проведения статистического анализа (который предполагает использование совокупности данных для скоринга и статистической отчетности, где не требуются конфиденциальные данные, которые должны быть сохранены в тайне, а достаточно статистической). Все большее число предприятий внедряют технологии маскирования и объявляют ее обязательной частью своей стратегии безопасности.”

Среди преимуществ решения Oracle перечислены: 

• Высокая производительность при маскировании и подготовке выборок в СУБД Oracle
• Встроенность решения для динамического маскирования данных с учетом множества факторов - имени пользователя, его роли, IP-адреса клиента и т.п.
• Уникальный интерфейс для поиска конфиденциальных данных как в локальных ЦОДах, так и в облачных СУБД
• Несколько дополняющих решений ИБ - шифрование, управление ключами, анализ SQL-запросов и защита данных аудита, контроль доступа привилегированных пользователей

В плюсы Oracle Data Masking and Subsetting Pack я бы еще добавил прединтегрированности с популярными бизнес-приложениями (например, готовые шаблоны для Oracle E-Business Suite) и средствами тестирования (например, пакетом Real Application Testing). Подробности - на http://www.oracle.com/technetwork/database/options/data-masking-subsetting/learnmore/index.html

Недостатки переводить не буду, т.к. фактически это не недостатки :-) Желающие могут убедиться сами:

• For non-Oracle Database SDM (Static Data Masking), an Oracle RDBMS and Oracle Database Gateway must be part of the data discovery and SDM. To address users' needs, a restricted use license for Oracle Database Gateway is included with Oracle Data Masking and Subsetting Pack for non-Oracle Databases at no extra charge.
  
• SDM for big data requires loading Hadoop data into Oracle, masking it there and then loading it back into Hadoop. Support for Hadoop beyond Oracle Big Data Appliance is planned.
  
• DDM (Dynamic Data Masking) for Hadoop also requires Oracle Big Data Appliance. Hadoop plugs into Oracle RDBMS as an external table, Oracle queries it and responses come back to Oracle, and then Oracle masks them dynamically.
  
• For unstructured data outside the database, Oracle does not offer a data redaction tool, but rather a set of APIs for operating on unstructured data. The vendor does provide this functionality as part of a different product line, Oracle WebCenter.
  

Как минимум в течение года по этой ссылке можно будет посмотреть оригинал отчета.

Получен новый сертификат ФСТЭК на ПО Oracle Audit Vault and Database Firewall

Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ООО "ФОРС-Центр разработки" завершило работы по сертификационным испытания ПО Oracle Audit Vault and Database Firewall 12.1.2 и получило сертификат ФСТЭК №3364 сроком действия до 2 апреля 2018 г.


Соответствующий пресс-релиз размещен в разделе новостей компании Oracle и ее партнеров; обновлена сводная таблица сертифицированных средств защиты информации в посте от 15 января 2015 г.

Это высокопроизводительное средство разграничения доступа и регистрации событий безопасности обеспечивает защиту баз данных Oracle Database 9i, 10g, 11g, 12c; MySQL 5.0, 5.1, 5.5, 5.6; IBM DB2 for Linux, UNIX, Windows 9.x; Microsoft SQL Server 2000, 2005, 2008, 2008R2, 2012; SAP Sybase ASE 12.5.4 – 15.7; SAP Sybase SQL Anywhere 10.0.1 от исполнения на них неразрешенных SQL-выражений, а также сбор, консолидацию, защиту и анализ журнальных файлов из различных источников. Подробности смотрите на сайте, в документациии и на портале поддержки.

Обратите внимание, что Oracle применяет встроенные в ядро СУБД и оптимизированные с точки зрения производительности механизмы получения данных аудита, которые не приводят к сбоям в работе. В нотах Database Instability Caused by 3rd Party Kernel Modules и Node Panic with deadbeefdeadbeef in the stack trace and Imperva Inc.' taints kernel.' in messages log на портале поддержки можно найти печальные примеры применения для тех же целей решений конкурентов.


