SlideShare una empresa de Scribd logo

Practical security hands on with oracle solaris

CJava Peru
CJava Peru

Este documento presenta cinco amenazas comunes a la seguridad en Oracle Solaris y las medidas que Oracle Solaris toma para mitigar cada una. Las amenazas incluyen un administrador con demasiados privilegios, la instalación de malware, el acceso malicioso a máquinas virtuales, la explotación de la red y los intentos de acceder a datos confidenciales. Oracle Solaris aborda estas amenazas a través de técnicas como privilegios mínimos, arranque verificado, zonas inmutables y cifrado de datos.

Software
1 de 26
Descargar para leer sin conexión
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Seguridad práctica con Oracle Solaris Duncan Hardie, Principal Product Manager Darren Moffat, Senior Principal Software Engineer Oracle Solaris Marzo de 2016 Aguarde un momento por favor. La sesión comenzará en breve en el horario señalado en el programa. Muchas gracias.
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 200 millones Experian Mar 2014 150 millones eBay Mayo 2014 22 millones Educación Jul 2014 Bancos de Sudáfrica Oct 2013 Tarjetas de crédito 150 millones + código Adobe Oct 2013 98 millones Target Dic 2013 20 millones Credit Bureau 12 millones Telecom. Ene 2014 56 millones Home Depot Sept 2014 Inmigración Jun2014 Registros personales 76 millones JPMC Oct 2014 La era de las megaviolaciones a la seguridad Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 53 millones Sony Dic 2014 227 millones 80 millones Anthem Feb 2015 3
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Ataques sociales Comando y control Ataque por fuerza bruta Malware Ataque por inyección de SQL Robo de credenciales Vectores de ataques típicos Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 4
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Los riesgos son externos; las vulnerabilidades, internas 5
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Nuestro tema de hoy: la seguridad en todos los niveles • Aplicación – Privilegios mínimos • SO – Arranque verificado • Virtualización – Zonas inmutables • Red – Rango de direcciones IP • Capa de almacenamiento – Cifrado ZFS Oracle Solaris Oracle SolarisOracle Solaris Zona Zona Zona Zona Zona Zona Zona Zona 6
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 1: Administrador inexperto con demasiados privilegios 7
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Oracle Solaris mitiga el abuso y mal uso de credenciales Delegación Acceso de usuarios basado en actividades Control basado en horarios Controla cuándo los usuarios realizan acciones Oracle Corporation - Confidencial 9
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 2: Instalación de troyano malintencionado 10
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Antimalware/ Prevención de mal uso • Línea de base reforzada • Máquinas virtuales inmutables • Arranque verificado • Instalación y actualización seguras Auditoría de contenido de archivos • Monitoreo automático • Registro de identidad • Registro de diferencias en archivos Aplicaciones de código abierto mejoradas • sudo • Puppet • Y muchas más... Registro de estándares del sector • Obtención remota • Integración con SIEM Infraestructura segura: tecnologías de respaldo 12
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 3: Acceso malicioso a máquina virtual 13
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | • Zonas inmutables – Virtualización de solo lectura – También es posible con una zona global y un invitado OVM Server para SPARC – Acceso a través de ruta de confianza • Novedad: configuración de zonas dinámicas, permite crear zonas – Muy útil para nodos Openstack Nova • Plantillas listas para usar Protección de la infraestructura de aplicaciones Máquinas virtuales de solo lectura Ninguna Flexible Fija D-Zone Estricta /, /usr, /lb, … Permite escritura Solo lectura Solo lectura Solo lectura Solo lectura /etc Permite escritura Permite escritura Solo lectura Solo lectura Solo lectura /var Permite escritura Permite escritura Permite escritura Permite escritura Solo lectura otro Permite escritura Solo lectura Solo lectura Solo lectura Solo lectura Crear zona Sí No No Sí No 15
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Cómo frenar el ingreso de malware Sistemas y máquinas virtuales inmutables – No se permite el ingreso de atacantes – Se evitan errores del administrador – Se actualiza aun cuando los usuarios y aplicaciones no tengan permisos de escritura Software destinado a alterar sistemas – Firmware para aplicaciones – Instalar solo software conocido y de confianza – Si no tiene firma, no instalar – Arranque verificado 16
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 4: Explotación de la red 17
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 5: Intento de acceder a datos confidenciales 19
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Seguridad de Oracle por dentro y por fuera Capas de la pila Oracle Corporation - Confidencial 21 S EG U R I DA D S EG U R I DA D S EG U R I DA D S EG U R I DA D S EG U R I DA D S EG U R I DA D S E G U R I D A D Gobierno, riesgo y cumplimiento (GRC) Revisión de acceso y certificaciones, detección de anomalías, aprovisionamiento de usuarios, gestión de derechos (entitlements) Seguridad móvil, usuarios con privilegios Servicios de directorios, regulación de identidades Gestión de derechos, gestión de acceso Cifrado, enmascaramiento, redacción, gestión de claves Control de usuarios con privilegios, seguridad de grandes volúmenes de datos, configuración segura Espacio seguro para aplicación + usuario, administración delegada Sistema antimalware, protección de datos + red Informes de cumplimiento de normativa, ciclo de vida de aplicaciones seguro Migración en vivo segura Zonas inmutables Plano de control independiente Aceleración criptográfica Integridad de datos de aplicaciones Arranque verificado Cifrado de discos, Copias de respaldo seguras Gestión de claves empresariales SPARC/Solaris
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | LA SEGURIDAD INCORPORADA POR DENTRO Y POR FUERA AHORRA TIEMPOYDINERO, Y REDUCE LOS RIESGOS Mitiga el abuso y mal uso de credenciales Ciclo de vida seguro garantizado Cifrado de todo, en todas partes, todo el tiempo 22
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Preguntas y respuestas 23
Copyright © 2014 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 24
Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 52% 34% 11% 4% Base de datos Red Aplicación Middleware Capas informáticas más vulnerables a ataques 67% 15% 15% 3% Base de datos Red Aplicación Middleware Asignación de recursos para proteger la capa informática Fuente: CSO Online MarketPulse, 2013 Garantizar la seguridad de la red no basta: hay que proteger los datos

