数据库安全解决方案介绍.ppt

Imperva 中国资深技术顾问刘沛旻,Imperva 数据库安全解决方案介绍,议程,Imperva公司简介Imperva数据库安全解决方案数据库安全最佳实践方法部署方案案例分享,-CONFIDENTIAL-,3,Imperva公司简介,Imperva简介,成立于2002年Imperva公司创始人,Shlomo Kramer（全世界对安全影响最大的20人之一，原CheckPoint创始人）总部在美国，研发中心在以色列在美国,欧洲,日本,中国,台湾分别设有分公司或办事处Forrester和Gartner均认定Imperva是数据安全和合规产品领域的领导者四千多个用户，其中很多客户为财富 500 公司:客户遍及银行,保险,各种,电信,分销,电子商务,电器制造,信息科技等多种行业,“Imperva is helping us protect the security and privacy of customer data,and gain unprecedented visibility into who is accessing this critical operational system.”,Imperva被公认为行业的领导者,Imperva exceeds IDCs viability assessment for strategic direction,growth and market potential.(Feb 2010),Some DAM vendors take an enterprise wide view of all data structured and unstructured that exists in the core of the typical enterprise and addresses the protection of that data throughout its life,including identification,risk assessment,access controls and controls enforcement across all data storage platforms.This approach is best characterized by Impervas offering,which considers DAM as a component of a data protection and risk management function.”Jeff Wheatman,June 2010,“The product set makes a strong case for itself as a leading contender in this market space.”(April 2010),“Imperva is the leader in the stand alone WAF market.”(Feb 2010),6,Imperva 应用数据安全解决整体方案,Hackers,Insiders,7,Imperva SecureSphere 产品系列,相同的硬件平台统一管理界面统一分析引擎统一报告系统统一的报警机制多种部署方案 硬件设备虚拟设备Agent部署,-CONFIDENTIAL-,8,Imperva数据库安全解决方案,9,Imperva 数据库安全解决方案,审计对敏感数据的所有访问,包括特权用户以及各种应用程序用户上述需求在 PCI 10,SOX,HIPPA 等法案中都有明确的规定实时警告或拦截数据库攻击和未授权的活动包括协议层的攻击 检测并以虚拟方式修补数据库漏洞识别越权用户和休眠用户，启动完整的权限审计周期汇聚网络上所有的DB用户访问权限进行完整审计减少对业务敏感数据层的访问(PCI 7 要求)利用先进的分析功能，加快事件响应和取证调查,-CONFIDENTIAL-,10,最佳数据库安全实践方法,IMPERVA提供数据安全整个生命周期的完整解决方案,-CONFIDENTIAL-,11,现状评估,-CONFIDENTIAL-,12,自动发现服务器和关系数据库系统(RDBMS）:是否有没有授权的服务器被临时被架设在个人电脑上有复制的数据库系统没有授权的服务(Web,SOA)自动发现敏感数据个人信息(email,SSN)财务数据(CC numbers)其他信息(system userid,password.)分类和校验敏感数据:例如:并不是所有的9 位数字 都是敏感的内容:Zip+4SSNAccount number.,现状评估：服务器,数据库和数据的发现,-CONFIDENTIAL-,13,现状评估：服务器和数据库配置,降低因为不良的配置带来的风险可鉴别潜在的威胁和漏洞可进行风险管理和响应漏洞评估系统配置问题软件缺陷用户、角色、权限的问题Application Defense Center(ADC)行业中知名的安全研究团队一直确保Imperva产品的安全信息最新,-CONFIDENTIAL-,14,现状评估：为什么评估行为很困难?,Regulations(Few),Databases(Tens),Applications(Hundreds),Users(Hundreds To Thousands),TablesObjects(Thousands),Constant Changes!,一个精确的使用模型必须研究成千上万个动态元素 用户元素源应用，工作计划，IP地址行为方式SQL查询，SQL表，存储过程，等等如果是手工来建模太复杂了,一个基于行为模型的解决方案必须可以 持续的创建和更新 用户的行为模型，而无需人工干预!,动态建模Dynamic Profiling,-CONFIDENTIAL-,15,现状评估：SecureSphere 动态建模（Dynamic Profiling）自动化的数据使用评估,动态建模创建了用户的使用模型,基于用户的使用模型基于每一个DB用户或者DB用户组来生成DB&schemas 的访问情况对象的查询标亮敏感数据和黑名单对象的访问DML 操作情况,用户模型将完整的反应用户的使用习惯源IP地址和用户使用的应用程序操作系统的系统账号,Web usage profile,-CONFIDENTIAL-,16,设定策略和控制,Scope,-CONFIDENTIAL-,17,策略类型,设定策略和控制,-CONFIDENTIAL-,18,设定策略和控制：精细的预置策略和自定义策略,提供丰富的预定义安全策略和审计策略列表自定义策略，完全可满足用户的各种自定义需求,-CONFIDENTIAL-,19,Regulations(Few),Databases(Tens),Applications(Hundreds),Users(Hundreds To Thousands),TablesObjects(Thousands),Constant Changes!,动态建模Dynamic Profiling,设定策略和控制：持续更新的策略 Dynamic Profiling 策略,环境持续变化提供精准的用户模型策略 监控每一种元素的变化:网络、应用、schemas、对象、用户等等无需人工创建,动态建模Dynamic Profiling 持续 创建和更新，无需人工干预!,-CONFIDENTIAL-,20,设定策略和控制动态建模 Dynamic Profiling自动跟踪各种变更,为用户将部署策略时间从几个月缩短到几天减轻了持续维护的负担每周5-15个变更意味着 5-30 人小时的维护工作,DEPLOYMENT DAYS,PROFILE CHANGES,学习应用和数据的使用,适应应用的持续变化,-CONFIDENTIAL-,21,监控和执行,Scope,Tamper-Proof Audit Trail,Real-Time Protection,Monitor,-CONFIDENTIAL-,22,Q,A,监控和执行：SecureSphere 数据库监控方法,通过检查 网络上的实时数据流量通过网关或者agents 捕获 所有到达数据库的网络流量(每个网关最大可分析 2GBps 流量!)可分析网络协议，获取 SQL 命令:DML,DDL,TCL,DCL 命令,存储过程调用,绑定参数等等.也可以通过分析TCP数据包，发现针对 OS 和 RDBMS 操作的攻击s:蠕虫,DoS 攻击，等等.,-CONFIDENTIAL-,23,监控和执行：全局用户跟踪（Universal User Tracking）-识别真实用户,直接用户追踪DB Username+OS Username+Hostname+IP+ApplicationWeb to DB User 追踪SQL 连接用户追踪 无需重写应用程序或者数据库代码!,Shared&dedicated DB user connections,-CONFIDENTIAL-,24,监控和执行：实时警告和策略阻止,实时监控和策略执行识别超出基线的违规操作基于策略违规情况智能警告提供立即响应或者修复措施,-CONFIDENTIAL-,25,监控和执行：实时阻止另一案例,-CONFIDENTIAL-,26,监控和执行：持续记录详细的审计信息,SecureSphere可实现自动化的持续详细审计可方便的识别/分类 DML/DDL 访问/变更 数据标记敏感数据的访问特殊的对象分组审计完整的交易详细记录,What are the complete details?,-CONFIDENTIAL-,详细的审计记录,SecureSphere 自动的将审计日志的各个要素关联在一起,When?,Where?,Who?,完整的审计记录,What?,How?,Who?捕捉最终的用户信息,Alex,通过Web表当获取用户信息,Alex,通过企业应用获取用户信息(from SQL Stream),ID=Alex,Alex,ROOT,捕获共享账号后的真实用户信息,-CONFIDENTIAL-,29,MarkMark,What?-完整的审计记录,用户最终看到了什么?审计数据库的响应内容,数据库相应内容,-CONFIDENTIAL-,30,MarkMark,监控和执行：查询响应的完整审计,审计数据库查询的返回响应信息例如:用户在调用存储过程“sp_Get_Products_By_Deps”后得到的结果是什么?,Order in response,Response Data,-CONFIDENTIAL-,31,监控和执行：审计独立性,审计的独立性SecureSphere管理系统是和数据库以及服务器的管理系统独立的:SecureSphere是独立的网关设备或者是基于主机Agent采用远程无代理方式监视审计日志可防止篡改可基于角色进行系统访问控制签名加密方式保存可方便的生成各种报告,-CONFIDENTIAL-,32,衡量报告,-CONFIDENTIAL-,33,衡量报告：内建报告模板,More examples,-CONFIDENTIAL-,34,衡量报告：动态审计分析,提供实时审计数据的全面分析功能提供了最终审计数据的分布和趋势情况分析视图帮助用户分析审计结果系统管理视图和统计信息,-CONFIDENTIAL-,35,衡量报告：审计后续管理流程,实施签收流程修正管理流程复查 DB&OS 完整性SQL 异常和其他错误处理角色/职责管理 公司内/公司外业务流程任何新的访问修改访问方式基于任务的工作流 incidents 事件分配设定所有者、有效期、状态可将报告附加到任务上邮件通知事件状态变更情况,-CONFIDENTIAL-,36,衡量报告：广泛的安全合作伙伴,SIEM 系统集成:可将数据库安全事件、告警、审计日志发送到SIEM系统中(例如，ArcSight等)增强了 SIEM 系统对数据库安全信息的感知，集中在统一界面中，并可和其他安全事件相关联。变更系统和事件管理系统集成:将告警信息发送到第三方系统 例如：在变更系统中自动创建一个修复任务 双向扫描系统集成,More details,SecureSphere可集成多种第三方安全解决方案，构成更为有效的安全生态环境,-CONFIDENTIAL-,37,最佳数据库安全实践方法,IMPERVA提供数据安全整个生命周期的完整解决方案,部署方案,-CONFIDENTIAL-,39,Light host-based agents,灵活的部署方式,透明桥接可支持阻断高性能，低延迟Fail-open 网卡旁路监听采用流量镜像方式，零延迟轻量级主机 agents 本地模式:监控本地特权访问 全局模式:监控所有,Switch,SecureSphere,Data Center,SecureSphere,INTERNET,Inline deployment,Sniffing mode deployment,WAF deployment,企业级的覆盖和扩展性SecureSphere 数据库审计架构,Centralised object-based management with RBACs Flexible online/offline data retention No batched replication Distributed data query&storage Best-in-class TPS analysis for major commercial DBs SPAN,TAP or Bridge for network coverage Low impact DB Agents for local or remote DB access,E-Business Suite,Imperva SecureSphere产品线,-CONFIDENTIAL-,42,案例分享,43,Imperva SecureSphere 荣誉,SQL Server Magazine Editors Best Award“SecureSphere gives you complete visibility and control over your database applications”,Techworld 2008 Network Application Product of the Year“SecureSphere has been named winner for Network Application Product of the Year”,Editors Choice:Database Extrusion Prevention“Right from the start,Imperva impressed us with its plethora of features”,Imperva Wins eWEEK Excellence Award“Imperva SecureSpheres in-line protection for both Web applications and communications with back-end databases is simply unmatched.”,Imperva Wins WAF Shoot-Out“Imperva is the closest thing to a silver bullet for application security”,Editors Choice Web Application Firewalls“From beginning to end,Imperva SecureSphere is our kind of WAF”,Rolling Review:Well-Rounded Data Protection“SecureSphere is a solid product.It is quick to learn user behavior,and it handily blocks known attacks”,Security Magazine Readers Choice Award“SecureSphere scored well in every criteria:granularity of access controls scalability and management.”,-CONFIDENTIAL-,44,-CONFIDENTIAL-,44,成功案例,Finance,Media/Telco,Healthcare/Insurance,Credit Card,-CONFIDENTIAL-,45,-CONFIDENTIAL-,45,成功案例,Government,eCommerce/Retail,Technology,Other,-CONFIDENTIAL-,46,北京电信北京移动黑龙江移动上海移动青海电信新疆电信江苏电信江苏移动广东移动南方基地天津电信,Imperva公司数据安全国内运营商案例,中国电信总部四川电信,Imperva公司数据安全国内银行部分案例,招商银行华夏银行民生银行浙商银行民泰银行宁波银行廊坊银行包商银行吉林银行锦州银行农信银资金清算中心深圳农商行通商银行,大连银行张江港农商行,Imperva公司数据安全国内证券案例,中信证券中金证券上海证券财富证券上海证券报上海证券交易所中国银河证券股份有限公司海通证券股份有限公司申银万国证券股份有限公司首创证券有限责任公司华泰证券,国信证券东吴证券有限责任公司中银国际证券有限公司东方证券国泰君安证券国信证券光大证券民族证券,Imperva公司数据安全国内基金保险案例,太平洋保险国泰人寿上投摩根基金管理有限公司泰达荷银基金管理有限公司银河基金泰达荷银基金管理有限公司天相投资顾问有限公司信诚基金管理公司湘财期货银联商务银联支付奇诺付,-CONFIDENTIAL-,50,Imperva公司数据安全国内部分案例,中国远洋中国五矿集团浙江药监局中国水力电力科学研究院深圳国税局济南国税局上海房地局镇海炼化北京阜外医院汇丰汇通技术有限公司智控国际易贸咨询展讯科技,中国普天携城旅行网易才网7天酒店集团北京考试院清华大学北京大学天津科技大学中国人民大学北京语言大学上海远程大学,Imperva公司数据安全国内部分案例,上海糖烟酒上海烟草上海财政局上海市卫生局温州第三人民医院奥克之家南方李锦记北京现代集团江苏省公安厅丽水交警宁波公安,南方电网公司四川省电网公司中烟电子商务公司中国国际电子商务中心黑龙江社保国美电器金蝶软件固安捷美特斯邦威Sony 中国首秦钢铁公司杭州钢铁公司东方钢铁,Thank You,Imperva,Inc.,