Продукт представляет собой Software Appliance для x86-машин с преднастроенными ОС Oracle Enterprise Linux, СУБД Oracle Database Enterprise Edition и сервисом отчетности Oracle Business Intelligence Publisher. Oracle Audit Vault and Database Firewall лицензируется по числу процессоров в защищаемых СУБД.
 

Материалы недавних семинаров по информационной безопасности Oracle

Как обещали, выкладываем презентации с недавно прошедших в Москве мероприятий по информационной безопасности.

Партнерский семинар «Oracle Enterprise Security –
истории успеха и перспективы развития» 26 февраля 2015 года

 

Семинар «Oracle Secure Exadata: Защита конфиденциальной информации
и персональных данных для интегрированных систем» 3 марта 2015 года

Кроме того, в свободном доступе - подготовленные Николаем образы лабораторных работ.

Были рады видеть наших гостей; спасибо всем за замечательную атмосферу!

Получен новый сертификат ФСТЭК на средства защиты информации Exadata

Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ООО "ФОРС-Центр разработки" завершили работы по сертификационным испытания решения на основе ПО Oracle Database Enterprise Edition с опциональными компонентами Database Vault и Advanced Security и получило сертификат ФСТЭК №3215 сроком действия до 14 августа 2017 г.

В соответствии с ТУ 5021-002-52384799-2014 (доступными по требованию), проверка проводилась на программно-аппаратном комплексе Oracle Exadata Database Machine для ПО Oracle Database 11g R2 (версия 11.2.0.4) с опциями безопасности:

• Oracle Database Vault позволяет контролировать и запрещать, при необходимости, доступ администраторов и других привилегированных пользователей к данным, усилить защиту структур ПО Oracle Database 11g R2 от несанкционированного доступа и реализовать динамическую настройку политик безопасности за счет внутренних механизмов ПО;
• Oracle Advanced Security с помощью инструмента Data Redaction реализует политики, обеспечивающие изменение отображаемых данных полей СУБД различными методами.

Сертифицированное решение позволяет сервисным инженерам проводить на Exadata регламентные работы, включающие обновления ПО, без нарушения технических условий сертификации.
 
Еще одно важное обстоятельство - возможность частичного лицензирования опций безопасности СУБД (не на все имеющиеся процессоры Exadata) для машин в конфигурации от 1/4 стойки и выше. Таким образом, заказчики могут выделить на сервере зону с критически важной информацией и защитить только её более экономным способом.

Материалы с семинара по безопасности Exadata

Презентации, истории успеха заказчиков, скрипты лабораторных работ с прошедшего 27 января семинара выложены на Google Drive

Образы систем, использованные на семинаре, можно получить у нас в офисе у Николая Данюкова

Приглашаем на семинар по безопасности Exadata!

Уважаемые коллеги!
Представительство корпорации Oracle в России и СНГ приглашает Вас 27 января посетить бесплатный семинар, посвящённый защите данных на Exadata и включающий лабораторные работы по организации разграничения доступа к данным.
К участию приглашаются: технические специалисты, пресейл-консультанты, специалисты по защите информации.
 

Защита данных на Exadata: теория и практика

Программа мероприятия:
09:30 – 10:00    Приветственный кофе
10:00 – 10:30    Exadata – лучшая платформа для DBaaS - Вадим Гусев
10:30 – 11:10    Вопросы облачной безопасности - Андрей Гусаков
11:10 – 11:30    Проекты по защите Exadata - Onur Arsun (Oracle ECEMEA)
11:30 – 11:50    Демонстрация криптозащиты Exadata - Николай Данюков
11:50 – 12:10    Кофе-брейк
12:10 – 14:00    Лабораторные работы по организации разграничения доступа к данным - Николай Данюков
 
Место проведения: Отель «Новотель Новослободская», ул. Новослободская, 23 (м. «Менделеевская»), Конференц-зал «Вашингтон»
 
