《数据库安全解决方案介绍ppt课件》由会员分享,可在线阅读,更多相关《数据库安全解决方案介绍ppt课件(52页珍藏版)》请在金锄头文库上搜索。
1、Imperva 中国 资深技术顾问 刘沛旻, P,Imperva 数据库安全解决方案介绍,议程,Imperva公司简介 Imperva数据库安全解决方案 数据库安全最佳实践方法 部署方案 案例分享,.,3,Imperva公司简介,Imperva简介,成立于2002年 Imperva公司创始人, Shlomo Kramer (全世界对安全影响最大的20人之一,原CheckPoint创始人) 总部在美国,研发中心在以色列 在美国, 欧洲, 日本, 中国, 台湾分别设有分公司或办事处 Forrester和Gartner均认定Imperva是数据安全和合规产品领域的领导者 四千多个用户,其中很多客户为
2、财富 500 公司: 客户遍及银行, 保险,各种,电信,分销,电子商务,电器制造,信息科技等多种行业,“Imperva is helping us protect the security and privacy of customer data, and gain unprecedented visibility into who is accessing this critical operational system.”,Imperva被公认为行业的领导者,Imperva exceeds IDCs viability assessment for strategic direction,
3、 growth and market potential. (Feb 2010),Some DAM vendors take an enterprise wide view of all data structured and unstructured that exists in the core of the typical enterprise and addresses the protection of that data throughout its life, including identification, risk assessment, access controls a
4、nd controls enforcement across all data storage platforms. This approach is best characterized by Impervas offering, which considers DAM as a component of a data protection and risk management function.” Jeff Wheatman, June 2010,“The product set makes a strong case for itself as a leading contender
5、in this market space.” (April 2010),“Imperva is the leader in the stand alone WAF market.” (Feb 2010),6,Imperva 应用数据安全解决整体方案,Hackers,Insiders,7,Imperva SecureSphere 产品系列,相同的硬件平台 统一管理界面 统一分析引擎 统一报告系统 统一的报警机制 多种部署方案 硬件设备 虚拟设备 Agent部署,.,8,Imperva数据库安全解决方案,9,Imperva 数据库安全解决方案,审计对敏感数据的所有访问, 包括特权用户以及各种应用程
6、序用户 上述需求在 PCI 10, SOX, HIPPA 等法案中都有明确的规定 实时警告或拦截数据库攻击和未授权的活动 包括协议层的攻击 检测并以虚拟方式修补数据库漏洞 识别越权用户和休眠用户,启动完整的权限审计周期 汇聚网络上所有的DB用户访问权限进行完整审计 减少对业务敏感数据层的访问 (PCI 7 要求) 利用先进的分析功能,加快事件响应和取证调查,- CONFIDENTIAL -,10,最佳数据库安全实践方法,IMPERVA 提供数据安全 整个生命周期 的完整解决方案,.,11,现状评估,.,12,自动发现服务器和关系数据库系统(RDBMS): 是否有没有授权的服务器被临时被架设 在
7、个人电脑上有复制的数据库系统 没有授权的服务 (Web, SOA) 自动发现敏感数据 个人信息(email, SSN) 财务数据(CC numbers) 其他信息(system userid, password.) 分类和校验敏感数据: 例如: 并不是所有的9 位数字 都是敏感的内容: Zip+4 SSN Account number.,现状评估: 服务器, 数据库和数据的发现,.,13,现状评估:服务器和数据库配置,降低因为不良的配置带来的风险 可鉴别潜在的威胁和漏洞 可进行风险管理和响应 漏洞评估 系统配置问题 软件缺陷 用户、角色、权限的问题 Application Defense Ce
8、nter (ADC) 行业中知名的安全研究团队 一直确保Imperva产品的安全信息最新,.,14,现状评估:为什么评估行为很困难?,Regulations ( Few ),Databases ( Tens ),Applications ( Hundreds),Users ( Hundreds To Thousands ),TablesObjects ( Thousands ),Constant Changes !,一个精确的使用模型必须研究成千上万个动态元素 用户元素 源应用,工作计划,IP地址 行为方式 SQL查询,SQL表,存储过程,等等 如果是手工来建模太复杂了,一个基于行为模型的解决
