Exposición Enterprise Security
23
ENTERPRISE SECURITY Catedrático: Dr. Carlos Arturo Torres Gastelu Alumnos: Martha T. Lechuga González Gerardo Gutiérrez Sánchez Equipo: 6
description
Transcript of Exposición Enterprise Security
ENTERPRISE SECURITY
Catedrático: Dr. Carlos Arturo Torres GasteluAlumnos: Martha T. Lechuga González Gerardo Gutiérrez Sánchez
Equipo: 6
Microsoft ® SQL Server ® 2008 R2
Ofrece funciones integradas de seguridad y conformidad que ayudan a proporcionar una gestión eficaz de la función de la configuración de seguridad, autenticación y control de acceso, encriptación potente y capacidades de gestión de claves, y la auditoría mejorada.
CARACTERÍSTICAS PRINCIPALES
1
•Utiliza administración basada en directivas para ayudar a controlar y detectar el incumplimiento de políticas de seguridad de datos a través de la empresa.
•Cifra los datos sin modificar las aplicaciones mediante el uso de cifrado de datos transparente.
2
•Emplea las soluciones de cifrado de toda la empresa con la Administración extensible de claves y módulos de seguridad de hardware.
•Implementa alto rendimiento, con la Auditoría de SQL Server.
PROTECCIÓN DE DATOS
Ayuda a proteger sus datos con una solución de base de datos que se conoce históricamente por los precios más vulnerables a
través de los principales proveedores de DBMS.
Toma ventaja de una jerarquía
integrada para crear claves asimétricas, claves simétricas y
certificados.
Encripta los datos de forma
transparente
Reduce la complejidad del desarrollo de aplicaciones que requieren datos cifrados mediante la realización de toda la encriptación transparente a nivel de base de datos a través de una clave de seguridad mejorada de encriptación de bases de datos (DEK).
Permite a los desarrolladores de aplicaciones acceder a los datos encriptados sin necesidad de modificar las aplicaciones existentes.
CONTROL DE ACCESO
Controlar el acceso a sus datos mediante la gestión de autenticación y la autorización efectiva y mediante el acceso sólo a usuarios que lo necesitan.
Proporciona seguridad mejorada de acceso a los metadatos mediante vistas de catálogo, lo que permite a los usuarios ver sólo los metadatos de los objetos que tienen acceso.
Mejora las características de seguridad con el contexto de ejecución.
Garantiza el cumplimiento de políticas de la empresa y / o las regulaciones gubernamentales.
Mejora la Auditoría en conjunto con SQL Server.
La seguridad es cada vez más importante a medida que las redes
están conectadas entre sí.
Permite el importante principio de mínimo privilegio por lo que no tiene
que otorgar a los usuarios más permisos que son necesarios para
que puedan hacer su trabajo.
La seguridad es una de las características fundamentales de un motor de base de datos, propone la
protección de la empresa frente a las amenazas múltiples.
Se ofrece en profundidad las herramientas de defensa para que pueda poner en práctica medidas
para frustrar a los atacantes incluso más hábil.
Las características de seguridad de Microsoft ® SQL Server ® 2008
están diseñadas para hacerlo más seguro y para que la seguridad sea más accesible y comprensible para aquellos que son responsables de
protección de datos.
La iniciativa Trustworthy Computing de Microsoft guía todo el desarrollo
de software en la empresa.
Los cuatro componentes esenciales de esta iniciativa son:
Seguro por diseño. El software requiere un diseño seguro como una base para repeler a los atacantes y la protección de datos.
Seguro de manera predeterminada. Los administradores de sistema no deberían tener que trabajar para hacer una nueva instalación segura, sino que debe ser así por defecto.
Seguridad en la implementación. Los software debe ayudar a mantener actualizado con los últimos parches de seguridad y asistir en el mantenimiento.
Comunicaciones. Comunicar las mejores prácticas e información de la evolución de la amenaza para que los administradores de forma proactiva puedan proteger sus sistemas.
Cifrado de datos transparente (TDE)
¿ Que es?• Es una nueva característica de cifrado introducida en
Microsoft ® SQL Server ™ 2008 R2
¿ Para que esta diseñado?• Para dar protección a la base de datos en reposo sin
afectar a las aplicaciones existentes.
TDE sólo está disponible en las ediciones Enterprise y Developer de SQL Server 2008 R2. • TDE no es una forma de control de acceso. Todos los
usuarios que tienen permisos en la base de datos pueden acceder, ya que no es necesario tener permiso para usar la clave de cifrado de base de datos o una contraseña.
Ventajas e Inconvenientes
Las ventajas son que permite la gestión de claves explícitas y ofrece un nivel más detallado de la encriptación.
Los principales inconvenientes de la encriptación son los cambios en las aplicaciones que son necesarias para el uso, las penalizaciones de rendimiento, y el costo de administración.
Recomendaciones de uso de TDE
Se puede utilizar para la defensa en profundidad, tanto para una base de datos cifrados por TDE y de control de acceso limitado a través del uso de contraseñas.
Administración extensible de claves (EKM) es otra nueva
característica de SQL Server R2 2008.