ВНИМАНИЕ! Во время первой части семинара на ноутбуки слушателей будет скопирован образ для проведения лабораторных работ.
Требования к машинам: Минимум 4 Gb RAM (2Gb занимает виртуальная машина) и 30 Gb свободного места на диске. Будет использован Virtual Box 4.3.6 (лучше установить перед занятием) http://download.virtualbox.org/virtualbox/4.3.6/VirtualBox-4.3.6-91406-Win.exe
Для регистрации на тренинг: пришлите заявку по адресу daria.knysh@oracle.com.
Предварительная регистрация является обязательной!
Ждём Вас!

Особо нетерпеливые могут ознакомиться с нашим первым опытом в области создания видеопрезентаций и посмотреть на YouTube ролик "Решения Oracle для обеспечения безопасности информации в СУБД".
 

Получен новый сертификат ФСТЭК для Oracle Database 11gR2 EE c Oracle Database Vault

Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ООО "ФОРС-Центр разработки" завершило испытания ПО Oracle Database 11g R2 Enterprise Edition с установленным опциональным компонентом Oracle Database Vault и получило сертификат ФСТЭК №2858 сроком действия до 27 марта 2016 г.

Испытания проведены сразу на трех платформах - Oracle Solaris 11 SPARC, Oracle Enterprise Linux v5.8 64-bit, Microsoft Windows 2008 R2 Enterprise Edition 64-bit SP1 - для СУБД Oracle версии 11.2.0.3. Общее число дистрибутивов - 120 экземпляров.

Регламент получения сертифицированных дистрибутивов опубликован в сообщении от 28 декабря 2012 г.

Новые аналитические отчеты от Gartner

В соответствии с тремя новыми отчетами аналитической компании Gartner, опубликованных в конце 2012 года, решения Oracle Identity Management продолжают лидировать на рынке.

Первый отчет Magic Quadrant for User Administration and Provisioning охватывает системы управления учетными записями и правами доступа к приложениям. Для анализа использовалось ПО Oracle Identity Manager и Oracle Identity Access Management Suite 11G R1, и поэтому этот отчет не учитывает новых возможностей, появившихся в связи с выходом в августе 2012 г. версии R2.

В качестве сильных сторон подчеркнуто, что у вендора хорошо интегрированная IAM платформа, имеется большое количество партнеров, а также появилось лицензирование по процессорам сразу целого набора продуктов, объединенного в Suites. К недостаткам отнесли сложность в понимании заказчиками границ проектов внедрения, цену на коннекторы (что как раз изменилось в связи с выходом Oracle Identity Governance Suite) и отставание от конкурентов в использования IAM в облачных решениях. Это не совсем так, поскольку уже давно существует коннектор OIM к Google Apps, а сам OIM используется в публичных облачных сервисах Oracle и интегрирован в Oracle Fusion Applications (которые могут работать как в режиме On-premise, так и в режиме Cloud).

Во втором отчете Magic Quadrant for Identity and Access Governance рассматриваются системы, обеспечивающие: (1) процесс запроса, утверждения, сертификации и аудита доступа к приложениям, данным и другим ИТ-сервисам, и (2) бизнес-аналитику того, как учетные данные создаются, управляются и используются для доступа. Программные средства и сервисы, которые покрывают большинство или все эти процессы входят в группу продуктов Identity and Access Governance (IAG).

Среди сильных сторон исследуемого решения Oracle Identity Analytics отмечены: расширенная функциональность в паре с другими оракловыми IAM-продуктами и улучшенный интерфейс для быстрой разработки бизнес-процессов. Также отмечено изменение ценообразования (добавление возможности лицензировать продукт по процессорам). К недостаткам отнесена ориентированность продуктов оракл на крупные предприятия с более сложными требованиями, наличие агрессивных конкурентов, предлагающих схожую по функциональности продукцию и, наконец, необходимость обновления до последней версии для того, чтобы получить множество новых привлекательных функций, позволяющих Oracle успешно конкурировать с небольшими компаниями.