9、方案必须可以 持续的创建和更新 用户的行为模型,而无需人工干预!,动态建模 Dynamic Profiling,.,15,现状评估:SecureSphere 动态建模(Dynamic Profiling)自动化的数据使用评估,动态建模创建了用户的使用模型,基于用户的使用模型基于每一个DB用户或者DB用户组来生成 DB & schemas 的访问情况 对象的查询 标亮敏感数据和黑名单对象的访问 DML 操作情况,用户模型将完整的反应用户的使用习惯 源IP地址和用户 使用的应用程序 操作系统的系统账号,Web usage profile,.,16,设定策略和控制,Scope,.,17,策略类型,设
10、定策略和控制,.,18,设定策略和控制:精细的预置策略和自定义策略,提供丰富的预定义安全策略和审计策略列表 自定义策略,完全可满足用户的各种自定义需求,.,19,Regulations ( Few ),Databases ( Tens ),Applications ( Hundreds),Users ( Hundreds To Thousands ),TablesObjects ( Thousands ),Constant Changes !,动态建模 Dynamic Profiling,设定策略和控制: 持续更新的策略 Dynamic Profiling 策略,环境持续变化 提供精准的用户模
11、型策略 监控每一种元素的变化: 网络、应用、schemas、对象、用户等等 无需人工创建,动态建模Dynamic Profiling 持续 创建和更新,无需人工干预!,.,20,设定策略和控制 动态建模 Dynamic Profiling自动跟踪各种变更,为用户将部署策略时间从几个月缩短到几天 减轻了持续维护的负担 每周5-15个变更意味着 5-30 人小时的维护工作,DEPLOYMENT DAYS,PROFILE CHANGES,学习应用和数据的使用,适应应用的持续变化,.,21,监控和执行,Scope,Tamper-Proof Audit Trail,Real-Time Protectio
12、n,Monitor,.,22,Q,A,监控和执行: SecureSphere 数据库监控方法,通过检查 网络上的实时数据流量 通过网关或者agents 捕获 所有到达数据库的网络流量 (每个网关最大可分析 2GBps 流量!) 可分析网络协议,获取 SQL 命令: DML, DDL, TCL, DCL 命令, 存储过程调用, 绑定参数等等. 也可以通过分析TCP数据包,发现针对 OS 和 RDBMS 操作的攻击s: 蠕虫, DoS 攻击,等等.,.,23,监控和执行:全局用户跟踪(Universal User Tracking)-识别真实用户,直接用户追踪 DB Username + OS U
13、sername + Hostname + IP + Application Web to DB User 追踪 SQL 连接用户追踪 无需重写应用程序或者数据库代码!,Shared & dedicated DB user connections,.,24,监控和执行:实时警告和策略阻止,实时监控和策略执行 识别超出基线的违规操作 基于策略违规情况智能警告 提供立即响应或者修复措施,.,25,监控和执行:实时阻止另一案例,.,26,监控和执行:持续记录详细的审计信息,SecureSphere可实现自动化的持续详细审计 可方便的识别/分类 DML/DDL 访问/变更 数据 标记敏感数据的访问 特殊
14、的对象分组 审计完整的交易详细记录,What are the complete details?,.,详细的审计记录,SecureSphere 自动的将审计日志的各个要素关联在一起,When?,Where?,Who?,完整的审计记录,What?,How?,Who? 捕捉最终的用户信息,Alex,通过Web表当获取用户信息,Alex,通过企业应用获取用户信息(from SQL Stream),ID = Alex,Alex,ROOT,捕获共享账号后的真实用户信息,.,29,Mark Mark,What? - 完整的审计记录,用户最终看到了什么? 审计数据库的响应内容,数据库相应内容,.,30,Ma
15、rk Mark,监控和执行:查询响应的完整审计,审计数据库查询的返回响应信息 例如: 用户在调用存储过程 “sp_Get_Products_By_Deps” 后得到的结果是什么 ?,Order in response,Response Data,.,31,监控和执行:审计独立性,审计的独立性 SecureSphere管理系统是和数据库以及服务器的管理系统独立的: SecureSphere是独立的网关设备 或者是基于主机Agent 采用远程无代理方式监视 审计日志可防止篡改 可基于角色进行系统访问控制 签名加密方式保存 可方便的生成各种报告,.,32,衡量报告,.,33,衡量报告: 内建报告模板
16、,More examples,.,34,衡量报告:动态审计分析,提供实时审计数据的全面分析功能 提供了最终审计数据的分布和趋势情况分析视图 帮助用户分析审计结果 系统管理视图和统计信息,.,35,衡量报告:审计后续管理流程,实施签收流程 修正管理流程 复查 DB & OS 完整性 SQL 异常和其他错误处理 角色/职责管理 公司内/公司外业务流程 任何新的访问 修改访问方式 基于任务的工作流 incidents 事件分配 设定所有者、有效期、状态 可将报告附加到任务上 邮件通知事件状态变更情况,.,36,衡量报告:广泛的安全合作伙伴,SIEM 系统集成: 可将数据库安全事件、告警、审计日志发送到SIEM系统中(例如,ArcSight等) 增强了 SIEM 系统对数据库安全信息的感知,集中在统一界面中,并可和其他安全事件相关联。 变更系统和事件管理系统集成: 将告警信息发送到第三方系统 例如:在变更系统中自动创建一个修复任务 双向扫描系