Recomendados

Estadares de portales web
Estadares de portales webEstadares de portales web
Estadares de portales webVero Pailiacho
 
Norton System 360 VersióN 2 (Diapositivas)
Norton System 360 VersióN 2 (Diapositivas)Norton System 360 VersióN 2 (Diapositivas)
Norton System 360 VersióN 2 (Diapositivas)guest9aeacd
 
Política de seguridad de sise
Política de seguridad de sisePolítica de seguridad de sise
Política de seguridad de siseLuis de Oca
 
1 seguridad informatica
1 seguridad informatica1 seguridad informatica
1 seguridad informaticaSandra Fredes
 
Seguridad en internet y telefonía celular
Seguridad en internet y telefonía celularSeguridad en internet y telefonía celular
Seguridad en internet y telefonía celularDaniJuliLara
 
Plan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilesPlan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilespacanaja
 
Manual de política de seguridad
Manual de política de seguridadManual de política de seguridad
Manual de política de seguridadLuis Maza
 
Palo alto Networks
Palo alto NetworksPalo alto Networks
Palo alto NetworksZary Flores Castillo
 

Recomendados

Estadares de portales web
Estadares de portales webEstadares de portales web
Estadares de portales webVero Pailiacho
 
Norton System 360 VersióN 2 (Diapositivas)
Norton System 360 VersióN 2 (Diapositivas)Norton System 360 VersióN 2 (Diapositivas)
Norton System 360 VersióN 2 (Diapositivas)guest9aeacd
 
Política de seguridad de sise
Política de seguridad de sisePolítica de seguridad de sise
Política de seguridad de siseLuis de Oca
 
1 seguridad informatica
1 seguridad informatica1 seguridad informatica
1 seguridad informaticaSandra Fredes
 
Seguridad en internet y telefonía celular
Seguridad en internet y telefonía celularSeguridad en internet y telefonía celular
Seguridad en internet y telefonía celularDaniJuliLara
 
Plan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilesPlan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilespacanaja
 
