细粒度审计(FGA)和保护Oracle E-Business PII数据的高管

随着最近关于另一个亚美违反个人身份信息(PII)的新闻,积分与客户有关如何更好地保护其高管的PII数据的讨论。

以下细粒度审计(FGA)政策开始讨论。下面的策略将在访问企业高管的PII数据时,有条件地将直接连接到Oracle E-Business Suite亚美。例如,它将忽略与亚美的电子商务套件的最终用户连接,但会捕获从其笔记本电脑直接连接到亚美的人。但是,如果访问高管的PII数据,则只需执行以下操作:

BEGIN

DBMS_FGA.ADD_POLICY (
   object_schema     =>  'HR',
   object_name       =>  'PER_ALL_PEOPLE_F',
   policy_name       =>  'FGA_PPF_NOT_GUI_AND_OFFICER',
   audit_condition   =>  ' PER_ALL_PEOPLE_F.PERSON_ID IN (
         SELECT PAX.PERSON_ID
         FROM PER_ASSIGNMENTS_X PAX, PER_JOBS J, PER_JOB_DEFINITIONS JD
         WHERE PAX.JOB_ID = J.JOB_ID
         AND J.JOB_DEFINITION_ID = JD.JOB_DEFINITION_ID
         AND UPPER(JD.SEGMENT6) LIKE UPPER(''%EXECUTIVE%''))
         AND NOT (SYS_CONTEXT (''USERENV'',''IP_ADDRESS') IN
         (''IP of your DB server’’, ‘’IP of your cm server’’, 
           ‘’IP of your application server’’) 
        AND SYS_CONTEXT (''USERENV'',''CURRENT_USER'') = ''APPS'' ) ',
   audit_column      =>   NULL,
   handler_schema    =>   NULL,
   handler_module    =>   NULL,
   enable            =>   TRUE,
   statement_types   =>  'SELECT',
   audit_trail       =>   DBMS_FGA.DB,
   audit_column_opts =>   DBMS_FGA.ANY_COLUMNS);

END;

以下是上述策略的解释:

  • 只审核直接亚美活动,并从电子商务套件用户界面,亚美服务器,Web和应用程序服务器以及并发管理器中忽略亚美连接。
  • 审核根据per_all_people_f或基于table per_all_pepepople_f的任何视图选择活动。 PII数据存在于per_all_people_f之外,但此表是e-business Suite中的中央表定义了一个人,因此包含关键的PII数据,例如名称,出生日期和国家标识符。
  • 审核表中的所有列,但很容易仅限于特定列。
  • 只审核包含当前或前雇员的结果集,其职称在职称中具有“%执行百分比”。注意使用Vision Demo亚美演示此策略。您的作业密钥FlexField定义将不同。
  • FGA标配Oracle亚美的企业许可证。如果您拥有Oracle E-Business Suite,则不需要额外的许可证使用FGA。

上述政策肯定会加强整体亚美安全姿势,但它确实有几个立即缺点:

  • 虽然它确实解决了具有直接亚美活动的风险,但包括使用笔记本电脑使用应用程序帐户,它不会防范特权亚美用户,如DBA。
  • 可以使用除IP地址和DB用户名以外的任何Userenv属性来抑制USRENV属性的欺骗。
  • 审计数据需要存储和定期清除安全性。特权用户可以访问FGA数据和策略。每公司政策还需要保留和清除审计数据。
  • 最后,需要仔细衡量上述政策的性能影响。如果上述策略要实施,则需要认真测试,特别是如果要使用模块,例如Oracle高级福利和/或工资单。

作为亚美安全程序的一部分,积分建议所有客户端深入实施防御。没有一个工具或安全功能将保护您的数据。 Oracle传统审计(TA)以及类似于上面的FGA政策,但TA和FGA都具有局限性和权衡。

Integigy建议Oracle TA和FGA都与亚美安全解决方案一起使用,例如Oracle审计金库和亚美防火墙(AVDF),Splunk,imperva和IBM Guardium。 需要自动化亚美监控和警报,并应使用商业工具完成。您还需要安全,并监控特权用户,如DBA和亚美安全性不能以整体应用程序性能的成本。

我们的客户对鉴于FGA策略的结论是,虽然政策可以工作,但鉴于各种不同的亚美连接,更好的解决方案是利用上面的策略的变化以及他们已经拥有的拆分。

如果您对上面或关于亚美安全的示例FGA策略有疑问,请联系我们: mailto:[email protected]

参考

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。