Третий отчет MarketScope for Web Access Management акцентирует внимание на следующих потребностях рынка:

• Mobility - если раньше WAM-решения поддерживали только использование браузерных приложений на мобильных устройствах, то теперь вендоры улучшают продукты, добавляя поддержку родных, не браузерных приложений.
• Social - для поддержки авторизации, использующей идентификаторы из социальных сетей, вендоры предоставляют поддержку более новых REST-протоколов. 
• Cloud - использование SaaS-приложений выдвигает требование более широкого использования федеративного взаимодействия.
• IDaaS - производители решений, совмещающих WAM и IAM, оказывают давление на компании, предлагающие только WAM-решения.
• Additional of Adaptive Access Features - WAM-решения всегда поддерживали несколько методов аутентификации. Однако легкость, с которой можно обойти некоторые из этих методов, привела к необходимости добавления расширений для обнаружения мошеннических действий. Вендоры предлагают Adaptive-расширения либо в виде отдельных продуктов, либо в составе пакетных решений. 
• Open Source - решения с открытым исходным кодом занимают небольшую часть рынка, в отличии от коммерческих предложений.
• SharePoint Support - некоторые WAM-вендоры разрабатывают специализированные адаптеры для SharePoint.

Всем этим требованиям отвечает пакет Oracle Access Management Suite, расширивший функциональность в версии 11gR2 и получивший самые высокие оценки аналитиков.  

Помимо вышеперечисленных отчетов, Gartner опубликовал свой магический квадрат по направлению Data Masking Technology, в котором Oracle, в отличие от предыдущих отчетов, оказался не абсолютным победителем, поскольку имеет в своем портфеле не полномасштабное SDM-решение (Static data masking), а только специализированный пакет Oracle Data Masking Pack, который тем ни менее оказался в лидерах за счет прединтегрированности с популярными бизнес-приложениями, другими решениями безопасности и СУБД Oracle.

Oracle выпустила новый продукт Oracle Audit Vault and Database Firewall

12 декабря 2012 компания Oracle объявила о новом продукте Oracle Audit Vault and Database Firewall, который объединяет мониторинг активности базы данных и анализ данных аудита в одно решение. Данный продукт объединяет в себе возможности двух одноименных продуктов - Oracle Audit Vault и Oracle Database Firewall, которые до этого момента предлагались по отдельности.

Русскоязычный пресс-релиз по модифицированному новому продукту можно прочитать, пройдя по данной ссылке на сайт Oracle.
Изменилась модель лицензирования и стоимость решения в технологическом прайс-листе. Ценовые изменения коснулись и опции Database Vault, стоимость которой снижена в два раза.

А так же появился на русском языке ORACLE DATA SHEET с описанием ключевых моментов предлагаемого решения и новая Oracle Audit Vault and Database Firewall веб страница на английском (включая видео и аудио записи).

Обеспечение безопасности базы данных в облаке.

White paper "Security and the Oracle Database Cloud"  можно скачать тут. В данной статье приводится краткое содержание документа.

Oracle предлагает набор облачных решений в двух вариантах, частные облака, это те, которые заказчик может развернуть у себя, на своих собственных ресурсах, и публичные облачные решения, которые можно приобрести и пользоваться ими удаленно. Одним из таких облачных решений является сервис Oracle Public Database Cloud. Попасть на данный сервис можно пройдя по ссылке https://cloud.oracle.com (нажать "Try it" на главной странице, и далее "Try it" в разделе Database). Подробную инструкцию как создать сервис, активировать его, запустить и начать пользоваться можно посмотреть тут.

Сервис Oracle Public Database Cloud построен на основе базы данных Oracle, работающей на сервере Oracle Exadata. Для предоставления доступа к данным, хранящимся в вашей облачной базе, используется веб-сервис RESTful (через простые URI). Для обеспечения быстрой разработки прикладного ПО на основе СУБД Oracle в публичной БД уже предустановлен APEX - Oracle Application Express. А так же имеется возможность использовать набор уже имеющихся бизнес приложений, которые могут быть установлены в несколько кликов.

