IBM_Guardium技术介绍

©2009IBMCorporationGuardium—行业领先的数据库安全、审计、监控和合规解决方案IBM软件部张茹云zhangruy@cn.ibm.com©2009IBMCorporation数据库监控的三个业务驱动1.Internalthreats•识别未授权的更改（管控）•防止数据泄漏2.Externalthreats•防止信息被盗•访问控制3.Compliance•简化审计流程•降低审计成本“DBAsspendlessthan5%oftheirtimeondatabasesecurity.”©2009IBMCorporation数据安全常见问题•如何知道DBA等特权用户有否滥用特权？•超过3次登录失败时，或者是在PeopleSoft里修改关键数据时，能够实时告警吗？•如何阻止外包人员查看敏感数据？•我们收购了很多公司—哪些是敏感数据？•我的数据库已经安全打好补丁和安全配置合理吗？•如何生成合规的报告(SOX,PCI,FISMA,DPA,etc.)?•DBA不愿意开启fine-grainedauditing，因为这样会影响DB性能•Re-dologs生成海量数据，需要存储/分析/报表/归档。•DLP/SIEM厂家说，他们能解决这个问题（但往往不适用）©2009IBMCorporation2009DataBreachReportfromVerizonRISKTeam•2008年的数据违法事件超过以往4年的总和•数据库服务器占受损失记录的75%•Paymentcarddata=98%ofallrecordsbreached.•Only5%ofbreachedorganizationscompliantwithPCIReqt.10(Trackallaccesstocardholderdata).©2009IBMCorporationSQLInjection=#1AttackVector•SQL注入替代cross-sitescripting成为第一位的威胁•新的攻击利用自动化的工具包，在数据库中嵌入恶意软件••Thebadguysaregettinginandnotbeingdetected.Thebadguysaregettinginandnotbeingdetected.””----IBMIBM©2009IBMCorporation审计要求CobiT(SOX)PCIDSSHIPAACMSARSGLBAISO17799(BaselII)NERCNIST800-53(FISMA)1.存取关键敏感数据Accesssensitivedata(Successful/FailedSELECTs)2.改变图表SchemaChanges(DDL)(Create/Drop/AlterTables,etc.)3.改变数据DataChanges(DML)(Insert,Update,Delete)4.安全例外SecurityExceptions(Failedlogins,SQLerrors,etc.)5.账户、角色和许可Accounts,Roles&Permissions(DCL)(GRANT,REVOKE)和数据库安全相关的法律法规DDL=DataDefinitionLanguage(akaschemachanges)DML=DataManipulationLanguage(datavaluechanges)DCL=DataControlLanguage©2009IBMCorporationNativeLogging不切实际（缺乏效力）•性能开销vs.粒度•Whichtable,fromwhichIP,usingwhichcommand,whichprogram,…•缺乏权责分离–DBA可以轻松的禁用掉•DBMS平台之间的相互矛盾的审计策略（增加复杂性）•不提供主动实时安全性（3个月review一次？）•对于使用连接池的环境，不能提供应用用户识别（PeopleSoft/SAP/OracleFinancials等）--潜在的欺诈•大量的存储需求•仍需要写脚本来过滤日志数据和查找异常•仍需要写脚本来产生合规报表©2009IBMCorporation传统的DLP并不足够•2009VerizonDataBreachReport•End-userdevicesaccountforonly0.01%ofallrecordsbreached.•“Althoughmuchangstandsecurityfundingisgiventoofflinedata,mobiledevices,andend-usersystems,theseassetsaresimplynotamajorpointofcompromise.”OracleSQLServerDB2SybaseMySQLInformixTeradatavs.©2009IBMCorporation•复杂的应用环境•多重访问路径•Firewalls,IDS/IPS不能阻止看似合法的访问•大多数企业都有正式的安全制度，但是...