《数据库安全解决方案介绍》由会员分享,可在线阅读,更多相关《数据库安全解决方案介绍(52页珍藏版)》请在金锄头文库上搜索。
1、Imperva 中国 资深技术顾问 刘沛旻, P,Imperva 数据库安全解决方案介绍,议程,Imperva公司简介 Imperva数据库安全解决方案 数据库安全最佳实践方法 部署方案 案例分享,Imperva公司简介,- CONFIDENTIAL -,3,Imperva简介,成立于2002年 Imperva公司创始人, Shlomo Kramer (全世界对安全影响最大的20人之一,原CheckPoint创始人) 总部在美国,研发中心在以色列 在美国, 欧洲, 日本, 中国, 台湾分别设有分公司或办事处Forrester和Gartner均认定Imperva是数据安全和合规产品领域的领导者
2、四千多个用户,其中很多客户为财富 500 公司: 客户遍及银行, 保险,各种,电信,分销,电子商务,电器制造,信息科技等多种行业,“Imperva is helping us protect the security and privacy of customer data, and gain unprecedented visibility into who is accessing this critical operational system.”,Imperva被公认为行业的领导者,Imperva exceeds IDCs viability assessment for strate
3、gic direction, growth and market potential. (Feb 2010),Some DAM vendors take an enterprise wide view of all data structured and unstructured that exists in the core of the typical enterprise and addresses the protection of that data throughout its life, including identification, risk assessment, acc
4、ess controls and controls enforcement across all data storage platforms. This approach is best characterized by Impervas offering, which considers DAM as a component of a data protection and risk management function.” Jeff Wheatman, June 2010,“The product set makes a strong case for itself as a lead
5、ing contender in this market space.” (April 2010),“Imperva is the leader in the stand alone WAF market.” (Feb 2010),Imperva 应用数据安全解决整体方案,Hackers,Insiders,6,Imperva SecureSphere 产品系列,相同的硬件平台 统一管理界面 统一分析引擎 统一报告系统 统一的报警机制多种部署方案 硬件设备 虚拟设备 Agent部署,7,Imperva数据库安全解决方案,- CONFIDENTIAL -,8,Imperva 数据库安全解决方案,审
6、计对敏感数据的所有访问, 包括特权用户以及各种应用程序用户 上述需求在 PCI 10, SOX, HIPPA 等法案中都有明确的规定 实时警告或拦截数据库攻击和未授权的活动 包括协议层的攻击 检测并以虚拟方式修补数据库漏洞 识别越权用户和休眠用户,启动完整的权限审计周期 汇聚网络上所有的DB用户访问权限进行完整审计 减少对业务敏感数据层的访问 (PCI 7 要求) 利用先进的分析功能,加快事件响应和取证调查,9,- CONFIDENTIAL -,10,最佳数据库安全实践方法,IMPERVA 提供数据安全 整个生命周期 的完整解决方案,- CONFIDENTIAL -,现状评估,11,自动发现服
7、务器和关系数据库系统(RDBMS): 是否有没有授权的服务器被临时被架设 在个人电脑上有复制的数据库系统 没有授权的服务 (Web, SOA) 自动发现敏感数据 个人信息(email, SSN) 财务数据(CC numbers) 其他信息(system userid, password.) 分类和校验敏感数据: 例如: 并不是所有的9 位数字 都是敏感的内容: Zip+4 SSN Account number.,- CONFIDENTIAL -,现状评估: 服务器, 数据库和数据的发现,12,- CONFIDENTIAL -,现状评估:服务器和数据库配置,降低因为不良的配置带来的风险 可鉴别潜
8、在的威胁和漏洞 可进行风险管理和响应漏洞评估 系统配置问题 软件缺陷 用户、角色、权限的问题Application Defense Center (ADC) 行业中知名的安全研究团队 一直确保Imperva产品的安全信息最新,13,现状评估: 为什么评估行为很困难?,Regulations ( Few ),Databases ( Tens ),Applications ( Hundreds),Users ( Hundreds To Thousands ),TablesObjects ( Thousands ),Constant Changes !,一个精确的使用模型必须研究成千上万个动态元素
9、用户元素 源应用,工作计划,IP地址 行为方式 SQL查询,SQL表,存储过程,等等如果是手工来建模太复杂了,一个基于行为模型的解决方案必须可以 持续的创建和更新 用户的行为模型,而无需人工干预!,动态建模 Dynamic Profiling,14,- CONFIDENTIAL -,- CONFIDENTIAL -,现状评估: SecureSphere 动态建模(Dynamic Profiling) 自动化的数据使用评估,动态建模创建了用户的使用模型,基于用户的使用模型基于每一个DB用户或者DB用户组来生成 DB & schemas 的访问情况 对象的查询 标亮敏感数据和黑名单对象的访问 DM
10、L 操作情况,用户模型将完整的反应用户的使用习惯 源IP地址和用户 使用的应用程序 操作系统的系统账号,15,Web usage profile,- CONFIDENTIAL -,设定策略和控制,Scope,16,- CONFIDENTIAL -,策略类型,17,设定策略和控制,设定策略和控制: 精细的预置策略和自定义策略,提供丰富的预定义安全策略和审计策略列表 自定义策略,完全可满足用户的各种自定义需求,18,- CONFIDENTIAL -,Regulations ( Few ),Databases ( Tens ),Applications ( Hundreds),Users ( Hun
11、dreds To Thousands ),TablesObjects ( Thousands ),Constant Changes !,动态建模 Dynamic Profiling,设定策略和控制: 持续更新的策略 Dynamic Profiling 策略,环境持续变化 提供精准的用户模型策略 监控每一种元素的变化: 网络、应用、schemas、对象、用户等等 无需人工创建,动态建模Dynamic Profiling 持续 创建和更新,无需人工干预!,19,- CONFIDENTIAL -,设定策略和控制 动态建模 Dynamic Profiling自动跟踪各种变更,为用户将部署策略时间从几个
12、月缩短到几天 减轻了持续维护的负担 每周5-15个变更意味着 5-30 人小时的维护工作,DEPLOYMENT DAYS,PROFILE CHANGES,学习应用和数据的使用,适应应用的持续变化,20,- CONFIDENTIAL -,- CONFIDENTIAL -,监控和执行,Scope,Tamper-Proof Audit Trail,Real-Time Protection,Monitor,21,- CONFIDENTIAL -,Q,A,监控和执行: SecureSphere 数据库监控方法,22,通过检查 网络上的实时数据流量通过网关或者agents 捕获 所有到达数据库的网络流量
13、(每个网关最大可分析 2GBps 流量!)可分析网络协议,获取 SQL 命令: DML, DDL, TCL, DCL 命令, 存储过程调用, 绑定参数等等.也可以通过分析TCP数据包,发现针对 OS 和 RDBMS 操作的攻击s: 蠕虫, DoS 攻击,等等.,- CONFIDENTIAL -,监控和执行: 全局用户跟踪(Universal User Tracking)-识别真实用户,直接用户追踪 DB Username + OS Username + Hostname + IP + Application Web to DB User 追踪SQL 连接用户追踪 无需重写应用程序或者数据库代码
14、!,Shared & dedicated DB user connections,23,监控和执行: 实时警告和策略阻止,实时监控和策略执行 识别超出基线的违规操作 基于策略违规情况智能警告 提供立即响应或者修复措施,24,- CONFIDENTIAL -,监控和执行: 实时阻止另一案例,25,- CONFIDENTIAL -,- CONFIDENTIAL -,监控和执行: 持续记录详细的审计信息,SecureSphere可实现自动化的持续详细审计 可方便的识别/分类 DML/DDL 访问/变更 数据 标记敏感数据的访问 特殊的对象分组 审计完整的交易详细记录,26,What are the
15、complete details?,详细的审计记录,SecureSphere 自动的将审计日志的各个要素关联在一起,CONFIDENTIAL - Imperva,When?,Where?,Who?,完整的审计记录,What?,How?,Who? 捕捉最终的用户信息,Alex,通过Web表当获取用户信息,Alex,通过企业应用获取用户信息(from SQL Stream),ID = Alex,Alex,ROOT,捕获共享账号后的真实用户信息,Mark Mark,What? - 完整的审计记录,用户最终看到了什么? 审计数据库的响应内容,- CONFIDENTIAL -,29,数据库相应内容,Ma
16、rk Mark,监控和执行: 查询响应的完整审计,审计数据库查询的返回响应信息 例如: 用户在调用存储过程 “sp_Get_Products_By_Deps” 后得到的结果是什么 ?,- CONFIDENTIAL -,30,Order in response,Response Data,监控和执行: 审计独立性,审计的独立性SecureSphere管理系统是和数据库以及服务器的管理系统独立的: SecureSphere是独立的网关设备 或者是基于主机Agent 采用远程无代理方式监视审计日志可防止篡改 可基于角色进行系统访问控制 签名加密方式保存可方便的生成各种报告,31,- CONFIDENTIAL -,- CONFIDENTIAL -,衡量报告,32,- CONFIDENTIAL -,33,衡量报告: 内建报告模板,More examples,