При переходе организации на модель общего доступа к ресурсам в облаке, одним из ключевых вопросов является обеспечениие безопасности данных, хранящихся в облаке. В данном документе рассматривается несколько аспектов обеспечения безопасности данных в облаке:

Основы архитектуры обеспечения безопасности доменов, используемых в облачной СУБД.

Описаны основные сущности, используемые для разграничения прав доступа к сервисам БД: Account, Identity Domains (далее "Домен"), User, Role и Database Cloud Service. Account  - это учетная запись организации, которая может иметь один или несколько доменов, но домены при этом будут разделены и обособлены. Домен контролирует аутентификацию и авторизацию (т.е. кто может выполнять вход и к чему он имеет доступ). Домен содержит в себе список пользователей, которым назначаются роли, дающие те или иные права к сервисам. При первом входе в облачную базу создается один домен и его администратор, который в дальнейшем отвечает за управление всеми пользователями и ролями для всех сервисов в пределах домена. Для управления правами доступа к сервисам используется Cloud Identity Manager. Инструкцию по управлению ролями и пользователями можно найти тут. В данном контексте сервис представляет собой одну схему в общей БД, которая изолирована от других схем. 

Меры безопасности, применяемые к сервисам в целом.

Ко всем данным, хранящимся в облаке, применяется "Прозрачное шифрование" - Transparent Data Encryption. TDE шифрует данные на диске и в бекапе, защищая от неавторизованного доступа напрямую к файлам базы. Шифрование и расшифровка данных происходит автоматически и не требует какого либо программирования или настроки.
Для защиты от вредоносного кода, который может повлиять на данные всех пользователей, используется Secure FTP сервер. При загрузке файлы с данными сначала сохраняются на Secure FTP сервере. Там они проверяются на вирусы и далее загружаются на сервис вашей облачной базы данных, используя информацию вашей учетной записи БД. Этот двух этапный процесс так же автоматически сжимает данные перед загрузкой, снижая тем самым время загрузки данных в БД.

Меры безопасности, применяемые к индивидуальным сервисам БД.

Применяются правила БД для разграничения прав в многопользовательской среде. Например, запрещен доступ на просмотр представлений, позволяющих владецу схемы БД видеть существование других схем БД. Запрещены некоторые виды SQL, такие как GRANT или REVOKE, т.к. они позволяют владельцу схемы выдавать права на свои объекты для другого владельца схемы базы данных.

Опции для обеспечения безопасности прикладных приложений.

Для разработки прикладных приложений используется технология APEX, которая имеет собственные средства безопасности. APEX поддерживает несколько схем аутетификации. Экранирование спецсимволов в скриптах не позволяет вкладывать различные типы скриптов в страницы, возвращаемые пользователям. APEX имеет опцию автоматической защиты навигационных ссылок (URL). Так же APEX включает в себя средства для мониторинга и отчеты.

Опции для обеспечения безопасности веб-сервисов RESTful.

Для обесечения безопасной передачи данных между клиентом и сервисом следует включить HTTPs. Сервис базы данных в облаке основывается на одной схеме и все RESTful веб-сервисы выполняются от имени владельца этой схемы. Вследствие этого, без применения дополнительной защиты RESTful сервис вернет все данные, возвращаемые SQL выражением. В документе описано четыре способа для обеспечения безопасности веб-сервиса RESTful:
- собственными средствами RESTful;
- доступ конкретному приложению (используется OAUTH Request token встроенный в клиента приложения);
- доступ конкретному пользователю (на основе идентификационных данных пользователя);
- логическое разграничение доступа (с использованием параметра OAM_REMOTE_USER, содержащего в себе идентификационную информацию пользователя).

