Imperva数据库安全最佳实践.pptx

Imperva数据库安全最佳实践.pptx

《Imperva数据库安全最佳实践.pptx》由会员分享，可在线阅读，更多相关《Imperva数据库安全最佳实践.pptx（52页珍藏版）》请在冰豆网上搜索。

数据库安全最佳实践,刘沛旻Imperva中国区资深技术顾问,1,议程,Imperva公司简介数据库安全最佳实践方法部署方案案例分享,2,Imperva公司简介,3,Imperva简介,成立于2002年Imperva公司创始人,ShlomoKramer（全世界对安全影响最大的20人之一，原CheckPoint创始人）总部在美国，研发中心在以色列在美国,欧洲,日本,中国,台湾分别设有分公司或办事处Forrester和Gartner均认定Imperva是数据安全和合规产品领域的领导者四千多个用户，其中很多客户为财富500公司:

客户遍及银行,保险,各种,电信,分销,电子商务,电器制造,信息科技等多种行业,“Impervaishelpingusprotectthesecurityandprivacyofcustomerdata,andgainunprecedentedvisibilityintowhoisaccessingthiscriticaloperationalsystem.”,4,Imperva被公认为行业的领导者,ImpervaexceedsIDCsviabilityassessmentforstrategicdirection,growthandmarketpotential.（Feb2010）,SomeDAMvendorstakeanenterprisewideviewofalldatastructuredandunstructuredthatexistsinthecoreofthetypicalenterpriseandaddressestheprotectionofthatdatathroughoutitslife,includingidentification,riskassessment,accesscontrolsandcontrolsenforcementacrossalldatastorageplatforms.ThisapproachisbestcharacterizedbyImpervasoffering,whichconsidersDAMasacomponentofadataprotectionandriskmanagementfunction.”JeffWheatman,June2010,“Theproductsetmakesastrongcaseforitselfasaleadingcontenderinthismarketspace.”（April2010）,“ImpervaistheleaderinthestandaloneWAFmarket.”（Feb2010）,5,Imperva应用数据安全解决整体方案,Hackers,Insiders,6,ImpervaSecureSphere产品系列,相同的硬件平台统一管理界面统一分析引擎统一报告系统统一的报警机制多种部署方案硬件设备虚拟设备Agent部署,7,Imperva数据库安全最佳实践方法,8,Imperva数据库安全解决方案,SecureSphereDatabaseActivityMonitoring+提供完整的数据库使用的审计视图SecureSphereDatabaseFirewall+提供审计以及实时数据库保护功能SecureSphereDiscoveryandAssessmentServer+提供弱点评估、配置管理、数据库发现和分类功能UserRightsManagementforDatabases+审核和管理用户访问敏感数据库的权限ADCInsightsforSAP,OracleEBSandPeopleSoft+提供针对企业商务应用（SAP,OracleEBS和PeopleSoft）预定义的法规遵从和安全策略和报告工具包,9,最佳数据库安全实践方法,IMPERVA提供数据安全整个生命周期的完整解决方案,10,现状评估,11,自动发现服务器和关系数据库系统（RDBMS）:

是否有没有授权的服务器被临时被架设在个人电脑上有复制的数据库系统没有授权的服务（Web,SOA）自动发现敏感数据个人信息（email,SSN）财务数据（CCnumbers）其他信息（systemuserid,password.）分类和校验敏感数据:

例如:

并不是所有的9位数字都是敏感的内容:

Zip+4SSNAccountnumber.,现状评估：

服务器,数据库和敏感数据的发现,12,现状评估：

服务器和数据库配置,降低因为不良的配置带来的风险可鉴别潜在的威胁和漏洞可进行风险管理和响应漏洞评估系统配置问题软件缺陷用户、角色、权限的问题ApplicationDefenseCenter（ADC）行业中知名的安全研究团队一直确保Imperva产品的安全信息最新,13,现状评估：

为什么评估行为很困难?

数据库（几十个）,应用（上百个）,用户（上百个到上千个）,数据库表对象（超过上千个）,应用在持续变化!

一个精确的使用模型必须研究成千上万个动态元素用户元素源应用，工作计划，IP地址行为方式SQL查询，SQL表，存储过程，等等如果是手工来建模太复杂了,一个基于行为模型的解决方案必须可以持续的创建和更新用户的行为模型，而无需人工干预!

动态建模DynamicProfiling,14,现状评估：

SecureSphere动态建模（DynamicProfiling）自动化的数据使用评估,动态建模创建了用户的使用模型,基于用户的使用模型基于每一个DB用户或者DB用户组来生成DB&schemas的访问情况对象的查询标亮敏感数据和黑名单对象的访问DML操作情况,用户模型将完整的反应用户的使用习惯源IP地址和用户使用的应用程序操作系统的系统账号,15,Scope,设定策略和控制,16,策略类型,设定策略和控制,17,设定策略和控制：

精细的预置策略和自定义策略,提供丰富的预定义安全策略和审计策略列表自定义策略，完全可满足用户的各种自定义需求,18,Regulations（Few）,Databases（Tens）,Applications（Hundreds）,Users（HundredsToThousands）,TablesObjects（Thousands）,ConstantChanges!

动态建模DynamicProfiling,环境持续变化提供精准的用户模型策略监控每一种元素的变化:

网络、应用、schemas、对象、用户等等无需人工创建,动态建模DynamicProfiling持续创建和更新，无需人工干预!

设定策略和控制：

持续更新的策略DynamicProfiling策略,19,为用户将部署策略时间从几个月缩短到几天减轻了持续维护的负担每周5-15个变更意味着5-30人小时的维护工作,DEPLOYMENTDAYS,PROFILECHANGES,学习应用和数据的使用,适应应用的持续变化,设定策略和控制动态建模DynamicProfiling自动跟踪各种变更,20,Scope,Tamper-ProofAuditTrail,Real-TimeProtection,Monitor,监控和执行,21,Q,A,监控和执行：

SecureSphere数据库监控方法,通过检查网络上的实时数据流量通过网关或者agents捕获所有到达数据库的网络流量（每个网关最大可分析2GBps流量!

）可分析网络协议，获取SQL命令:

DML,DDL,TCL,DCL命令,存储过程调用,绑定参数等等.也可以通过分析TCP数据包，发现针对OS和RDBMS操作的攻击s:

蠕虫,DoS攻击，等等.,22,监控和执行：

全局用户跟踪（UniversalUserTracking）-识别真实用户,直接用户追踪DBUsername+OSUsername+Hostname+IP+ApplicationWebtoDBUser追踪SQL连接用户追踪无需重写应用程序或者数据库代码!

Shared&dedicatedDBuserconnections,23,监控和执行：

实时警告和策略阻止,实时监控和策略执行识别超出基线的违规操作基于策略违规情况智能警告提供立即响应或者修复措施,24,监控和执行：

实时阻止另一案例,25,监控和执行：

持续记录详细的审计信息,SecureSphere可实现自动化的持续详细审计可方便的识别/分类DML/DDL访问/变更数据标记敏感数据的访问特殊的对象分组审计完整的交易详细记录,When?

Where?

Who?

完整的审计记录,What?

How?

26,MarkMark,监控和执行：

查询响应的完整审计,审计数据库查询的返回响应信息例如:

用户在调用存储过程“sp_Get_Products_By_Deps”后得到的结果是什么?

Orderinresponse,ResponseData,27,监控和执行：

审计独立性,审计的独立性SecureSphere管理系统是和数据库以及服务器的管理系统独立的:

SecureSphere是独立的网关设备或者是基于主机Agent采用远程无代理方式监视审计日志可防止篡改可基于角色进行系统访问控制签名加密方式保存可方便的生成各种报告,28,风险分析和报告,29,Moreexamples,风险分析和报告：

内建报告模板,30,风险分析和报告：

风险分析工具,提供实时审计数据的全面分析功能提供了最终审计数据的分布和趋势情况分析视图帮助用户分析审计结果系统管理视图和统计信息,31,风险分析工具-Summary,32,举例：

特权操作行为跟踪,提供大量的分析图形图表和分析视图为您取证分析提供更为方便的工具,使用预定义的快捷方式查看特权操作概况,发现有Droptable的操作,查看droptable的详细事件,33,举例:

数据库负载分析,该数据库明显比其他数据库繁忙为什么?

该数据库服务器上的访问细节信息,34,风险分析和报告：

内建流程管理工具,实施签收流程修正管理流程复查DB&OS完整性SQL异常和其他错误处理角色/职责管理公司内/公司外业务流程任何新的访问修改访问方式基于任务的工作流incidents事件分配设定所有者、有效期、状态可将报告附加到任务上邮件通知事件状态变更情况,35,风险分析和报告：

广泛的安全合作伙伴,SIEM系统集成:

可将数据库安全事件、告警、审计日志发送到SIEM系统中（例如，ArcSight等）增强了SIEM系统对数据库安全信息的感知，集中在统一界面中，并可和其他安全事件相关联。

变更系统和事件管理系统集成:

将告警信息发送到第三方系统例如：

在变更系统中自动创建一个修复任务,SecureSphere可集成多种第三方安全解决方案，构成更为有效的安全生态环境,36,部署方案,37,Lighthost-basedagents,灵活的部署方式,透明桥接可支持阻断高性能，低延迟Fail-open网卡旁路监听采用流量镜像方式，零延迟轻量级主机agents本地模式:

监控本地特权访问全局模式:

监控所有,Switch,SecureSphere,DataCenter,SecureSphere,INTERNET,Inlinedeployment,Sniffingmodedeployment,38,企业级的覆盖和扩展性SecureSphere数据库审计架构,集中化管理，全面支持各种关系型数据库和企业应用灵活方便的在线存储和离线归档实时日志记录和存储，没有时间延迟分布式部署架构，更加灵活方便可通过SPAN,TAP或者