Manual de política de seguridad
Manual de política de seguridadManual de política de seguridad
Manual de política de seguridadLuis Maza
 
Palo alto Networks
Palo alto NetworksPalo alto Networks
Palo alto NetworksZary Flores Castillo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticalisbeth272000
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaYamilet Cuellar Nolazco
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaNelson villamizar
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Beatriz Primo Prados
 
Argopolis Seguridad Digital
Argopolis Seguridad DigitalArgopolis Seguridad Digital
Argopolis Seguridad DigitalmjuanS2
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
TP3
TP3TP3
TP3AngelaCristinaAlfons
 
Tips de seguridad[1]
Tips de seguridad[1]Tips de seguridad[1]
Tips de seguridad[1]michelle1994
 
Trabajo de segurid
Trabajo de seguridTrabajo de segurid
Trabajo de seguridkevinreyeso
 
Andres escalona seguridad informática
Andres escalona seguridad informática Andres escalona seguridad informática
Andres escalona seguridad informática JOSEANDRES83
 
laura y marta
laura y martalaura y marta
laura y martalauraymarta
 
Actividad 4 - Peligros en la red
Actividad 4 - Peligros en la redActividad 4 - Peligros en la red
Actividad 4 - Peligros en la redluisSWTitanbarzz
 
Nueva Presentacion
Nueva PresentacionNueva Presentacion
Nueva Presentacioncsalcedok
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRocoHerguedas
 
Marta daniel jorge 4 b
Marta daniel jorge 4 bMarta daniel jorge 4 b
Marta daniel jorge 4 bmartadanieljorge
 
TP 4 Seguridad informática
TP 4 Seguridad informáticaTP 4 Seguridad informática
TP 4 Seguridad informáticaNatalia Sol Tegaldi
 
Tp2sol.
Tp2sol.Tp2sol.
Tp2sol.solbidondo
 
Firewall - Cortafuegos
Firewall - Cortafuegos Firewall - Cortafuegos
Firewall - Cortafuegos Byron Duarte
 
Tran, M GlobaLinks F14
Tran, M GlobaLinks F14Tran, M GlobaLinks F14
Tran, M GlobaLinks F14Michelle Tran
 
TEP VOAD 2015 - Presentation
TEP VOAD 2015 - PresentationTEP VOAD 2015 - Presentation
TEP VOAD 2015 - PresentationShirley Wormely
 
The crying tree, marion va
The crying tree, marion vaThe crying tree, marion va
The crying tree, marion vaGuy Meilleur
 

Más contenido relacionado

La actualidad más candente

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticalisbeth272000
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
Argopolis Seguridad Digital
Argopolis Seguridad DigitalArgopolis Seguridad Digital
Argopolis Seguridad DigitalmjuanS2
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Tips de seguridad[1]
Tips de seguridad[1]Tips de seguridad[1]
Tips de seguridad[1]michelle1994
 
Trabajo de segurid
Trabajo de seguridTrabajo de segurid
Trabajo de seguridkevinreyeso
 
Andres escalona seguridad informática
Andres escalona seguridad informática Andres escalona seguridad informática
Andres escalona seguridad informática JOSEANDRES83
 
Actividad 4 - Peligros en la red
Actividad 4 - Peligros en la redActividad 4 - Peligros en la red
Actividad 4 - Peligros en la redluisSWTitanbarzz
 
Nueva Presentacion
Nueva PresentacionNueva Presentacion
Nueva Presentacioncsalcedok
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRocoHerguedas
 
Firewall - Cortafuegos
Firewall - Cortafuegos Firewall - Cortafuegos
Firewall - Cortafuegos Byron Duarte
 

La actualidad más candente (19)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Argopolis Seguridad Digital
Argopolis Seguridad DigitalArgopolis Seguridad Digital
Argopolis Seguridad Digital
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
TP3
TP3TP3
TP3
 
Tips de seguridad[1]
Tips de seguridad[1]Tips de seguridad[1]
Tips de seguridad[1]
 