Семинар "Информационная безопасность баз данных"

20 марта 2012 г. в нашем офисе состоялся семинар по решениям Oracle для защиты баз данных. Семинар прошел в сотрудничестве с компанией Positive Technologies, технологическим партнером Oracle. На семинаре специалисты Positive Technologies продемонстрировали типовые приемы злоумышленников для получения доступа к данным, а представители Oracle рассказали о приниципах защиты и показали работу продуктов Oracle, которые реализуют эти принципы.

Доступны пара презентаций с мероприятия и двухстраничная листовка "Решения Oracle для защиты информации"

MAXPATROL - Система контроля защищенности и соответствия стандартам
Константин Гурзов, Руководитель отдела поддержки продаж, Positive Technologies

Информационная безопасность баз данных
Сергей Базылько, к.ф.-м.н., Менеджер по продажам продуктов информационной безопасности, Oracle
Николай Данюков, к.т.н., ведущий консультант, Oracle
Алексей Юдин, руководитель отдела безопасности баз данных и бизнес-приложений Исследовательского центра Positive Technologies

Обновление Oracle Audit Vault

В конце декабря вышло обновление Audit Vault до версии 10.3, последняя версия была 10.2.3.2.
поэтому изменениий не очень много и основное это перевод репозиторя AV Server на базу данных 11.2.0.3.
Добавилась поддержка новых версий Sybase ASE 15.5 и 15.7, DB2 9.7 на платформах  Linux, UNIX, и Microsoft Windows.
Изменился инсталлятор, он стал в общем стиле Oracle.
Теперь Audit Vault можно установить на Exadata и Oracle Database Appliance.

Из менее значительных изменений:
Для административной консоли изменились протокол и порт по умолчанию https://host:1158/av
Для Microsoft SQL Server используется новая версия JDBC Driver version 3.0
Убрали команды конфигурации secure_agent и secure_av

Новая версия пока доступна на платформе Linux x64  Документация
Обещают в ближайшее время выпустить релизы под AIX, HP-UX Itanium, Solaris SPARC
Так же ожидается выпуск Enterprise Manager 12c Plug-In для управления Audit Vault из EM.

Обновление Oracle Database Firewall

Разработчики начали выполнять обещания по выпуску нескольких обновлений до конца года. 13 декабря стал доступным диструбутив Oracle Database Firewall 5.1.

Краткое знакомство с документацией не выявило наличие в ней раздела What's New, но во внутреннем сообщении Product Manager Tammy Bednar обратила внимание на:
• Support for Oracle's MySql 5.x
• Certification with Microsoft SQL Server 2008 R2
• Support for Oracle Advanced Security native encryption on the network
• Proxy Mode deployment configuration option to allow applications to send SQL traffic directly to the Oracle Database Firewall
• Enhanced throughput scalability for high SQL workloads

Из этого списка наибольший интерес представляет возможность контролировать содержимое зашифрованного трафика, что позволяет заказчикам организовать комплексную и многоуровневую защиту важной информации:
• От инсайдеров (включая привилегированных пользователей) - с помощью Database Vault;
• От перехвата SQL-сообщений (включая трафик между Сервером Приложений и СУБД) или похищения носителей информации - с помощью Advanced Security Option;
• От внешних угроз (типа SQL Injection) за счет активного мониторинга защищенного трафика между Сервером Приложений и СУБД - с помощью Database Firewall.

В ближайшее время намечено проведение внутренних семинаров, по завершении которых Николай Данюков будет рад поделиться с вами техническими подробностями.


ДОПОЛНЕНИЕ ОТ 23 ДЕКАБРЯ

Возможно, вскоре в нашей стране изменится к лучшему ситуация с искусственным ограничением применения западной криптографии в Oracle Advanced Security Option, поскольку "Медведев поручил Путину открыть дорогу иностранной криптографии". Хорошо объясняет ситуацию Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»: "в признании международных стандартов защиты информации заинтересованы крупные заказчики, у которых есть необходимость шифрования трафика «на лету», с чем не справляются надежные, но медленные российские алгоритмы".