•没有可操作性的监督、保证机制•实际的操作不可见–特别是对于特权用户9WebandApplicationServersCorporateNetworkDatabaseServersInternalUsersPrivilegedUsersCriminalsHackersCustomerPartnerRemoteUsersDMZNetwork信息安全的挑战©2009IBMCorporation企业数据安全管理需求•企业信息安全规范需要技术手段得以强化•需要记录关键数据流各环节的操作•对异常或违背内控规范的操作实时报警•数据库活动监控要支持工作流机制•监控方案可拓展•对现有生产系统性能无负面影响•简化数据安全管理的复杂度•法规遵从、降低成本、提升企业整体抗风险能力©2010IBMCorporationGuardium:实时的数据库安全和监控11E-BusinessSuiteSwitch(SpanPort)orTAPGuardiumS-TAPsforlocalaccessmonitoring(sharedmemory,BEQ,namedpipes,etc.)Guardiumnetworkmonitoringappliance&auditrepositoryCustomapps•非入侵、网络旁路的方式•数据库引擎之外部署•性能影响极小(2-3%)•无需DBMS及应用的任何变更•跨DBMS类型及平台•对包括DBA本地访问在内的所有用户的数据库访问行为提供100%可见性•仅负责审计、监控，不与DBMS存在任何职责覆盖•不依赖任何DBMS的事务、审计日志，如上两种日志本身也极容易遭受攻击（如被攻击者删除、篡改）•精细粒度的实时安全策略、审计能力•Who,what,when,how•自动化合规及审计报表生成、升级、签报等(SOX,PCI,NIST,etc.)©2010IBMCorporationE-BusinessSuiteSwitchorTAPGuardiumS-TAPsforlocalaccessmonitoring(sharedmemory,BEQ,namedpipes,etc.)Guardiumnetworkmonitoringappliance&auditrepository•非入侵、网络旁路的方式•可供事件后鉴证分析的审计纪录•跨平台和集中管理•职责分工CustomappsS-TAP方式对系统综合管理效益提升昀高•镜像导入(SPAN):在端口A和端口B之间建立镜像关系，通过端口A传输的数据将同时复制到端口B，以便于在端口B上连接监控设备•S-TAP:软件分路器,工作原理同上。灵活性、可拓展性更高，且对网络拓扑无影响©2010IBMCorporation持续不断、细微的审计和安全13实时分析和过滤所有SQL流量，提供审计部门所要求的特别信息ClientIPClienthostnameDomainloginClientOSMACTTLOriginFailedloginsServerIPServerportServernameSessionSQLpatternsNetworkprotocolServerOSTimestampAccessprogramsAppUserIDALLSQLcommandsFieldsObjectsVerbsDDLDMLDCLDBusernameDBversionDBtypeDBprotocolOriginDBerrorsSELECTs©2009IBMCorporationGUARDIUM四大功能块确保企业数据安全举措不断提升发现&分类审计&报表•识别发现所有数据库、应用系统和客户端•识别关键敏感数据并对其分类•漏洞/弱点评估管理•配置评估•行为评估•配置锁定和跟踪变化•中心化管治报表•签发（Sign-off）管理•自动化问题升级•安全审计库•用于事件分析的数据开掘•长期保存•100%的可视性•基于规范的行动•对异常情况的识别•细微的访问存取控制•SIEM整合•监测内部访问存取和加密连接(OracleASO,SSL,…..)•监测大型机mainframe连接(CICS,MQ,IMSTM,TSO,CAF,…..)©2010IBMCorporation发现敏感数据FindCardholderDataGuardiumAgentlessNetworkScan10.10.9.*©2010IBMCorporationGuardiumAgentlessNetworkScan10.10.9.*•ComplimentSecurityRiskManagement•Databasediscovery•Datadiscovery•Complimentothersecuritydevicesandfillthedatabasegap发现敏感数据，制定对策©2010IBMCorporation漏洞评估，识别风险GuardiumVulnerabilityAssessment&Hardening•基于行业安全标准如STIG和CIS基准•涵盖了整个数据库环境1.ObservedBehavior2.Database3.OperatingSystem©2010IBMCorporationGuardiumVulnerabilityAssessment&Hardening•填补数据库评估的缺口•自定义漏洞评估•检查评估结果，制定修补计划•Superusersaccessingsensitivedata•PasswordPolicy•Roleandresponsibilityreview•变更管理流程和配置管理识别风险，实施修补©2010IBMCorporation数据库变更管理审计©2010IBMCorporation20审计报告•一系列反映“昀佳做法”的合规报表•100多个预先配置的关于数据隐私、SOX和PCI的报表•基于行业的昀佳做法•简便的自定义报表(Drag-and-dropcustomization)•识别异常活动的阀值•可以由没有DBA经验的负责安全的人员管理©2010IBMCorporation法规遵从审计GuardiumMonitoring&Enforcement•PCI&SOX加速器•Applicationmonitoring(SAP,EBS,Cognos,Peoplesoft,etc)•Authorizedapplicationaccessonly©2010IBMCorporation降低管理员负担–定义工作流©2010IBMCorporation降低管理员负担•分布状态汇总可以看到所有用户的签发进度©2010IBMCorporationApplication