Trabajo de segurid
Trabajo de seguridTrabajo de segurid
Trabajo de segurid
 
Andres escalona seguridad informática
Andres escalona seguridad informática Andres escalona seguridad informática
Andres escalona seguridad informática
 
laura y marta
laura y martalaura y marta
laura y marta
 
Actividad 4 - Peligros en la red
Actividad 4 - Peligros en la redActividad 4 - Peligros en la red
Actividad 4 - Peligros en la red
 
Nueva Presentacion
Nueva PresentacionNueva Presentacion
Nueva Presentacion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Marta daniel jorge 4 b
Marta daniel jorge 4 bMarta daniel jorge 4 b
Marta daniel jorge 4 b
 
TP 4 Seguridad informática
TP 4 Seguridad informáticaTP 4 Seguridad informática
TP 4 Seguridad informática
 
Tp2sol.
Tp2sol.Tp2sol.
Tp2sol.
 
Firewall - Cortafuegos
Firewall - Cortafuegos Firewall - Cortafuegos
Firewall - Cortafuegos
 

Destacado

Tran, M GlobaLinks F14
Tran, M GlobaLinks F14Tran, M GlobaLinks F14
Tran, M GlobaLinks F14Michelle Tran
 
TEP VOAD 2015 - Presentation
TEP VOAD 2015 - PresentationTEP VOAD 2015 - Presentation
TEP VOAD 2015 - PresentationShirley Wormely
 
The crying tree, marion va
The crying tree, marion vaThe crying tree, marion va
The crying tree, marion vaGuy Meilleur
 
2013 presentation heritage updated 2013 08
2013 presentation heritage updated 2013 082013 presentation heritage updated 2013 08
2013 presentation heritage updated 2013 08heritagesuites
 
4th Poland Umbraco Meetup @ państwomiasto, Warsaw 2016
4th Poland Umbraco Meetup @ państwomiasto, Warsaw 20164th Poland Umbraco Meetup @ państwomiasto, Warsaw 2016
4th Poland Umbraco Meetup @ państwomiasto, Warsaw 2016Marcin Zajkowski
 
Retail tata tea vs taj mahal
Retail tata tea vs taj mahalRetail tata tea vs taj mahal
Retail tata tea vs taj mahalSamir Kumar Sahu
 

Destacado (10)

Tran, M GlobaLinks F14
Tran, M GlobaLinks F14Tran, M GlobaLinks F14
Tran, M GlobaLinks F14
 
TEP VOAD 2015 - Presentation
TEP VOAD 2015 - PresentationTEP VOAD 2015 - Presentation
TEP VOAD 2015 - Presentation
 
The crying tree, marion va
The crying tree, marion vaThe crying tree, marion va
The crying tree, marion va
 
Metaphysicalhu sciences logo 8
Metaphysicalhu sciences logo 8Metaphysicalhu sciences logo 8
Metaphysicalhu sciences logo 8
 
2013 presentation heritage updated 2013 08
2013 presentation heritage updated 2013 082013 presentation heritage updated 2013 08
2013 presentation heritage updated 2013 08
 
Luka 6:-24-49
Luka 6:-24-49Luka 6:-24-49
Luka 6:-24-49
 
Diseño de mezclas
Diseño de mezclasDiseño de mezclas
Diseño de mezclas
 
4th Poland Umbraco Meetup @ państwomiasto, Warsaw 2016
4th Poland Umbraco Meetup @ państwomiasto, Warsaw 20164th Poland Umbraco Meetup @ państwomiasto, Warsaw 2016
4th Poland Umbraco Meetup @ państwomiasto, Warsaw 2016
 
landscaping Plan
landscaping Planlandscaping Plan
landscaping Plan
 
Retail tata tea vs taj mahal
Retail tata tea vs taj mahalRetail tata tea vs taj mahal
Retail tata tea vs taj mahal
 

Similar a Practical security hands on with oracle solaris

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...Tomás García-Merás
 
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...clienteafirma
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanishTommy Clive
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redRoosii Mendooza
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Herramientas de Licenciamiento de Software y Protección de Software HARdkey
Herramientas de Licenciamiento de Software y Protección de Software HARdkeyHerramientas de Licenciamiento de Software y Protección de Software HARdkey
Herramientas de Licenciamiento de Software y Protección de Software HARdkeyAndres Gallo
 
Seguridad para los datos de las pymes
Seguridad para los datos de las pymesSeguridad para los datos de las pymes
Seguridad para los datos de las pymesAlfredo Vela Zancada
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANsrkamote
 
Be Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordBe Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordSymantec LATAM
 
U2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_movilesU2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_movilesAkirepaho
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-españolisidro luna beltran
 

Similar a Practical security hands on with oracle solaris (20)

Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...Nuevos retos en la gestion de la identidad digital para la nueva generación d...
Nuevos retos en la gestion de la identidad digital para la nueva generación d...
 