Напомню, за счет применения инструкций AES-NI в процессорах Intel "Oracle ускорила операции шифрования Transparent Data Encryption в Oracle Database 11g Release 2". Впоследствие результат был улучшен в процессорах Oracle SPARC T4 и SPARC T4-2.

Скачать брошюру на русском языке по Oracle Advanced Security Option можно из нашей библиотеки OracleRussia.ru

Подключено 2 новых канала на официальные блоги Oraclce

Несколько дней назад я был приятно удивлен детальностью ответов по недавно анонсированому Java-каталогу Oracle, а следом последовал такая же подробная информация по OES 11g... Будет здорово, если большинство западных блоггеров по теме Oracle IdM переориентируются на новый канал http://blogs.oracle.com/OracleIDM/, сохранив свои личные блоги для публикации глубоких технических материалов. Канал "Oracle Identity Management" теперь представлен и у нас в информационной панели слева.

Также туда попал канал Security Inside Out, посвященный безопасности СУБД. Этой теме уделяется недостаточно внимания; между тем, новости случаются и здесь :-) Например, каконец-то собрана в одном месте библиотека ресурсов по Database Security.

Еще одно малозаметное, но знаковое событие связано с обновлением кода Oracle Database Firewall... Теперь, как и для большинствя продуктов линейки FMW, отчетность в этом решении уровня СУБД переведена на стандартный Oracle BI Publisher.

Защита информации и бизнес-приложений в соответствии с требованиями Закона о персональных данных

В июне активизировалась тема защиты персональных данных; возможно, в связи с тем, что в интернете промелькнули статьи "Дворкович: для защиты систем персданных осталось меньше месяца" и "Роскомнадзор: объем штрафов в отношении операторов персональных данных в 2010 году вырос в 60 раз"...

В связи с участившимися запросами я обновил наше Предложение по построению системы защиты на базе сертифицированных решений Oracle (содержание, рисунок, ссылки) и разместил на Google Docs. Будут вопросы - обращайтесь!

Официальный анонс Oracle Database Firewall

На проходящей в Сан-Франциско ежегодной RSA Conference 2011, где компания Oracle традиционно выступает с анонсами решений в области информационной безопасности, участникам официально представили Oracle Database Firewall - новейшее универсальное средство защиты СУБД Oracle и баз данных других производителей.

Пресс-релиз о доступности "первой линии защиты СУБД" на английском языке размещен на странице http://www.oracle.com/us/corporate/press/313230. В нижней части вы можете найти ссылки на страничку продукта, листовку и техническое описание решения.

К моменту опубликования новости возможность скачивания ПО с OTN отсутствовала, но уже почти месяц Oracle Database Firewall 5.0.0 Media Pack for Linux x86 (B62165-01) лежит на e-delivery.

Техническое описание Oracle Database Firewall на русском языке, подготовленное Николаем Данюковым, можно скачать отсюда.

Получен сертификат ФСТЭК на Oracle Database EE 10g с Oracle Database Vault

Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ООО "ФОРС-Центр разработки" завершило программу испытаний широко распространенной версии ПО Oracle Database с опциональным компонентом Oracle Database Vault на трех NIX-платформах и получило сертификат соответствия № 2265, действительный до 2 февраля 2014 г.



Обратите внимание, для получения сертифицированных дистрибутивов достаточно быть легальным пользователем соответствующего ПО Oracle (т.е. ни вендор, ни партнер не взимают за них дополнительную плату).

