《impervasecuresphere数据库安全网关概述-2011-1-20》由会员分享,可在线阅读,更多相关《impervasecuresphere数据库安全网关概述-2011-1-20(6页珍藏版)》请在金锄头文库上搜索。
1、Imperva SecureSphereTM 数据库安全网关 全面、精确、自动的专用数据库安全平台前言数据库安全代表信息技术领域中最富有挑战性的部分。公司和公共部门的数据库中的信息是战略性资产,其需要经过严格的制度监管,满足苛刻的运行要求,并抵御各种攻击。来自内部和外部的数据库入侵以及通过商业应用程序的,蠕虫感染及攻击持续的危险着系统安全。包括美国在内的许多国家的通过了公开法案对数据信息的安全有很明确的规定,其中比较著名的是Sarbanes-Oxley萨班斯奥克斯利法案, PCI (Visa著名的Payment Card Industry data standard) 规定. 传统的各种方法,
2、包括一些初级的数据库安全防护产品,如:传统IPS的针对性扩展和代理软件,都无法完全满足这些安全需要。而使用Imperva公司的产品将完全可以使得重要的企业和政府部门实现所必须的重要数据的保护. Imperva的数据安全解决方案已经使全球超过120家大型企业、银行、政府部门等相关机构达到了相关规定的安全标准,实现了企业和部门所必须的数据保护.专业的新一代数据库安全平台必须解决的问题即能保护破坏性攻击,也能保护侵入性攻击传统的基于防火墙的保护主要是针对破坏性攻击,而许多侵入性攻击,如数据窃取和篡改都是隐藏在完全正常的访问的交互中的。只有采用新的防范技术才能根本性的提供相应的保护。既能有外在特征的攻
3、击,也能保护隐藏于内容的攻击IPS(包括针对数据库安全进行了扩展的IPS)都是基于特定外部特征的进行攻击识别的。而许多侵入性攻击的基本行为都是正常的或基本正常(只会触发IPS的低级告警)的,但实际上这些攻击往往正是带有直接的经济危害的。必须采用新的防范思路才能有效保护。既能保护已知的攻击,也能保护新出现的攻击现有的各种防攻击的技术都是基于已知的攻击特征的,如:针对特定端口,很有特征代码等。但是,一方面,新型的蠕虫、病毒具有非常强的变形能力,且新的蠕虫、病毒层出不穷;另一方面,应用系统入侵的手段因人而异。这些都是依靠特征识别无法防范的。“第零日保护”必须依赖新一代的安全技术来解决。既能对可疑事件
4、报警,也能准确识别攻击的传统的产品和早期的专业平台都通常只看到数据库安全的一个方面,而没有全面的包括,网络层次、应用层次、交互方式、用户权限等多种信息,因此,没有足够的信息,也没有足够的能力对攻击作精确的识别。这样,通常只能产生大量的告警信息,必须依靠专业的人员从海量的事件中通过综合分析来确定攻击。不仅效率极低,而且时效性远远不能满足实际的需要,并且成本非常高。最终的效果通常是安全产品搁置不用,同时攻击和入侵反复出现。能够足够灵活的适应用系统和数据库系统的变化传统的产品和早期的专业平台都通常需要制定大量的安全规则。这在网络层次的攻击防范方面是可行的策略条目通常可以控制到几十条,最多几百条。而在
5、数据库和应用系统防护方面,要全面的定义各个方面的安全策略几乎是不可能的,尤其考虑到实际应用中这些系统频繁的在进行升级、优化和调整。目前也只有Imperva 的智能、自动建模技术可以从本质上解决这个难题。SecureSphere的主要功能SecureSphereTM是业界唯一成熟的专业数据库安全平台。它可以有多种应用形式,如监视模式、在线保护模式、前后台结合模式图1 监视模式图二 在线保护模式图三 前后台保护模式智能建模技术- Dynamic ProfilingSecureSphere数据安全自动评估方法的核心是Imperva的Dynamic Profiling技术。Dynamic Profil
6、ing技术自动检查实际数据库流量并使用复杂的学习算法创建每个访问数据库的用户或应用的所有合法活动分析文件。此文件不仅仅作为后来审计评估使用变化或应用行为的基准,并且是自动生成的数据库使用安全政策,允许信息安全小组不仅仅可以监视并审计使用,而且保护数据库免受攻击。SecureSphere学习算法不断应用到实际流量中以便当用户活动随着时间发展时,有效变化将自动重新组织并集成到分析文件中。文件偏差将自动触发一个报警并可以根据严重性进行阻塞。数据库使用评估保证一个数据库安全的第一阶段是理解其使用。SecureSphere的Dynamic Profiling检查真实的数据库网络流量以构建一个使用的基准模
