Aktywny monitoring bezpieczeństwa baz danych Zbigniew Szmigiero, IBM IBM Corporation

Transkrypt

1 Aktywny monitoring bezpieczeństwa baz danych Zbigniew Szmigiero, IBM 2010 IBM Corporation

2 Agenda Bezpieczeństwo baz danych według Gartner Ten Database Activities Enterprises Need to Monitor IBM Guardium w świetle wymagań dla DAM Gartnera 1

3 Profil przechowywania danych zmienia się Migracja danych Systemy tranzakcyjne Analityka Coraz więcej i więcej danych Konsolidacja baz danych Z wielu do jednej PodwyŜszone ryzyko Mniejszy front ataku Retencja danych 2

4 Wyzwanie #1 Gdzie są bazy danych? Wynikiem zaawansowanej architektury jest złoŝoność systemów Często administratorzy i programiści nie wiedzą co jest w środku NiezaleŜne bazy danych, połączenia między nimi Brak pełnego nadzoru Starsze systemy RóŜne platformy, wersje, schematy, formaty 3

5 Wyzwanie #2 Co musimy zrobić aby być zgodnymi z wymaganiami regulacyjnymi? 4

6 Przegląd wymagań regulacyjnych DDL = Data Definition Language (aka( schema changes) DML = Data Manipulation Language (data value changes) DCL = Data Control Language 5

7 Wyzwanie #3 Jak zacząć? Kontrola oparta na analizie ryzyka Obsługa najwaŝniejszych zagroŝeń i wyzwań Standaryzacja kontroli dostępu w jednostkach biznesowych, systemach, regulacjach Obsługa wymagań regulacyjnych Analiza technologii w celu zmniejszenia złoŝoności, obniŝenia kosztów, zwiększenia niezawodności Racjonalizacja budŝetu 6

8 Wyzwanie #4 Gdzie jest igła, tzn. gdzie są dane krytyczne? 7

9 Model ochrony danych wg Gartnera Administracyjne Zapobiegawcze Detekcja Polityki i nadzór Instalacja Zarządzanie zmianą i konfiguracją Wykrywanie i klasyfikacja danych Skanowanie podatności Szyfrowanie IAM i NAC Zarządzanie Maskowanie IPS Aktywny monitoring (DAM) SIEM DLP Detekcja oszustw 8

10 Instalacja, konfiguracja i zarządzanie Standardowa instalacja jest zazwyczaj niezabezpieczona Nie ignoruj bezpieczeństwa na warstwie systemu operacyjnego Łataj dziury natychmiast Połącz bezpieczeństwo baz danych z programem zarządzania podatnościami Kluczowe jest zarządzanie konfiguracją Jeśli nie wiesz co masz nie jesteś w stanie określić co się zmieniło Ciągłe skanowanie (jak zarządzasz tymi informacjami) Podatności Konfiguracji 9

11 Szyfrowanie i maskowanie Szyfrowanie Znacznie ulepszone Nadal problemy z Zarządzaniem kluczami Starszymi systemami Dostęp do kluczy daje dostęp do wszystkich danych (brak granularności) Pomaga przy Separacji uprawnień Przenoszeniu duŝych ilości danych Maskowanie Niedojrzałe technologie Przyjazne Ograniczanie przypadkowego ujawniania DuŜa granularność Brak zarządzania kluczami 10

12 NAC i IAM Warstwowa kontrola dostępu nie zrzucaj wszystkiego na aplikację RBAC zwiększa znacząco kontrolę Audyt uprawnień, recertyfikacja ról Świadomość uprawnień domyślnych WdraŜaj architekturę warstwową tam gdzie to moŝliwe UŜywaj VLAN y do separacji sieci i serwerów Filtruj ruch zarówno bazując na źródle jak i odbiorcy WdraŜaj właściwie szczegółową analizę pakietów 11

13 Kogo i co nadzorować? 10 podstawowych wymagań UŜytkownicy uprzywilejowani Dostęp lub zmiana danych Dostęp niewłaściwymi lub niezatwierdzonymi kanałami Zmiana schematu Dodanie lub modyfikacja konta UŜytkownicy Dostęp do nadmiarowych lub niepotrzebnych danych Dostęp poza godzinami pracy Dostęp niewłaściwymi lub niezatwierdzonymi kanałami (atak zewnętrzny) Programiści, Analitycy, Administratorzy Dostęp do danych produkcyjnych IT Operacyjne Niezatwierdzony zmiany w bazach danych i aplikacjach Łatanie systemu poza CCM bez przygotowania i udokumentowania 12

14 Jakimi narzędziami monitorować? 13

15 Cechy DAM Podstawowe Kto, Po co i Kiedy dostawał się do danych Konfiguracja Zmiany schematu Wieloplatformowość Pojedyncze miejsce kontroli nad konfiguracją i raportowania Wsparcie raportowania zgodności z regulatorami Wsparcie dla aplikacji bazodanowych Kolekcja zdarzeń sieciowych i hostowych 14

16 Cechy DAM Zaawansowane Wykrywanie danych WorkFlow Prewencja Skanowanie podatności Wsparcie dla zarządzania ryzykiem Wsparcie zarządzania zmianą i konfiguracją Zarządzanie dostępem lub integracja z IAM Wsparcie dla platform zwirtualizowanych 15

17 Problem z pulami połączeń Wymagane ze względu na wydajność Wyzwania Współdzielenie uprawnień Utrata kontekstu uŝytkownika Rozwiązanie Modyfikacja aplikacji (nie zawsze wykonalna) DAM 16

18 Rozszerzenia DAM 17

19 Jak wybierać DAM? Wsparcie posiadanych platform Instalacja w złoŝonym środowisku MoŜliwość długiej retencji danych Zarządzanie incydentami i Workflow Wsparcie dla zgodności z regulatorami Pomoc w wykrywaniu danych 18

20 Agenda Bezpieczeństwo baz danych według Gartner Ten Database Activities Enterprises Need to Monitor IBM Guardium w świetle wymagań dla DAM Gartnera 19

21 Guardium w pigułce SQL SQL Server Server Nieinwazyjna architektura Na zewnątrz bazy danych Minimalny wpływ na wydajność (2-3%) Nie wymaga Ŝadnych zmian w DBMS lub aplikacji Obsługuje wiele róŝnych baz danych 100% widoczność włączając lokalny dostęp przez DBA Wymusza rozdzielność uprawnień Nie wykorzystuje logów baz danych podatnych na usunięcie, zmiany Szczegółowe, działające w czasie rzeczywistym polityki i zestawy reguł audytu Kto, co, kiedy, jak Zautomatyzowane raportowanie zgodne z wymaganiami regulacji prawnych i audytów (SOX, PCI, NIST, etc.) 20

22 Wielowarstwowa architektura European Data Centers z/os Mainframe Collector Collector Optim S-GATE Central Policy Manager & Audit Repository Development, Test & Training S-TAP Collector Americas Data Centers Integration with LDAP/AD, IAM, Change Management, SIEM, Archiving, etc. 21

23 Guardium uŝytkownicy uprzywilejowani UŜytkownicy uprzywilejowani Dostęp lub zmiana danych Dostęp niewłaściwymi lub niezatwierdzonymi kanałami Zmiana schematu Dodanie lub modyfikacja konta 22

24 Dostęp do niedozwolonych danych Uprzywilejowani uŝytkownicy Zapytanie SQL Serwery aplikacji SQL Oracle, DB2, MySQL, Sybase, itd. Połączenie rozłączone S-GATE Hold SQL Naruszenie polityki: zerwanie połączenia Sprawdzenie zgodności z polityką Session Terminated 23

25 Niewłaściwy lub niezatwierdzony kanał Application Server Database Server

26 Modyfikacja schematu 25

27 Modyfikacja kont i ról 26

28 Guardium uŝytkownicy UŜytkownicy Dostęp do nadmiarowych lub niepotrzebnych danych Dostęp poza godzinami pracy Dostęp niewłaściwymi lub niezatwierdzonymi kanałami (atak zewnętrzny) 27

29 Dostęp niedozwolony lub podejrzany 28

30 Dostęp poza godzinami pracy 29

31 Dostęp niewłaściwym kanałem 30

32 Guardium Programiści, Analitycy, Administratorzy Programiści, Analitycy, Administratorzy Dostęp do danych produkcyjnych 31

33 Dostęp do systemu produkcyjnego przez programistę 32

34 Guardium pracownicy IT IT Operacyjne Niezatwierdzony zmiany w bazach danych i aplikacjach Łatanie systemu poza CCM bez przygotowania i udokumentowania 33

35 Nieautoryzowane zmiany w plikach bazy danych i aplikacji 34

36 Nieautoryzowane zmiany w plikach bazy danych 35

37 Historia instalacji łat na systemie 36

38 Cechy Guardium vs. Gartner DAM Podstawowe Kto, Po co i Kiedy dostawał się do danych Konfiguracja Zmiany schematu Wieloplatformowość Pojedyncze miejsce kontroli nad konfiguracją i raportowania Wsparcie raportowania zgodności z regulatorami Wsparcie dla aplikacji bazodanowych Kolekcja zdarzeń sieciowych i hostowych Zaawansowane Wykrywanie danych WorkFlow Prewencja Skanowanie podatności Wsparcie dla zarządzania ryzykiem Wsparcie zarządzania zmianą i konfiguracją Zarządzanie dostępem lub integracja z IAM Wsparcie dla platform zwirtualizowanych I WIELE INNYCH!!! 37