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
D jose manuel_rodriguez_-_oracle_-_nuevos_retos_en_la_gestion_de_la_identidad...
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanish
 
Medidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-redMedidas de-seguridad-dentro-de-una-red
Medidas de-seguridad-dentro-de-una-red
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
 
ISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e IdentidadISS SA Protección de la Información e Identidad
ISS SA Protección de la Información e Identidad
 
Herramientas de Licenciamiento de Software y Protección de Software HARdkey
Herramientas de Licenciamiento de Software y Protección de Software HARdkeyHerramientas de Licenciamiento de Software y Protección de Software HARdkey
Herramientas de Licenciamiento de Software y Protección de Software HARdkey
 
Seguridad para los datos de las pymes
Seguridad para los datos de las pymesSeguridad para los datos de las pymes
Seguridad para los datos de las pymes
 
Proteja los Datos más Sensibles
Proteja los Datos más SensiblesProteja los Datos más Sensibles
Proteja los Datos más Sensibles
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
 
Be Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordBe Aware Webinar - Kill the password
Be Aware Webinar - Kill the password
 
U2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_movilesU2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_moviles
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Owasp proyecto
Owasp proyectoOwasp proyecto
Owasp proyecto
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-español
 

Más de CJava Peru

Desarrollo de Software usando Patrones y JDBC 4.0
Desarrollo de Software usando Patrones y JDBC 4.0Desarrollo de Software usando Patrones y JDBC 4.0
Desarrollo de Software usando Patrones y JDBC 4.0CJava Peru
 
"Desarrollo de Microservicios con Spring Boot y Spring MVC"
"Desarrollo de Microservicios con Spring Boot y Spring MVC" "Desarrollo de Microservicios con Spring Boot y Spring MVC"
"Desarrollo de Microservicios con Spring Boot y Spring MVC"CJava Peru
 
Oracle DataBase Hacking Etico
Oracle DataBase Hacking EticoOracle DataBase Hacking Etico
Oracle DataBase Hacking EticoCJava Peru
 
Java on mobile
Java on mobileJava on mobile
Java on mobileCJava Peru
 
From zero to oracle zfs storage appliance backup and recovery in 60 minutes
From zero to oracle zfs storage appliance backup and recovery in 60 minutesFrom zero to oracle zfs storage appliance backup and recovery in 60 minutes
From zero to oracle zfs storage appliance backup and recovery in 60 minutesCJava Peru
 
Down to-earth microservices with java ee
Down to-earth microservices with java eeDown to-earth microservices with java ee
Down to-earth microservices with java eeCJava Peru
 
Web logic multi tenancy fundamentals
Web logic multi tenancy fundamentalsWeb logic multi tenancy fundamentals
Web logic multi tenancy fundamentalsCJava Peru
 
Módulo I fundamentals I
Módulo I fundamentals IMódulo I fundamentals I
Módulo I fundamentals ICJava Peru
 
Syllabus fundamentals I
Syllabus fundamentals ISyllabus fundamentals I
Syllabus fundamentals ICJava Peru
 
Relational to json with node dan mc ghan-ls
Relational to json with node dan mc ghan-lsRelational to json with node dan mc ghan-ls
Relational to json with node dan mc ghan-lsCJava Peru
 
Internet of things architecture and impact
Internet of things architecture and impactInternet of things architecture and impact
Internet of things architecture and impactCJava Peru
 
Sql tuning without trying arup nanda ls
Sql tuning without trying arup nanda lsSql tuning without trying arup nanda ls
Sql tuning without trying arup nanda lsCJava Peru
 

