Baixe o app para aproveitar ainda mais
Prévia do material em texto
WBA0473_v1.0 Segurança e Auditoria em Banco de Dados Gerenciamento de usuários e seus privilégios Bloco 1 Washington H. C. Almeida Segurança de dados • Dados x Informação: • Dados: fatos brutos. • Informação: dados com contexto. • Segurança de dados: • Principal ativo organizacional. • Dados são o novo petróleo. Fonte: Vladislav Popov/iStock.com. Figura 1 - Tipos de dados Segurança da informação - SI • Pilares da Segurança da Informação: • Confidencialidade. • Integridade. • Disponibilidade. • Não-Repúdio ou Autenticidade. Fonte: elaborada pelo autor. Figura 2 - Princípios da SI Princípios da Segurança da Informação Confidencialidade Disponibilida de Integralidad e Sistema Gerenciador de Banco de Dados - SGBD • Usuários do SGBD. • Controles de acesso. • Transações. • Exemplos de SGBD: MySQL, Oracle, Postgresql e MS SQL (SQL Server). Arquitetura de SGBD Fonte: adaptada de Date (2011, p. 83). Figura 3 - Níveis de um SGBD Conclusão • Dados são o principal ativo de uma instituição. • A proteção dos dados é fundamental no dia a dia das organizações. • O software SGBD agrega várias funcionalidades para implementação de controles no tocante a segurança dos dados e a segurança da informação. Gerenciamento de usuários e seus privilégios Bloco 2 Washington H. C. Almeida Visão do SGBD Fonte: Date (2011, p. 41). Figura 4 - SGBD SQL - Structured Query Language • A Linguagem de Consulta Estruturada, ou SQL, é a linguagem padrão utilizada em banco de dados relacionais. • Comandos DCL (Data Control Language) (GRANT e REVOKE). • Utilizados para concessão e revogação de permissões. Controle de acesso • Mecanismos de segurança discricionários (DML, DDL) – permissão por usuário e tipo de comando. • Mecanismos de segurança obrigatórios – multinível por classificação. • Podem ser adotadas medidas de controle: • Acesso: contas e privilégios de usuários. • Fluxo: inibir canais secretos. • Criptografia: ocultação dos dados. • Inferência: BD estatísticos. Conclusão • Segurança de dados é a principal atividade na gestão de um SGBD. • Podem ser adotadas medidas e mecanismos de controles baseados em privilégios, criptografia, entre outras. • O DBA tem um papel importante na operação, controle e garantia das medidas estabelecidas. • As regras precisam ser claras e não conflitantes para a plena segurança dos dados. Gerenciamento de usuários e seus privilégios Bloco 3 Washington H. C. Almeida Administrador de banco de dados x Administrador de dados • DBA: • Projeto lógico e físico. • Responsável pelo SGBD. • Técnico de T.I. • AD: • Projeto conceitual. • Responsável pelos dados. • Chefe do DBA. Fonte: Laurence Dutton/iStock.com. Figura 5 - DBA DBA • Implementar as regras definidas pelo AD (criação de contas, concessão e revogação de privilégios, atribuição de nível de segurança etc.). • Assegurar que o banco de dados operará com desempenho satisfatório. • Conhecer profundamente as ferramentas e os software SGBD adotados pela instituição onde trabalha. • Responsável pelo monitoramento das políticas de backup definidas. • Ajudar na resolução de problemas de desempenho das aplicações. Conclusão • O DBA é o responsável por gerenciar os bancos de dados e implementar os controles definidos pela organização. • O AD é responsável pelo entendimento dos dados e do negócio institucional. Teoria em Prática Bloco 4 Washington H. C. Almeida Reflita sobre a seguinte situação Você vai assumir a função de DBA em uma organização, e em suas atribuições está o controle de acesso aos usuários do banco de dados. Como expert no assunto. você conhece todos os comandos SQL necessários, mas, além disso, como você organizaria os usuários, pensando que se trata de uma instituição de que presta serviços com alta rotatividade dos profissionais, basicamente existem 3 tipos de colaboradores: funcionários da casa , terceirizados e estagiários? Qual a melhor forma de estabelecer critérios para solução de acessos a esses profissionais? Na sua visão, como deveriam ser concedidos os privilégios em um banco de dados? As permissões deverão ser de níveis discricionários ou obrigatórios? Norte para a resolução... • A melhor forma de conceder privilégios em bancos de dados, visando a facilidade de manutenção, é por meio de grupos de usuários. • No caso citado, podem ser definidos 3 grupos e todas as contas necessárias podem ser submetidas às regras estabelecidas para esse grupos. • SGBD de mercados possuem essa facilidade na gestão de acesso. • Os mecanismos obrigatórios são atribuídos com base em grupos e perfis. Dica do Professor Bloco 5 Washington H. C. Almeida Ferramentas SGBD • Pesquise na internet quais são as principais ferramentas SGBDs e, em seguida, compare suas vantagens e desvantagens. • Fica como dica o Mysql e o PostgreSQL. • Estude como implementar mecanismos discricionários e obrigatórios nessas duas ferramentas. Ferramentas SGBD - MySQL Você pode usar o HeidiSQL, que é um software gratuito com o MariaDB, versão open source que surgiu do MySQL, com a aquisição do produto pela Oracle. Fonte: captura de tela do HeidiSQL. Figura 6 - Tela de Login da Ferramenta HeidiSQL com o MySQL Referências CAIUT, F. Administração de banco de dados. Rio de Janeiro: RNP/ESR, 2015. DATE, C. J. Introdução a sistemas de banco de dados. Tradução: Daniel Vieira. Rio de Janeiro: Elsevier, 2011. Bons estudos! Segurança e Auditoria em Banco de Dados Gerenciamento de usuários e seus privilégios Segurança de dados Segurança da informação - SI Sistema Gerenciador de Banco de Dados - SGBD Arquitetura de SGBD Conclusão Gerenciamento de usuários e seus privilégios Visão do SGBD SQL - Structured Query Language Controle de acesso Conclusão Gerenciamento de usuários e seus privilégios Administrador de banco de dados x Administrador de dados DBA Conclusão Teoria em Prática Reflita sobre a seguinte situação Norte para a resolução... Dica do Professor Ferramentas SGBD Ferramentas SGBD - MySQL Referências Bons estudos!
Compartilhar