¿Qué permite?
• Las operaciones de cifrado y descifrado manejados por el proveedor de servicios. Esto permite la flexibilidad y la elección de proveedores de cifrado, así como la gestión de claves comunes.
BitLocker
En general. cifrado de datos transparente ofrece una buena combinación de facilidad de administración, facilidad de uso, rendimiento y seguridad.
Ventajas y Desventajas de su utilización
Son la facilidad de administración, la abstracción de la gestión de claves, y la transparencia.
Debido a que todo el volumen no está bloqueado, cualquier usuario con acceso a una computadora
puede acceder a los archivos en el disco.
Protege en el nivel de volumen de modo que cuando el servidor está conectado, el volumen no está bloqueado, aunque no este descifrado.
Tiene un mecanismo de recuperación de datos, que TDE no tiene todavía.
Comparación de seguridad Oracle y SQL Server 2008 R2
SQL Server 2008 R2 ofrece integración con Microsoft Office , más seguridad, más productividad para los desarrolladores y herramientas de Business Intelligence que la base de datos Oracle, todo ello con un costo total de propiedad inferior.
Ventajas sobre Oracle Escalabilidad y rendimiento.Menos vulnerabilidades.Herramientas de BI en modo
autoservicio.
Cuadro Comparativo
Caso de Estudio Carter Holt Harvey
Necesidad del negocio
Carter Holt Harvey Materiales para la construcción es el principal fabricante de Australia de materiales de madera y un importante proveedor de estos.
La empresa emplea a más de 5.000 personas en Australia y Nueva Zelanda. Todos los Carter Holt Harvey productos se fabrican a partir de plantaciones sostenibles de pino de acuerdo con las normas medioambientales reconocidas entre ellas la Ley de Nueva Zelanda de Gestión de Recursos.
Carter Holt Harvey había estado trabajando en una versión de SAP que era obsoleto y caro de mantener, por lo que estaba buscando reducir costos, mejorar la eficiencia y mejorar el servicio al cliente.
El hardware también había llegado al final de su vida útil - se produjo un alto riesgo de fracaso, y la compañía estaba trabajando en múltiples plataformas, que estaban resultando con un alto costo de mantenimiento.
El rendimiento de todo el sistema se estaba convirtiendo en un problema cada vez mayor, y toda la funcionalidad de SAP no pudo realizarse debido a la obsolescencia.
“La combinación actual de la base de datos, sistema operativo y las plataformas de hardware no estaba alineado con el resto de nuestros sistemas de tecnología en la empresa, lo que significó un aumento a largo plazo en los costos de soporte y el costo total de las cuestiones de propiedad. También estábamos buscando un sistema que nos ofreciera una mejor relación calidad-precio y la integración de muchos de nuestros procesos. “
La compañía necesitaba encontrar una solución que le permita ejecutar planificación de recursos empresariales (ERP), los procesos de negocio (gestión de materiales, planificación de producción, mantenimiento de la planta, ventas y distribución, compras, e inteligencia de negocios) de manera más eficiente para 1,200 usuarios a través de Nueva Zelanda y Australia , y mantener su ventaja competitiva.
“Elegimos la plataforma de Microsoft de alta disponibilidad de datos, ya que era la mejor opción estratégica para la compañía, lo que nos permite aprovechar el hardware de los productos básicos, proveer infraestructura escalable y extensible para el crecimiento del negocio e implementar las actualizaciones del sistema y las mejoras en el futuro.”
Chris LoweJefe de Equipo, Soluciones de ArquitectosCarter Holt Harvey
Solución Carter Holt Harvey llevó a cabo un análisis en profundidad
para determinar qué solución sería la mejor opción estratégica dentro de la empresa. Soluciones investigadas incluyeron Oracle en Windows, Oracle RAC en Linux, Oracle RAC en Unix y SQL Server en Windows.
Microsoft Windows Server 2008 resultó ser la mejor opción estratégica para la compañía, por lo que Carter Holt Harvey decidió implementar esto en 2009.
El proyecto tomó 15 meses de principio a fin, y quedo en marcha y funcionando en abril de 2010.
Beneficios Los principales beneficios de plataformas móviles de SQL
Server en Windows de Carter Holt Harvey han incluido:
Mejorar el rendimiento y la velocidad (un procesamiento más rápido)Aumento de la productividadMejora de la eficienciaReducción del coste total de propiedadMejora de la fiabilidadMejor relación calidad-precioConsolidación en los sistemas de centralizado de datos y hosting.
"SQL Server en Windows ha demostrado ser altamente rentable en comparación con nuestro sistema anterior", dice Chris.
"El nuevo software realiza tareas mucho más rápido para ahorrar tiempo y aumentar la productividad personal - el rendimiento y la funcionalidad han mejorado de manera exponencial, y los procesos son más de ocho veces más rápido que antes.
La normalización de la tecnología de Microsoft hizo
una más simple y consistente los procesos de Carter Holt Harvey. El resultado es un mayor rendimiento y funcionalidad, lo que significa una mayor productividad en la empresa.