Приблизительный порядок следующий:
1.
Покупатель (партнер Oracle, действующий от имени и по поручению покупателя) обращается с письмом (электронным письмом) в произвольной форме с просьбой предоставить сертифицированные по требованиям ФСТЭК России дистрибутивы программных продуктов Oracle (дистрибутивы) на имя исполнительного директора ООО «ФОРС–Центр разработки» Зятькова Ю.И. электронный адрес YZatkov@fors.ru (копии - ведущему консультанту Представительства Oracle в России Данюкову Н.И. электронный адрес Nikolay.Danyukov@oracle.com и консультанту-эксперту по информационной безопасности ООО «ФОРС–Центр разработки» Балабаю И.А. электронный адрес IBalabay@fors.ru).
Письмо должно содержать сведения об имеющейся лицензии на запрашиваемый дистрибутив ПО Oracle (номер договора на закупку и сведения об оплате), а также сведения о наличии у Покупателя технической поддержки Oracle.
2.
Решение о возможности передачи дистрибутивов принимается в Представительстве Oracle в России. О принятом решении на передачу дистрибутивов покупатель уведомляется электронным письмом ответственного сотрудника Представительства Oracle в России с копией в адрес ООО «ФОРС-Центр разработки».
3.
С учетом предоставленных сведений и принятого в Представительстве Oracle в России решения, ООО «ФОРС-Центр разработки» передает запрашиваемые дистрибутивы покупателю.
4.
Покупатель организует их получение по доверенности, оформленной на бланке с печатью своей организации. Запрашиваемый дистрибутив, копия сертификата и формуляр передаются доверенному лицу покупателя сотрудником «ФОРС-Центр разработки», ответственным за хранение и обращение дистрибутивов. Дистрибутивы передаются на безвозмездной основе. В формуляр вносится учетный заводской номер программного продукта и проставляется значение номера защитного знака сертификата. Формуляр заверяется подписью уполномоченного лица «ФОРС-Центр разработки» и печатью компании.

Для справки,
сертификат ФСТЭК №2238 на Oracle Identity & Access Management Suite 11g опубликован в сообщении от 14 января 2011 г.
сертификат ФСТЭК №2128 на Oracle Information Rights Management 11g опубликован в сообщении от 26 июля 2010 г.

ДОПОЛНЕНИЕ ОТ 28 ДЕКАБРЯ 2012 Г.
См. сообщение Уточнения Регламента получения сертифицированных дистрибутивов.

Oracle Database Firewall

Близится выход продукта на базе решения приобретенной в мае компании Secerno. На странице Oracle Database Security появилась ссылка на новый ресурс Oracle Database Firewall, откуда можно скачать листовку с описанием продукта.

На второй странице Oracle Technology Global Price List от 17 августа опубликована стоимость лицензий на решение с пометкой "Priced in Advance of Availability". Пока что по ссылке http://www.oracle.com/corporate/pricing/technology-price-list.pdf я вижу более древнюю версию прайс-листа; так что, если кому нужно срочно, обращайтесь напрямую.

ДОБАВЛЕНИЕ ОТ 31 АВГУСТА

Появилась страница продукта на OTN http://www.oracle.com/technetwork/database/database-firewall/index.html и несколько картинок с объяснением ключевых особенностей решения

Новые информационные материалы

Прошла веб-конференция с анонсом Oracle Identity Management Suite 11g. В основном она содержала маркетинговые материалы; дистрибутивы и документацию пока что не выложили, но появилась новая информация о ключевых свойствах продуктов и их наборах на странице http://www.oracle.com/us/products/middleware/identity-management/identity-management-11g-151984.html
Желающие могут почитать там новости об Oracle Identity Manager 11g, Oracle Access Manager 11g, Oracle Adaptive Access Manager 11g, Oracle Identity Analytics 11g, Oracle Identity Federation 11g, Oracle Directory Services Plus, Oracle Access Management Suite Plus и Oracle Enterprise Manager Grid Control Management Pack for Identity Management 11g

Сам анонс о "Significant Advances in Application Security with Oracle Identity Management 11g" доступен по ссылке http://www.oracle.com/us/corporate/press/154293

Вышла полезная книжка по Oracle Database Auditing "Performance Guidelines", описывающая способы снижения нагрузки с продуктивных систем при проведении их централизованного аудита. Скачать можно по ссылке http://www.oracle.com/technology/products/audit-vault/pdf/twp-security_auditperformance.pdf