數(shù)據(jù)庫(kù)安全解決方案介紹

Imperva中國(guó)資深技術(shù)顧問劉沛旻,Peimin.liu@Imperva數(shù)據(jù)庫(kù)安全解決方案介紹精品課件議程Imperva公司簡(jiǎn)介Imperva數(shù)據(jù)庫(kù)安全解決方案數(shù)據(jù)庫(kù)安全最佳實(shí)踐方法部署方案案例分享精品課件Imperva公司簡(jiǎn)介3精品課件Imperva簡(jiǎn)介成立于2002年Imperva公司創(chuàng)始人,ShlomoKramer（全世界對(duì)安全影響最大的20人之一，原CheckPoint創(chuàng)始人）總部在美國(guó)，研發(fā)中心在以色列在美國(guó),歐洲,日本,中國(guó),臺(tái)灣分別設(shè)有分公司或辦事處Forrester和Gartner均認(rèn)定Imperva是數(shù)據(jù)安全和合規(guī)產(chǎn)品領(lǐng)域的領(lǐng)導(dǎo)者四千多個(gè)用戶，其中很多客戶為財(cái)富500公司:客戶遍及銀行,保險(xiǎn),各種,電信,分銷,電子商務(wù),電器制造,信息科技等多種行業(yè)“Impervaishelpingusprotectthesecurityandprivacyofcustomerdata,andgainunprecedentedvisibilityintowhoisaccessingthiscriticaloperationalsystem.”精品課件Imperva被公認(rèn)為行業(yè)的領(lǐng)導(dǎo)者ImpervaexceedsIDC’sviabilityassessmentforstrategicdirection,growthandmarketpotential.(Feb2010)SomeDAMvendorstakeanenterprisewideviewofalldata—structuredandunstructured—thatexistsinthecoreofthetypicalenterpriseandaddressestheprotectionofthatdatathroughoutitslife,includingidentification,riskassessment,accesscontrolsandcontrolsenforcementacrossalldatastorageplatforms.ThisapproachisbestcharacterizedbyImperva'soffering,whichconsidersDAMasacomponentofadataprotectionandriskmanagementfunction.”—JeffWheatman,June2010“Theproductsetmakesastrongcaseforitselfasaleadingcontenderinthismarketspace.”(April2010)“ImpervaistheleaderinthestandaloneWAFmarket.”(Feb2010)精品課件ImpervaSecureSphereDataSecuritySuite訪問審計(jì)訪問控制權(quán)限管理攻擊保護(hù)名譽(yù)機(jī)制控制虛擬補(bǔ)丁Imperva應(yīng)用數(shù)據(jù)安全解決整體方案HackersInsiders6精品課件ImpervaSecureSphere產(chǎn)品系列相同的硬件平臺(tái)統(tǒng)一管理界面統(tǒng)一分析引擎統(tǒng)一報(bào)告系統(tǒng)統(tǒng)一的報(bào)警機(jī)制多種部署方案

硬件設(shè)備虛擬設(shè)備Agent部署7精品課件Imperva數(shù)據(jù)庫(kù)安全解決方案8精品課件Imperva數(shù)據(jù)庫(kù)安全解決方案審計(jì)對(duì)敏感數(shù)據(jù)的所有訪問,包括特權(quán)用戶以及各種應(yīng)用程序用戶上述需求在PCI10,SOX,HIPPA等法案中都有明確的規(guī)定實(shí)時(shí)警告或攔截?cái)?shù)據(jù)庫(kù)攻擊和未授權(quán)的活動(dòng)包括協(xié)議層的攻擊

檢測(cè)并以虛擬方式修補(bǔ)數(shù)據(jù)庫(kù)漏洞識(shí)別越權(quán)用戶和休眠用戶，啟動(dòng)完整的權(quán)限審計(jì)周期匯聚網(wǎng)絡(luò)上所有的DB用戶訪問權(quán)限進(jìn)行完整審計(jì)減少對(duì)業(yè)務(wù)敏感數(shù)據(jù)層的訪問(PCI7要求)利用先進(jìn)的分析功能，加快事件響應(yīng)和取證調(diào)查9精品課件-CONFIDENTIAL-10設(shè)定策略和控制

自動(dòng)和快速的設(shè)定策略

靈活的根據(jù)應(yīng)用變化而變化

根據(jù)實(shí)際情況進(jìn)行配置策略和控制監(jiān)控和執(zhí)行

保證權(quán)限分離

保證最終用戶的行為可被記錄

記錄所有的訪問細(xì)節(jié)

提供各個(gè)層面的安全保護(hù)

實(shí)時(shí)的告警/阻塞衡量報(bào)告

內(nèi)置的合規(guī)性報(bào)告

方便的數(shù)據(jù)查找

安全事件的詳細(xì)分析現(xiàn)狀評(píng)估

根據(jù)標(biāo)準(zhǔn)和最佳實(shí)踐測(cè)試數(shù)據(jù)庫(kù)是否合理配置

評(píng)估固有的安全隱患

發(fā)現(xiàn)誰(shuí)在使用數(shù)據(jù)庫(kù)、他們?cè)诟墒裁醋罴褦?shù)據(jù)庫(kù)安全實(shí)踐方法IMPERVA提供數(shù)據(jù)安全整個(gè)生命周期的完整解決方案精品課件現(xiàn)狀評(píng)估11精品課件自動(dòng)發(fā)現(xiàn)服務(wù)器和關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)(RDBMS）:是否有沒有授權(quán)的服務(wù)器被臨時(shí)被架設(shè)在個(gè)人電腦上有復(fù)制的數(shù)據(jù)庫(kù)系統(tǒng)沒有授權(quán)的服務(wù)(Web,SOA)自動(dòng)發(fā)現(xiàn)敏感數(shù)據(jù)個(gè)人信息(email,SSN)財(cái)務(wù)數(shù)據(jù)(CCnumbers)其他信息(systemuserid,password...)分類和校驗(yàn)敏感數(shù)據(jù):例如:并不是所有的‘9位數(shù)字’都是敏感的內(nèi)容:Zip+4SSNAccountnumber...現(xiàn)狀評(píng)估：服務(wù)器,數(shù)據(jù)庫(kù)和數(shù)據(jù)的發(fā)現(xiàn)12精品課件現(xiàn)狀評(píng)估：服務(wù)器和數(shù)據(jù)庫(kù)配置降低因?yàn)椴涣嫉呐渲脦淼娘L(fēng)險(xiǎn)可鑒別潛在的威脅和漏洞可進(jìn)行風(fēng)險(xiǎn)管理和響應(yīng)漏洞評(píng)估系統(tǒng)配置問題軟件缺陷用戶、角色、權(quán)限的問題ApplicationDefenseCenter(ADC)行業(yè)中知名的安全研究團(tuán)隊(duì)一直確保Imperva產(chǎn)品的安全信息最新13精品課件

現(xiàn)狀評(píng)估：

為什么評(píng)估行為很困難?Regulations

(Few)Databases

(~Tens)Applications

(~Hundreds)Users

(~HundredsToThousands)Tables\Objects

(~Thousands)ConstantChanges!一個(gè)精確的使用模型必須研究成千上萬(wàn)個(gè)動(dòng)態(tài)元素

用戶元素源應(yīng)用，工作計(jì)劃，IP地址行為方式SQL查詢，SQL表，存儲(chǔ)過程，等等如果是手工來建模太復(fù)雜了一個(gè)基于行為模型的解決方案必須可以

持續(xù)的創(chuàng)建和更新

用戶的行為模型，而無(wú)需人工干預(yù)!動(dòng)態(tài)建模DynamicProfiling14精品課件現(xiàn)狀評(píng)估：

SecureSphere動(dòng)態(tài)建模（DynamicProfiling）

自動(dòng)化的數(shù)據(jù)使用評(píng)估動(dòng)態(tài)建模創(chuàng)建了用戶的使用模型基于用戶的使用模型基于每一個(gè)DB用戶或者DB用戶組來生成DB&schemas的訪問情況對(duì)象的查詢標(biāo)亮敏感數(shù)據(jù)和黑名單對(duì)象的訪問DML操作情況用戶模型將完整的反應(yīng)用戶的使用習(xí)慣源IP地址和用戶使用的應(yīng)用程序操作系統(tǒng)的系統(tǒng)賬號(hào)Webusageprofile15精品課件設(shè)定策略和控制Scope16精品課件策略類型OSLevelProtection

防火墻規(guī)則

網(wǎng)絡(luò)協(xié)議簽名RDBMSLevelProtectionRDBMS系統(tǒng)管理

操作(DDL,DCL)

審計(jì)特權(quán)賬號(hào)活動(dòng)DataLevelProtection

應(yīng)用簽名

關(guān)聯(lián)規(guī)則

動(dòng)態(tài)建模規(guī)則

用戶活動(dòng)審計(jì)(DML)設(shè)定策略和控制17精品課件設(shè)定策略和控制：

精細(xì)的預(yù)置策略和自定義策略提供豐富的預(yù)定義安全策略和審計(jì)策略列表自定義策略，完全可滿足用戶的各種自定義需求

18精品課件Regulations

(Few)Databases

(~Tens)Applications

(~Hundreds)Users

(~HundredsToThousands)Tables\Objects

(~Thousands)ConstantChanges!動(dòng)態(tài)建模DynamicProfiling設(shè)定策略和控制：持續(xù)更新的策略–DynamicProfiling策略環(huán)境持續(xù)變化提供精準(zhǔn)的用戶模型策略

監(jiān)控每一種元素的變化:網(wǎng)絡(luò)、應(yīng)用、schemas、對(duì)象、用戶等等…無(wú)需人工創(chuàng)建動(dòng)態(tài)建模DynamicProfiling持續(xù)

創(chuàng)建和更新，無(wú)需人工干預(yù)!19精品課件設(shè)定策略和控制動(dòng)態(tài)建模DynamicProfiling自動(dòng)跟蹤各種變更

為用戶將部署策略時(shí)間從幾個(gè)月縮短到幾天減輕了持續(xù)維護(hù)的負(fù)擔(dān)每周5-15個(gè)變更意味著5-30人小時(shí)的維護(hù)工作DEPLOYMENTDAYSPROFILECHANGES學(xué)習(xí)應(yīng)用和數(shù)據(jù)的使用適應(yīng)應(yīng)用的持續(xù)變化20精品課件監(jiān)控和執(zhí)行ScopeTamper-ProofAuditTrailReal-TimeProtectionMonitor21精品課件QA監(jiān)控和執(zhí)行：SecureSphere數(shù)據(jù)庫(kù)監(jiān)控方法通過檢查

網(wǎng)絡(luò)上的實(shí)時(shí)數(shù)據(jù)流量通過網(wǎng)關(guān)或者agents捕獲

所有到達(dá)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)流量(每個(gè)網(wǎng)關(guān)最大可分析2GBps流量!)可分析網(wǎng)絡(luò)協(xié)議，獲取

SQL命令:DML,DDL,TCL,DCL命令,存儲(chǔ)過程調(diào)用,綁定參數(shù)等等.也可以通過分析TCP數(shù)據(jù)包，發(fā)現(xiàn)針對(duì)

OS和RDBMS

操作的攻擊s:蠕蟲,DoS攻擊，等等.@22精品課件監(jiān)控和執(zhí)行：

全局用戶跟蹤（UniversalUserTracking）---識(shí)別真實(shí)用戶直接用戶追蹤DBUsername+OSUsername+Hostname+IP+ApplicationWebtoDBUser追蹤SQL連接用戶追蹤

無(wú)需重寫應(yīng)用程序或者數(shù)據(jù)庫(kù)代碼!NorealuserKnowledgealex@WEnd-to-endrealuser

Knowledgealex@LimitedrealuserKnowledgealex@WSELECT…WHEREID=‘a(chǎn)lex@’Shared&dedicatedDBuserconnectionsEnd-to-endrealuser

Knowledgealex@SELECT…WHEREID=‘a(chǎn)lex@’23精品課件監(jiān)控和執(zhí)行：

實(shí)時(shí)警告和策略阻止實(shí)時(shí)監(jiān)控和策略執(zhí)行識(shí)別超出基線的違規(guī)操作基于策略違規(guī)情況智能警告提供立即響應(yīng)或者修復(fù)措施24精品課件監(jiān)控和執(zhí)行：

實(shí)時(shí)阻止另一案例25精品課件

監(jiān)控和執(zhí)行：

持續(xù)記錄詳細(xì)的審計(jì)信息SecureSphere可實(shí)現(xiàn)自動(dòng)化的持續(xù)詳細(xì)審計(jì)可方便的識(shí)別/分類DML/DDL訪問/變更

數(shù)據(jù)標(biāo)記敏感數(shù)據(jù)的訪問特殊的對(duì)象分組審計(jì)完整的交易詳細(xì)記錄Whatarethecompletedetails?26精品課件詳細(xì)的審計(jì)記錄SecureSphere自動(dòng)的將審計(jì)日志的各個(gè)要素關(guān)聯(lián)在一起When?Where?Who?完整的審計(jì)記錄What?How?精品課件Who?–捕捉最終的用戶信息Alex通過Web表當(dāng)獲取用戶信息Alex通過企業(yè)應(yīng)用獲取用戶信息(fromSQLStream)ID=‘Alex’AlexROOT捕獲共享賬號(hào)后的真實(shí)用戶信息精品課件MarkMark‘What?’-完整的審計(jì)記錄用戶最終看到了什么?審計(jì)數(shù)據(jù)庫(kù)的響應(yīng)內(nèi)容數(shù)據(jù)庫(kù)相應(yīng)內(nèi)容29精品課件MarkMark監(jiān)控和執(zhí)行：

查詢響應(yīng)的完整審計(jì)審計(jì)數(shù)據(jù)庫(kù)查詢的返回響應(yīng)信息例如:用戶在調(diào)用存儲(chǔ)過程“sp_Get_Products_By_Deps”后得到的結(jié)果是什么?OrderinresponseResponseData30精品課件監(jiān)控和執(zhí)行：

審計(jì)獨(dú)立性審計(jì)的獨(dú)立性

SecureSphere管理系統(tǒng)是和數(shù)據(jù)庫(kù)以及服務(wù)器的管理系統(tǒng)獨(dú)立的:SecureSphere是獨(dú)立的網(wǎng)關(guān)設(shè)備或者是基于主機(jī)Agent采用遠(yuǎn)程無(wú)代理方式監(jiān)視審計(jì)日志可防止篡改可基于角色進(jìn)行系統(tǒng)訪問控制簽名加密方式保存可方便的生成各種報(bào)告31精品課件衡量報(bào)告32精品課件衡量報(bào)告：內(nèi)建報(bào)告模板Moreexamples…33精品課件衡量報(bào)告：

動(dòng)態(tài)審計(jì)分析提供實(shí)時(shí)審計(jì)數(shù)據(jù)的全面分析功能提供了最終審計(jì)數(shù)據(jù)的分布和趨勢(shì)情況分析視圖幫助用戶分析審計(jì)結(jié)果系統(tǒng)管理視圖和統(tǒng)計(jì)信息34精品課件

衡量報(bào)告：

審計(jì)后續(xù)管理流程

實(shí)施簽收流程修正管理流程復(fù)查DB&OS完整性SQL異常和其他錯(cuò)誤處理角色/職責(zé)管理–公司內(nèi)/公司外業(yè)務(wù)流程任何新的訪問修改訪問方式基于任務(wù)的工作流‘incidents’事件分配設(shè)定所有者、有效期、狀態(tài)可將報(bào)告附加到任務(wù)上郵件通知事件狀態(tài)變更情況35精品課件衡量報(bào)告：

廣泛的安全合作伙伴SIEM系統(tǒng)集成:可將數(shù)據(jù)庫(kù)安全事件、告警、審計(jì)日志發(fā)送到SIEM系統(tǒng)中(例如，ArcSight等)增強(qiáng)了SIEM系統(tǒng)對(duì)數(shù)據(jù)庫(kù)安全信息的感知，集中在統(tǒng)一界面中，并可和其他安全事件相關(guān)聯(lián)。變更系統(tǒng)和事件管理系統(tǒng)集成:將告警信息發(fā)送到第三方系統(tǒng)

例如：在變更系統(tǒng)中自動(dòng)創(chuàng)建一個(gè)修復(fù)任務(wù)

雙向掃描系統(tǒng)集成Moredetails…SecureSphere可集成多種第三方安全解決方案，構(gòu)成更為有效的安全生態(tài)環(huán)境36精品課件-CONFIDENTIAL-37設(shè)定策略和控制

自動(dòng)和快速的設(shè)定策略

靈活的根據(jù)應(yīng)用變化而變化

根據(jù)實(shí)際情況進(jìn)行配置策略和控制監(jiān)控和執(zhí)行

保證權(quán)限分離

保證最終用戶的行為可被記錄

記錄所有的訪問細(xì)節(jié)

提供各個(gè)層面的安全保護(hù)

實(shí)時(shí)的告警/阻塞衡量報(bào)告

內(nèi)置的合規(guī)性報(bào)告

方便的數(shù)據(jù)查找

安全事件的詳細(xì)分析現(xiàn)狀評(píng)估

根據(jù)標(biāo)準(zhǔn)和最佳實(shí)踐測(cè)試數(shù)據(jù)庫(kù)是否合理配置

評(píng)估固有的安全隱患

發(fā)現(xiàn)誰(shuí)在使用數(shù)據(jù)庫(kù)、他們?cè)诟墒裁醋罴褦?shù)據(jù)庫(kù)安全實(shí)踐方法IMPERVA提供數(shù)據(jù)安全整個(gè)生命周期的完整解決方案精品課件

部署方案

精品課件Lighthost-basedagents靈活的部署方式透明橋接可支持阻斷高性能，低延遲Fail-open網(wǎng)卡旁路監(jiān)聽采用流量鏡像方式，零延遲輕量級(jí)主機(jī)

agents

本地模式:監(jiān)控本地特權(quán)訪問

全局模式:監(jiān)控所有SwitchSecureSphereDataCenterSecureSphereINTERNETInlinedeploymentSniffingmodedeploymentWAFdeployment39精品課件企業(yè)級(jí)的覆蓋和擴(kuò)展性

SecureSphere數(shù)據(jù)庫(kù)審計(jì)架構(gòu)Centralisedobject-basedmanagementwithRBACsFlexibleonline/offlinedataretentionNobatchedreplicationDistributeddataquery&storageBest-in-classTPSanalysisformajorcommercialDBsSPAN,TAPorBridgefornetworkcoverageLowimpactDBAgentsforlocalorremoteDBaccessE-BusinessSuite精品課件ImpervaSecureSphere產(chǎn)品線產(chǎn)品型號(hào)X2500X4500X6500吞吐量500Mb/Sec1Gb/Sec2Gb/Sec硬盤2*500MB2*1TB2*1TB尺寸2U2U2U部署模式旁路，橋接旁路，橋接旁路，橋接最大偵聽接口數(shù)599最大橋接網(wǎng)段數(shù)244管理接口111高可靠性故障短接(FailOpen),IMPVHA,VRRP故障短接(FailOpen),IMPVHA,VRRP故障短接(FailOpen),IMPVHA,VRRP集成管理模塊有有無(wú)硬件冗余可選可選有精品課件案例分享42精品課件ImpervaSecureSphere榮譽(yù)SQLServerMagazine–Editor’sBestAward“SecureSpheregivesyoucompletevisibilityandcontroloveryourdatabaseapplications”Techworld2008NetworkApplicationProductoftheYear“SecureSpherehasbeennamedwinnerforNetworkApplicationProductoftheYear”Editor’sChoice:DatabaseExtrusionPrevention“Rightfromthestart,Impervaimpresseduswithitsplethoraoffeatures…”ImpervaWinseWEEKExcellenceAward“ImpervaSecureSphere’sin-lineprotectionforbothWebapplicationsandcommunicationswithback-enddatabasesissimplyunmatched.”ImpervaWinsWAFShoot-Out“Impervaistheclosestthingtoasilverbulletforapplicationsecurity”Editor’sChoice–WebApplicationFirewalls“Frombeginningtoend,ImpervaSecureSphereisourkindofWAF”RollingReview:Well-RoundedDataProtection“SecureSphereisasolidproduct.Itisquicktolearnuserbehavior,andithandilyblocksknownattacks”SecurityMagazine–Reader’sChoiceAward“SecureSpherescoredwellineverycriteria:granularityofaccesscontrols…scalabilityandmanagement.”43精品課件-CONFIDENTIAL-44-CONFIDENTIAL-44成功案例FinanceMedia/TelcoHealthcare/

InsuranceCreditCard精品課件-CONFIDENTIAL-45-CONFIDEN