Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
Добрый день!

Появилась тут задачка по сокрытию данных от посторонних глаз. Обусловлена таким документом, как PCI DSS. Кто знает - тот поймет, кто не знает - для начала не особо и важно.
Так вот, была мысль отъехать на Data Redaction, но, судя по всему, не получится. И прямая путя лежит к Transparent Data Encryption.
Отсель вопрос: кто пользовался? Какие грабли? Как решали вопрос поиска по индексированному и зашифрованному столбцу? Мб еще чего вспомните.
Мб есть другие варианты?
Пока задача на стадии анализа.
Oracle v.12c.
5 ноя 19, 14:24    [22009957]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
Avector
Member

Откуда: Санкт-Петербург
Сообщений: 373
samotlor,

У вас самописный процессинг? Если промышленный, то этот вопрос с вендором нужно обсудить. Если нет, то достаточно ли крупный банк, чтобы пройти аудит PCI DSS? Кроме TDE, там еще много затрат. В Новосибе есть известная компания с красным слоном, она может карточный фронт обеспечить и взять сертификацию на себя, а с вашей стороны бэк со счетами.
5 ноя 19, 14:55    [22009984]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
oragraf
Member

Откуда: Moscow
Сообщений: 1229
samotlor,

когда вам Oracle вендор будет говорить о замедлении не более 10-15% - не верьте спросите, готовы они подписать это?
5 ноя 19, 15:44    [22010036]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
Avector,
Я и есть один из "компании с красным слоном".
Понятно, что там не только TDE, стандарт большой, требований много. У меня свои задачи.

oragraf,
ну вот и первые потенциальные грабли, на которые надо обратить внимание. За это спасибо.
---------------------------
И да, похоже, что нужны и DR и TDE.
Ну так как, кто работал с этими глюкалами, какие печали? Я ж знаю, у Оракла без этого никак. А то в доках очень как-то всё гладко.
6 ноя 19, 06:27    [22010341]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
конечно Вася
Member

Откуда: Брянщина
Сообщений: 181
samotlor,

https://www.aladdin-rd.ru/company/pressroom/news/aladdin_rd_soobsaet_o_vyhode_novogo_resenia_dla_autentifikacii_v_oracle
6 ноя 19, 06:38    [22010346]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
конечно Вася,

Спасибо, конечно, за расширение кругозора, но не вижу, как оно применимо к данной ситуации.
6 ноя 19, 07:29    [22010353]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
конечно Вася
Member

Откуда: Брянщина
Сообщений: 181
samotlor
конечно Вася,

Спасибо, конечно, за расширение кругозора, но не вижу, как оно применимо к данной ситуации.


Борлас = softwarer
6 ноя 19, 07:49    [22010362]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
Elic
Member

Откуда: 1984. Выбраковка финно-угром продолжается. КЯЗ
Сообщений: 29406
samotlor
похоже, что нужны и DR и TDE.
Есть ещё правильное разграничение доступа вкупе с предоставлением более широкому кругу лиц маскированных данных. Сертифицируемое и без маркетингового TDE.

P.S. А DR для лохов, которые не в силах сами сделать тривиальные вещи по маскированию данных.
6 ноя 19, 07:53    [22010364]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
env
Member

Откуда: Россия, Москва
Сообщений: 5963
конечно Вася,

Хорошая статья. Главное - актуальная.
Наиболее широкий спектр решений в области обеспечении безопасности, контроля доступа и аудита предоставляет СУБД Oracle 9i.
6 ноя 19, 09:47    [22010464]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
Elic
Есть ещё правильное разграничение доступа
Это есть
Elic
вкупе с предоставлением более широкому кругу лиц маскированных данных
И это есть
Elic
Сертифицируемое и без маркетингового TDE.
Гложут сомнения. Без TDE (или чего-то подобного) унесенный файл БД или просто диск содержит открытые данные. Это недопустимо.

Elic
P.S. А DR для лохов, которые не в силах сами сделать тривиальные вещи по маскированию данных.
Поделитесь знанием, как маскировать выводимые данные при выполнении запроса вида select * from table, выполняемого от владельца таблицы table?
И да, я знаю, что DR дырявый, как дуршлаг. Но хотя бы видимость приличий он соблюдает.
6 ноя 19, 10:15    [22010495]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
Elic
Member

Откуда: 1984. Выбраковка финно-угром продолжается. КЯЗ
Сообщений: 29406
samotlor
как маскировать выводимые данные при выполнении запроса вида select * from table, выполняемого от владельца таблицы table?
Не нужно. На то он и владелец - административный пользователь не для штатной работы.
6 ноя 19, 10:18    [22010498]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
Elic
Member

Откуда: 1984. Выбраковка финно-угром продолжается. КЯЗ
Сообщений: 29406
samotlor
Без TDE (или чего-то подобного) унесенный файл БД или просто диск содержит открытые данные. Это недопустимо.
PCI DSS - это феншуй не только для БД, но и для OC.
6 ноя 19, 10:19    [22010500]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
конечно Вася
Member

Откуда: Брянщина
Сообщений: 181
env
конечно Вася,

Хорошая статья. Главное - актуальная.
Наиболее широкий спектр решений в области обеспечении безопасности, контроля доступа и аудита предоставляет СУБД Oracle 9i.


Ну, извини, отстал от жизни.
Помогите человеку лучше.
6 ноя 19, 10:51    [22010532]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
oragraf
Member

Откуда: Moscow
Сообщений: 1229
samotlor,

Эта каркалыга требует очень тщательного проектирования каждой таблицы, поля, индекса. Продумывай вопрос поиска по подстроке, там много ограничений.
6 ноя 19, 11:21    [22010575]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
Elic
samotlor
как маскировать выводимые данные при выполнении запроса вида select * from table, выполняемого от владельца таблицы table?
Не нужно. На то он и владелец - административный пользователь не для штатной работы.
Например, п. 3.3.а стандарта не согласен с этой позицией.

Elic
samotlor
Без TDE (или чего-то подобного) унесенный файл БД или просто диск содержит открытые данные. Это недопустимо.
PCI DSS - это феншуй не только для БД, но и для OC.
Разумеется. Можно зашифровать весь раздел СХД, но в целом для системы есть разница, шифровать 10Тб или 100Мб.
--------------------------------------------

Впрочем, отвлеклись. Что еще плохого можно сказать про готовые ораклячьи решения?
6 ноя 19, 11:28    [22010589]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
oragraf
samotlor,

Эта каркалыга требует очень тщательного проектирования каждой таблицы, поля, индекса. Продумывай вопрос поиска по подстроке, там много ограничений.
Да, именно поиск пока видится самым неприятным задокументированным моментом.
6 ноя 19, 11:32    [22010597]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
123йй
Member

Откуда:
Сообщений: 1563
samotlor
Например, п. 3.3.а стандарта не согласен с этой позицией.

это в каком месте ?
список ролей ....документирован, и для каждой роли
обоснована служебная необходимость такого доступа;
6 ноя 19, 11:36    [22010604]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
123йй,
Вот тут:
для всех ролей, которым явным образом не разрешено видеть полный PAN, должен быть виден только маскированный PAN.
6 ноя 19, 11:43    [22010614]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
123йй
Member

Откуда:
Сообщений: 1563
samotlor,

Для владельца - разрешено. О чем 22010498 тебе уже сказали.
6 ноя 19, 11:48    [22010619]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
samotlor
Member

Откуда: Новосибирск
Сообщений: 36
123йй,
в каком документе и в каком разделе я могу об этом прочитать?
6 ноя 19, 11:52    [22010622]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
oragraf
Member

Откуда: Moscow
Сообщений: 1229
samotlor,

Дело давно было, могу ошибаться. Для null значений из-за добавления соли хэш будет непустым, естественно. Соответственно, меняется бизнес-логика.
6 ноя 19, 12:23    [22010659]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
123йй
Member

Откуда:
Сообщений: 1563
samotlor
123йй,
в каком документе и в каком разделе я могу об этом прочитать?

ответ здесь
Avector
samotlor,

У вас самописный процессинг? Если промышленный, то
всю информацию тебе предоставит вендор.
И еще такой момент. У Вас что, все пользователи заходят на сервера процессинга ?
6 ноя 19, 12:42    [22010673]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
АлеЗандр
Member

Откуда:
Сообщений: 3
samotlor,

У вас в других подразделениях эти задачи многократно решались, поспрашивай лучше у себя. Если не знаешь у кого - спроси на внутреннем форуме, пошлют к кому надо.

P.S. И не забудь о внутренних правилах, а то сейчас ещё информацию о промышленном продукте пораскрываешь.
6 ноя 19, 12:55    [22010683]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
123йй
Member

Откуда:
Сообщений: 1563
АлеЗандр
а то сейчас ещё информацию о промышленном продукте пораскрываешь.

было бы чего. Всего три крупных игрока TSYS, OpenWay и К+
6 ноя 19, 13:02    [22010686]     Ответить | Цитировать Сообщить модератору
 Re: Oracle TDE  [new]
Вячеслав Любомудров
Member

Откуда: Владивосток
Сообщений: 18211
samotlor
И прямая путя лежит к Transparent Data Encryption.
Отсель вопрос: кто пользовался? Какие грабли? Как решали вопрос поиска по индексированному и зашифрованному столбцу?
TDE -- это не только шифрование таблицы/столбца, но и шифрование ТП
В первом случае естественно куча проблем с увеличением длины поля (можно не влезть в размер ключа), индексированный поиск только по точному равенству
В случае шифрования целиком ТП этих проблем нет
6 ноя 19, 14:08    [22010747]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить