Aktywny monitoring bezpieczeństwa baz danych Zbigniew Szmigiero, IBM 2010 IBM Corporation
Agenda Bezpieczeństwo baz danych według Gartner Ten Database Activities Enterprises Need to Monitor IBM Guardium w świetle wymagań dla DAM Gartnera 1
Profil przechowywania danych zmienia się Migracja danych Systemy tranzakcyjne Analityka Coraz więcej i więcej danych Konsolidacja baz danych Z wielu do jednej PodwyŜszone ryzyko Mniejszy front ataku Retencja danych 2
Wyzwanie #1 Gdzie są bazy danych? Wynikiem zaawansowanej architektury jest złoŝoność systemów Często administratorzy i programiści nie wiedzą co jest w środku NiezaleŜne bazy danych, połączenia między nimi Brak pełnego nadzoru Starsze systemy RóŜne platformy, wersje, schematy, formaty 3
Wyzwanie #2 Co musimy zrobić aby być zgodnymi z wymaganiami regulacyjnymi? 4
Przegląd wymagań regulacyjnych DDL = Data Definition Language (aka( schema changes) DML = Data Manipulation Language (data value changes) DCL = Data Control Language 5
Wyzwanie #3 Jak zacząć? Kontrola oparta na analizie ryzyka Obsługa najwaŝniejszych zagroŝeń i wyzwań Standaryzacja kontroli dostępu w jednostkach biznesowych, systemach, regulacjach Obsługa wymagań regulacyjnych Analiza technologii w celu zmniejszenia złoŝoności, obniŝenia kosztów, zwiększenia niezawodności Racjonalizacja budŝetu 6
Wyzwanie #4 Gdzie jest igła, tzn. gdzie są dane krytyczne? 7
Model ochrony danych wg Gartnera Administracyjne Zapobiegawcze Detekcja Polityki i nadzór Instalacja Zarządzanie zmianą i konfiguracją Wykrywanie i klasyfikacja danych Skanowanie podatności Szyfrowanie IAM i NAC Zarządzanie Maskowanie IPS Aktywny monitoring (DAM) SIEM DLP Detekcja oszustw 8
Instalacja, konfiguracja i zarządzanie Standardowa instalacja jest zazwyczaj niezabezpieczona Nie ignoruj bezpieczeństwa na warstwie systemu operacyjnego Łataj dziury natychmiast Połącz bezpieczeństwo baz danych z programem zarządzania podatnościami Kluczowe jest zarządzanie konfiguracją Jeśli nie wiesz co masz nie jesteś w stanie określić co się zmieniło Ciągłe skanowanie (jak zarządzasz tymi informacjami) Podatności Konfiguracji 9
Szyfrowanie i maskowanie Szyfrowanie Znacznie ulepszone Nadal problemy z Zarządzaniem kluczami Starszymi systemami Dostęp do kluczy daje dostęp do wszystkich danych (brak granularności) Pomaga przy Separacji uprawnień Przenoszeniu duŝych ilości danych Maskowanie Niedojrzałe technologie Przyjazne Ograniczanie przypadkowego ujawniania DuŜa granularność Brak zarządzania kluczami 10
NAC i IAM Warstwowa kontrola dostępu nie zrzucaj wszystkiego na aplikację RBAC zwiększa znacząco kontrolę Audyt uprawnień, recertyfikacja ról Świadomość uprawnień domyślnych WdraŜaj architekturę warstwową tam gdzie to moŝliwe UŜywaj VLAN y do separacji sieci i serwerów Filtruj ruch zarówno bazując na źródle jak i odbiorcy WdraŜaj właściwie szczegółową analizę pakietów 11
Kogo i co nadzorować? 10 podstawowych wymagań UŜytkownicy uprzywilejowani Dostęp lub zmiana danych Dostęp niewłaściwymi lub niezatwierdzonymi kanałami Zmiana schematu Dodanie lub modyfikacja konta UŜytkownicy Dostęp do nadmiarowych lub niepotrzebnych danych Dostęp poza godzinami pracy Dostęp niewłaściwymi lub niezatwierdzonymi kanałami (atak zewnętrzny) Programiści, Analitycy, Administratorzy Dostęp do danych produkcyjnych IT Operacyjne Niezatwierdzony zmiany w bazach danych i aplikacjach Łatanie systemu poza CCM bez przygotowania i udokumentowania 12
Jakimi narzędziami monitorować? 13
Cechy DAM Podstawowe Kto, Po co i Kiedy dostawał się do danych Konfiguracja Zmiany schematu Wieloplatformowość Pojedyncze miejsce kontroli nad konfiguracją i raportowania Wsparcie raportowania zgodności z regulatorami Wsparcie dla aplikacji bazodanowych Kolekcja zdarzeń sieciowych i hostowych 14