Más de CJava Peru (12)

Desarrollo de Software usando Patrones y JDBC 4.0
Desarrollo de Software usando Patrones y JDBC 4.0Desarrollo de Software usando Patrones y JDBC 4.0
Desarrollo de Software usando Patrones y JDBC 4.0
 
"Desarrollo de Microservicios con Spring Boot y Spring MVC"
"Desarrollo de Microservicios con Spring Boot y Spring MVC" "Desarrollo de Microservicios con Spring Boot y Spring MVC"
"Desarrollo de Microservicios con Spring Boot y Spring MVC"
 
Oracle DataBase Hacking Etico
Oracle DataBase Hacking EticoOracle DataBase Hacking Etico
Oracle DataBase Hacking Etico
 
Java on mobile
Java on mobileJava on mobile
Java on mobile
 
From zero to oracle zfs storage appliance backup and recovery in 60 minutes
From zero to oracle zfs storage appliance backup and recovery in 60 minutesFrom zero to oracle zfs storage appliance backup and recovery in 60 minutes
From zero to oracle zfs storage appliance backup and recovery in 60 minutes
 
Down to-earth microservices with java ee
Down to-earth microservices with java eeDown to-earth microservices with java ee
Down to-earth microservices with java ee
 
Web logic multi tenancy fundamentals
Web logic multi tenancy fundamentalsWeb logic multi tenancy fundamentals
Web logic multi tenancy fundamentals
 
Módulo I fundamentals I
Módulo I fundamentals IMódulo I fundamentals I
Módulo I fundamentals I
 
Syllabus fundamentals I
Syllabus fundamentals ISyllabus fundamentals I
Syllabus fundamentals I
 
Relational to json with node dan mc ghan-ls
Relational to json with node dan mc ghan-lsRelational to json with node dan mc ghan-ls
Relational to json with node dan mc ghan-ls
 
Internet of things architecture and impact
Internet of things architecture and impactInternet of things architecture and impact
Internet of things architecture and impact
 
Sql tuning without trying arup nanda ls
Sql tuning without trying arup nanda lsSql tuning without trying arup nanda ls
Sql tuning without trying arup nanda ls
 