7、型,并自动创建数据库安全政策。管理员可以通过审查分析文件轻松掌握适当的数据库使用。这对那些不是数据库技术领域内专家的安全及检查小组特别有用。基于角色的管理支持“仅仅浏览”访问的功能,以便需要评估使用的用户(但不管理SecureSphere)可以访问大量信息。如果需要,具有管理特权的管理员可以修改分析政策以将他们与公司安全或规定指南进行比较。数据库审计SecureSphere采集许多审计数据,并且提供内置的报告功能,可以灵活地满足内部或外部规定要求。SecureSphere的数据库审计包括数据库活动审计、实时告警审计、用户基本信息审计。数据库保护这是SecureSphere的实时保护核心功能。包
8、括:数据库应用保护SecureSphere连续比较动态数据库分析文件的真实用户交互。来自分析的重要偏差生成警报,并且恶意的行为可以根据政策有选择性的阻塞。客户化政策实施除了基于特征文件的安全政策外,管理可以定义任意粒度的客户政策。例如:管理员可以设置访问系统对象的查询政策,甚至对包含特定文本模式的查询。政策偏离可以生成一个警报或者迅速阻塞活动。数据库平台保护SecureSphere Integrated Intrusion Prevention System(IPS)保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞蠕虫及其它攻击(如:Oracle、MS-SQL Server、Lin
9、ux、Windows 2000)。IPS功能包括来自ADC(Application Defense Center)全部Snort兼容的签名字典及私有的SQL特定签名,及Imerva的国际安全研究组织。识别复杂的攻击SecureSphere集成动态善意(白表)及动态恶意(黑名单)安全模型。Instant Attack Validation(IAV)任何根据一种模型迅速验证并阻塞任何明显的违反。对于不能区分善意及恶意的复杂攻击,Imperva的独特Correlated Attack Validiation(CAV)技术将多个违反相关联以验证一个活动表示一个攻击,而不是简单在合法用户活动中发现正常的
10、偏差。CAV将长时间范围内,且不同安全层之间的相同用户的安全违反进行关联,如特性违反,DoS攻击及IPS签名匹配。例如:一个新查询本身不表示一个攻击,而且一个请求也不访问具有已知漏洞的一个存贮过程。然而,如果两个事件都在同一请求中出现,CAV识别这种组合为一个攻击。SecureSphere将发出警报,并且有选择性的阻塞这样的请求。透明检查Imperva的透明检查技术可以提供几千兆性能,子毫微秒级延迟,及高可靠性选择,可以满足最苛刻数据库环境的要求透明检查使SecureSphere可以在几分钟进行部署,而不需要对数据库进行变动,或者对数据中心结构的其它方面进行变动。高可用性SecureSpher
11、e支持许多选择以确保最大的正常运行时间及应用可用性。SecureSphere 具有多种冗余模式,在合理配置下,可以达到小于1秒甚至更低的切换时延。独立安全性因为SecureSphere是一个基于网络的应用解决方案,企业可以选择将大多数安全管理员及数据库管理员之间的责任进行隔离。SecureSphere不需要数据库服务器管理权限或者安装主机软件。SecureSphere部署及运营可能由网络安全人员进行,而不会对数据库管理资源造成影响。这个模型不仅仅适合大多数企业管理组织,而且也通过保持安全功能的独立,从而遵守安全实践。通过比较,本地数据库安全及基于主机的方法主要依靠数据库管理员进行部署,配置及政
12、策管理。自动化数据库安全SecureSphere提供全面的数据库监视及政策实施,不需要手工操作过程成本。所有Dynamic Profiles被自动部署并且随着数据库使用需求而随时间变化,自适应学习算法自动调整特征文件。不需要安全管理员手工开发并维护详细的政策并管理每个用户的许可行为。查询线将正常的用户行为 从明显的威胁中隔离出来,并且造成错误虚警的负担。并且管理可以完全浏览并修改特征文件信息,并可以根据需要创建定制政策。最终的结果是一个安全投资,其可以同时最小化商业风险及总体拥有成本。集中政策管理,监视及报表SecureSphere X系列安全网关可以单独进行配置,并且可以包含所有配置管理所需的管理及报表功能。对于大型环境,包括混合Web及数据库网关部署,SecureSphere MX Management Server提供所有管理多网关环境所需的特征文件管理,状态监视,警报,日志及报表活动。SecureSphere的产品系列X系列硬件网关:MX管理服务器:
