Imperva中国资深技术顾问刘沛旻,Peimin.liu@imperva.comImperva数据库安全解决方案介绍议程Imperva公司简介Imperva数据库安全解决方案数据库安全最佳实践方法部署方案案例分享Imperva公司简介-CONFIDENTIAL-3Imperva简介成立于2002年Imperva公司创始人,ShlomoKramer(全世界对安全影响最大的20人之一,原CheckPoint创始人)总部在美国,研发中心在以色列在美国,欧洲,日本,中国,台湾分别设有分公司或办事处Forrester和Gartner均认定Imperva是数据安全和合规产品领域的领导者四千多个用户,其中很多客户为财富500公司:客户遍及银行,保险,各种,电信,分销,电子商务,电器制造,信息科技等多种行业“Impervaishelpingusprotectthesecurityandprivacyofcustomerdata,andgainunprecedentedvisibilityintowhoisaccessingthiscriticaloperationalsystem.”Imperva被公认为行业的领导者ImpervaexceedsIDC’sviabilityassessmentforstrategicdirection,growthandmarketpotential.(Feb2010)SomeDAMvendorstakeanenterprisewideviewofalldata—structuredandunstructured—thatexistsinthecoreofthetypicalenterpriseandaddressestheprotectionofthatdatathroughoutitslife,includingidentification,riskassessment,accesscontrolsandcontrolsenforcementacrossalldatastorageplatforms.ThisapproachisbestcharacterizedbyImperva'soffering,whichconsidersDAMasacomponentofadataprotectionandriskmanagementfunction.”—JeffWheatman,June2010“Theproductsetmakesastrongcaseforitselfasaleadingcontenderinthismarketspace.”(April2010)“ImpervaistheleaderinthestandaloneWAFmarket.”(Feb2010)访问审计访问控制权限管理攻击保护名誉机制控制虚拟补丁Imperva应用数据安全解决整体方案6ImpervaSecureSphere产品系列相同的硬件平台统一管理界面统一分析引擎统一报告系统统一的报警机制多种部署方案硬件设备虚拟设备Agent部署7Imperva数据库安全解决方案-CONFIDENTIAL-8Imperva数据库安全解决方案审计对敏感数据的所有访问,包括特权用户以及各种应用程序用户上述需求在PCI10,SOX,HIPPA等法案中都有明确的规定实时警告或拦截数据库攻击和未授权的活动包括协议层的攻击检测并以虚拟方式修补数据库漏洞识别越权用户和休眠用户,启动完整的权限审计周期汇聚网络上所有的DB用户访问权限进行完整审计减少对业务敏感数据层的访问(PCI7要求)利用先进的分析功能,加快事件响应和取证调查9-CONFIDENTIAL-10设定策略和控制•自动和快速的设定策略•灵活的根据应用变化而变化•根据实际情况进行配置策略和控制监控和执行•保证权限分离•保证最终用户的行为可被记录•记录所有的访问细节•提供各个层面的安全保护•实时的告警/阻塞衡量报告•内置的合规性报告•方便的数据查找•安全事件的详细分析现状评估•根据标准和最佳实践测试数据库是否合理配置•评估固有的安全隐患•发现谁在使用数据库、他们在干什么最佳数据库安全实践方法IMPERVA提供数据安全整个生命周期的完整解决方案-CONFIDENTIAL-现状评估11自动发现服务器和关系数据库系统(RDBMS):是否有没有授权的服务器被临时被架设在个人电脑上有复制的数据库系统没有授权的服务(Web,SOA)自动发现敏感数据个人信息(email,SSN)财务数据(CCnumbers)其他信息(systemuserid,password...)分类和校验敏感数据:例如:并不是所有的‘9位数字’都是敏感的内容:Zip+4SSNAccountnumber...-CONFIDENTIAL-现状评估:服务器,数据库和数据的发现12-CONFIDENTIAL-现状评估:服务器和数据库配置降低因为不良的配置带来的风险可鉴别潜在的威胁和漏洞可进行风险管理和响应漏洞评估系统配置问题软件缺陷用户、角色、权限的问题ApplicationDefenseCenter(ADC)行业中知名的安全研究团队一直确保Imperva产品的安全信息最新13现状评估:为什么评估行为很困难?Regulations(Few)Databases(~Tens)Applications(~Hundreds)Users(~HundredsToThousands)Tables\Objects(~Thousands)ConstantChanges!•一个精确的使用模型必须研究成千上万个动态元素–用户元素•源应用,工作计划,IP地址–行为方式•SQL查询,SQL表,存储过程,等等•如果是手工来建模太复杂了一个基于行为模型的解决方案必须可以持续的创建和更新用户的行为模型,而无需人工干预!