Practical security hands on with oracle solaris

  • 1.
  • 2. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Seguridad práctica con Oracle Solaris Duncan Hardie, Principal Product Manager Darren Moffat, Senior Principal Software Engineer Oracle Solaris Marzo de 2016 Aguarde un momento por favor. La sesión comenzará en breve en el horario señalado en el programa. Muchas gracias.
  • 3. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 200 millones Experian Mar 2014 150 millones eBay Mayo 2014 22 millones Educación Jul 2014 Bancos de Sudáfrica Oct 2013 Tarjetas de crédito 150 millones + código Adobe Oct 2013 98 millones Target Dic 2013 20 millones Credit Bureau 12 millones Telecom. Ene 2014 56 millones Home Depot Sept 2014 Inmigración Jun2014 Registros personales 76 millones JPMC Oct 2014 La era de las megaviolaciones a la seguridad Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 53 millones Sony Dic 2014 227 millones 80 millones Anthem Feb 2015 3
  • 4. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Ataques sociales Comando y control Ataque por fuerza bruta Malware Ataque por inyección de SQL Robo de credenciales Vectores de ataques típicos Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 4
  • 5. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Los riesgos son externos; las vulnerabilidades, internas 5
  • 6. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Nuestro tema de hoy: la seguridad en todos los niveles • Aplicación – Privilegios mínimos • SO – Arranque verificado • Virtualización – Zonas inmutables • Red – Rango de direcciones IP • Capa de almacenamiento – Cifrado ZFS Oracle Solaris Oracle SolarisOracle Solaris Zona Zona Zona Zona Zona Zona Zona Zona 6
  • 7. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 1: Administrador inexperto con demasiados privilegios 7
  • 8. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
  • 9. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Oracle Solaris mitiga el abuso y mal uso de credenciales Delegación Acceso de usuarios basado en actividades Control basado en horarios Controla cuándo los usuarios realizan acciones Oracle Corporation - Confidencial 9
  • 10. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 2: Instalación de troyano malintencionado 10
  • 11. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
  • 12. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Antimalware/ Prevención de mal uso • Línea de base reforzada • Máquinas virtuales inmutables • Arranque verificado • Instalación y actualización seguras Auditoría de contenido de archivos • Monitoreo automático • Registro de identidad • Registro de diferencias en archivos Aplicaciones de código abierto mejoradas • sudo • Puppet • Y muchas más... Registro de estándares del sector • Obtención remota • Integración con SIEM Infraestructura segura: tecnologías de respaldo 12
  • 13. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 3: Acceso malicioso a máquina virtual 13
  • 14. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
  • 15. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | • Zonas inmutables – Virtualización de solo lectura – También es posible con una zona global y un invitado OVM Server para SPARC – Acceso a través de ruta de confianza • Novedad: configuración de zonas dinámicas, permite crear zonas – Muy útil para nodos Openstack Nova • Plantillas listas para usar Protección de la infraestructura de aplicaciones Máquinas virtuales de solo lectura Ninguna Flexible Fija D-Zone Estricta /, /usr, /lb, … Permite escritura Solo lectura Solo lectura Solo lectura Solo lectura /etc Permite escritura Permite escritura Solo lectura Solo lectura Solo lectura /var Permite escritura Permite escritura Permite escritura Permite escritura Solo lectura otro Permite escritura Solo lectura Solo lectura Solo lectura Solo lectura Crear zona Sí No No Sí No 15
  • 16. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Cómo frenar el ingreso de malware Sistemas y máquinas virtuales inmutables – No se permite el ingreso de atacantes – Se evitan errores del administrador – Se actualiza aun cuando los usuarios y aplicaciones no tengan permisos de escritura Software destinado a alterar sistemas – Firmware para aplicaciones – Instalar solo software conocido y de confianza – Si no tiene firma, no instalar – Arranque verificado 16
  • 17. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 4: Explotación de la red 17
  • 18. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
  • 19. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Amenaza N° 5: Intento de acceder a datos confidenciales 19
  • 20. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. |
  • 21. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Seguridad de Oracle por dentro y por fuera Capas de la pila Oracle Corporation - Confidencial 21 S EG U R I DA D S EG U R I DA D S EG U R I DA D S EG U R I DA D S EG U R I DA D S EG U R I DA D S E G U R I D A D Gobierno, riesgo y cumplimiento (GRC) Revisión de acceso y certificaciones, detección de anomalías, aprovisionamiento de usuarios, gestión de derechos (entitlements) Seguridad móvil, usuarios con privilegios Servicios de directorios, regulación de identidades Gestión de derechos, gestión de acceso Cifrado, enmascaramiento, redacción, gestión de claves Control de usuarios con privilegios, seguridad de grandes volúmenes de datos, configuración segura Espacio seguro para aplicación + usuario, administración delegada Sistema antimalware, protección de datos + red Informes de cumplimiento de normativa, ciclo de vida de aplicaciones seguro Migración en vivo segura Zonas inmutables Plano de control independiente Aceleración criptográfica Integridad de datos de aplicaciones Arranque verificado Cifrado de discos, Copias de respaldo seguras Gestión de claves empresariales SPARC/Solaris
  • 22. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | LA SEGURIDAD INCORPORADA POR DENTRO Y POR FUERA AHORRA TIEMPOYDINERO, Y REDUCE LOS RIESGOS Mitiga el abuso y mal uso de credenciales Ciclo de vida seguro garantizado Cifrado de todo, en todas partes, todo el tiempo 22
  • 23. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | Preguntas y respuestas 23
  • 24. Copyright © 2014 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 24
  • 25.
  • 26. Copyright © 2015 Oracle y/o sus compañías afiliadas. Todos los derechos reservados. | 52% 34% 11% 4% Base de datos Red Aplicación Middleware Capas informáticas más vulnerables a ataques 67% 15% 15% 3% Base de datos Red Aplicación Middleware Asignación de recursos para proteger la capa informática Fuente: CSO Online MarketPulse, 2013 Garantizar la seguridad de la red no basta: hay que proteger los datos