Cechy DAM Zaawansowane Wykrywanie danych WorkFlow Prewencja Skanowanie podatności Wsparcie dla zarządzania ryzykiem Wsparcie zarządzania zmianą i konfiguracją Zarządzanie dostępem lub integracja z IAM Wsparcie dla platform zwirtualizowanych 15
Problem z pulami połączeń Wymagane ze względu na wydajność Wyzwania Współdzielenie uprawnień Utrata kontekstu uŝytkownika Rozwiązanie Modyfikacja aplikacji (nie zawsze wykonalna) DAM 16
Rozszerzenia DAM 17
Jak wybierać DAM? Wsparcie posiadanych platform Instalacja w złoŝonym środowisku MoŜliwość długiej retencji danych Zarządzanie incydentami i Workflow Wsparcie dla zgodności z regulatorami Pomoc w wykrywaniu danych 18
Agenda Bezpieczeństwo baz danych według Gartner Ten Database Activities Enterprises Need to Monitor IBM Guardium w świetle wymagań dla DAM Gartnera 19
Guardium w pigułce SQL SQL Server Server Nieinwazyjna architektura Na zewnątrz bazy danych Minimalny wpływ na wydajność (2-3%) Nie wymaga Ŝadnych zmian w DBMS lub aplikacji Obsługuje wiele róŝnych baz danych 100% widoczność włączając lokalny dostęp przez DBA Wymusza rozdzielność uprawnień Nie wykorzystuje logów baz danych podatnych na usunięcie, zmiany Szczegółowe, działające w czasie rzeczywistym polityki i zestawy reguł audytu Kto, co, kiedy, jak Zautomatyzowane raportowanie zgodne z wymaganiami regulacji prawnych i audytów (SOX, PCI, NIST, etc.) 20
Wielowarstwowa architektura European Data Centers z/os Mainframe Collector Collector Optim S-GATE Central Policy Manager & Audit Repository Development, Test & Training S-TAP Collector Americas Data Centers Integration with LDAP/AD, IAM, Change Management, SIEM, Archiving, etc. 21
Guardium uŝytkownicy uprzywilejowani UŜytkownicy uprzywilejowani Dostęp lub zmiana danych Dostęp niewłaściwymi lub niezatwierdzonymi kanałami Zmiana schematu Dodanie lub modyfikacja konta 22
Dostęp do niedozwolonych danych Uprzywilejowani uŝytkownicy Zapytanie SQL Serwery aplikacji SQL Oracle, DB2, MySQL, Sybase, itd. Połączenie rozłączone S-GATE Hold SQL Naruszenie polityki: zerwanie połączenia Sprawdzenie zgodności z polityką Session Terminated 23
Niewłaściwy lub niezatwierdzony kanał Application Server 10.10.9.244 Database Server 10.10.9.56 24
Modyfikacja schematu 25
Modyfikacja kont i ról 26
Guardium uŝytkownicy UŜytkownicy Dostęp do nadmiarowych lub niepotrzebnych danych Dostęp poza godzinami pracy Dostęp niewłaściwymi lub niezatwierdzonymi kanałami (atak zewnętrzny) 27
Dostęp niedozwolony lub podejrzany 28
Dostęp poza godzinami pracy 29
Dostęp niewłaściwym kanałem 30
Guardium Programiści, Analitycy, Administratorzy Programiści, Analitycy, Administratorzy Dostęp do danych produkcyjnych 31
Dostęp do systemu produkcyjnego przez programistę 32
Guardium pracownicy IT IT Operacyjne Niezatwierdzony zmiany w bazach danych i aplikacjach Łatanie systemu poza CCM bez przygotowania i udokumentowania 33
Nieautoryzowane zmiany w plikach bazy danych i aplikacji 34
Nieautoryzowane zmiany w plikach bazy danych 35
Historia instalacji łat na systemie 36
Cechy Guardium vs. Gartner DAM Podstawowe Kto, Po co i Kiedy dostawał się do danych Konfiguracja Zmiany schematu Wieloplatformowość Pojedyncze miejsce kontroli nad konfiguracją i raportowania Wsparcie raportowania zgodności z regulatorami Wsparcie dla aplikacji bazodanowych Kolekcja zdarzeń sieciowych i hostowych Zaawansowane Wykrywanie danych WorkFlow Prewencja Skanowanie podatności Wsparcie dla zarządzania ryzykiem Wsparcie zarządzania zmianą i konfiguracją Zarządzanie dostępem lub integracja z IAM Wsparcie dla platform zwirtualizowanych I WIELE INNYCH!!! 37