动态建模DynamicProfiling14-CONFIDENTIAL--CONFIDENTIAL-现状评估:SecureSphere动态建模(DynamicProfiling)自动化的数据使用评估动态建模创建了用户的使用模型基于用户的使用模型基于每一个DB用户或者DB用户组来生成DB&schemas的访问情况对象的查询标亮敏感数据和黑名单对象的访问DML操作情况用户模型将完整的反应用户的使用习惯源IP地址和用户使用的应用程序操作系统的系统账号15Webusageprofile-CONFIDENTIAL-设定策略和控制Scope16-CONFIDENTIAL-策略类型OSLevelProtection•防火墙规则•网络协议签名RDBMSLevelProtection•RDBMS系统管理操作(DDL,DCL)•审计特权账号活动DataLevelProtection•应用签名•关联规则•动态建模规则•用户活动审计(DML)17设定策略和控制设定策略和控制:精细的预置策略和自定义策略提供丰富的预定义安全策略和审计策略列表自定义策略,完全可满足用户的各种自定义需求18-CONFIDENTIAL-Regulations(Few)Databases(~Tens)Applications(~Hundreds)Users(~HundredsToThousands)Tables\Objects(~Thousands)ConstantChanges!动态建模DynamicProfiling设定策略和控制:持续更新的策略–DynamicProfiling策略•环境持续变化•提供精准的用户模型策略监控每一种元素的变化:网络、应用、schemas、对象、用户等等…•无需人工创建动态建模DynamicProfiling持续创建和更新,无需人工干预!19-CONFIDENTIAL-设定策略和控制动态建模DynamicProfiling自动跟踪各种变更•为用户将部署策略时间从几个月缩短到几天•减轻了持续维护的负担–每周5-15个变更意味着5-30人小时的维护工作DEPLOYMENTDAYSPROFILECHANGES学习应用和数据的使用适应应用的持续变化20-CONFIDENTIAL--CONFIDENTIAL-监控和执行ScopeTamper-ProofAuditTrailReal-TimeProtectionMonitor21-CONFIDENTIAL-QA监控和执行:SecureSphere数据库监控方法22通过检查网络上的实时数据流量通过网关或者agents捕获所有到达数据库的网络流量(每个网关最大可分析2GBps流量!)可分析网络协议,获取SQL命令:DML,DDL,TCL,DCL命令,存储过程调用,绑定参数等等.也可以通过分析TCP数据包,发现针对OS和RDBMS操作的攻击s:蠕虫,DoS攻击,等等.@-CONFIDENTIAL-监控和执行:全局用户跟踪(UniversalUserTracking)---识别真实用户直接用户追踪DBUsername+OSUsername+Hostname+IP+ApplicationWebtoDBUser追踪SQL连接用户追踪无需重写应用程序或者数据库代码!NorealuserKnowledgealex@imperva.comWebapp.company.comEnd-to-endrealuserKnowledgealex@imperva.comLimitedrealuserKnowledgealex@imperva.comWebapp.company.comSELECT…WHEREID=‘alex@imperva.com’Shared&dedicatedDBuserconnectionsEnd-to-endrealuserKnowledgealex@imperva.comSELECT…WHEREID=‘alex@imperva.com’23监控和执行:实时警告和策略阻止实时监控和策略执行识别超出基线的违规操作基于策略违规情况智能警告提供立即响应或者修复措施24-CONFIDENTIAL-监控和执行:实时阻止另一案例25-CONFIDENTIAL--CONFIDENTIAL-监控和执行:持续记录详细的审计信息SecureSphere可实现自动化的持续详细审计可方便的识别/分类DML/DDL访问/变更数据标记敏感数据的访问特殊的对象分组审计完整的交易详细记录26Whatarethecompletedetails?详细的审计记录SecureSphere自动的将审计日志的各个要素关联在一起CONFIDENTIAL-ImpervaWhen?Where?Who?完整的审计记录What?How?Who?–捕捉最终的用户信息Alex通过Web表当获取用户信息Alex通过企业应用获取用户信息(fromSQLStream)ID=‘Alex’AlexROOT捕获共享账号后的真实用户信息MarkMark‘What?’-完整的审计记录用户最终看到了什么?审计数据库的响应内容-CONFIDENTIAL-29数据库相应内容MarkMark监控和执行:查询响应的完整审计审计数据库查询的返回响应信息例如:用户在调用存储过程“sp_Get_Products_By_Deps”后得到的结果是什么?-CONFIDENTIAL-30OrderinresponseResponseData监控和执行:审计独立性审计的独立性SecureSphere管理系统是和数据库以及服务器的管理系统独立的:SecureSphere是独立的网关设备或者是基于主机Agent采用远程无代理方式监视审计日志可防止篡改可基于角色进行系统访问控制签名加密方式保存可方便的生成各种报告31-CONFIDENTIAL--CONFIDENTIAL-衡量报告32-CONFIDENTIAL-33衡量报告:内建报告模板Moreexamp