SecureSphere数据库安全解决方案.docx
《SecureSphere数据库安全解决方案.docx》由会员分享,可在线阅读,更多相关《SecureSphere数据库安全解决方案.docx(20页珍藏版)》请在冰豆网上搜索。
SecureSphere数据库安全解决方案
SecureSphere数据库安全解决方案
目录
2.1公司数据库应用环境7
3.1专用硬件平台8
3.1.1SecureSphere专用硬件平台8
3.2数据库代理(Agent)9
3.3集中管理架构10
3.4支持的部署方案11
3.4.1嗅探部署方案11
3.4.2桥接部署方案12
3.4.3代理部署方案13
3.5推荐部署方案13
3.6工作原理图14
3.7SecureSphere®逻辑架构层次15
3.7.1用户界面层UserInterfaceLayer16
3.7.2管理和报告层Management&ReportingLayer16
3.7.3分析层AnalysisLayer17
3.7.4存储层StorageLayer17
3.7.5收集层CollectionLayer17
3.7.6数据库访问层DBAccessLayer17
3.8数据捕获17
3.9SecureSphere多层安全检查机制18
3.9.1数据库IPS19
3.9.2集成防火墙功能20
3.9.3动态建模20
3.9.4数据库协议验证20
5.1Imperva公司简介23
5.2Imperva公司数据库安全解决方案23
5.2.1SecureSphereDatabaseActivityMonitoringGateway23
5.2.2SecureSphereDatabaseFirewallGateway24
5.2.3SecureSphereDiscoveryandAssessmentServer24
5.2.4SecureSphereMXManagementServer24
5.2.5ImpervaApplicationDefenceCentre(ADC)24
5.2.6SecureSphere优势(专利)技术25
1概述:
数据库安全和审计的重要性
随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。
各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰、成败。
因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一。
由于计算机和网络的普及和广泛应用,越来越多的关键业务系统运行在数据库平台上。
数据库中的数据作为企业的财富发挥着越来越重要的作用,同时也成为不安定因素的主要目标。
如何保证数据库自身的安全,已成为现代数据库系统的主要评测指标之一。
数据库是信息技术的核心和基础,广泛应用在电信、金融、政府、商业、企业等诸多领域,当我们说现代经济依赖于计算机时,我们真正的意思是说现代经济依赖于数据库系统。
数据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其重要和敏感的信息。
尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。
许多因素都可能破坏数据的完整性并导致非法访问,这些因素包括复杂程度、密码安全性较差、误配置、未被察觉的系统后门以及数据库安全策略的缺失等。
任何公司的主要电子数字资产都存贮在现代的关系数据产品中。
商业机构和政府组织都是利用这些数据库服务器得到人事信息,如员工的工资表,医疗记录等。
因此他们有责任保护别人的隐私,并为他们保密。
数据库服务器还存有以前的和将来的敏感的金融数据,包括贸易记录、商业合同及帐务数据等。
象技术的所有权、工程数据,甚至市场企划等决策性的机密信息,必须对竟争者保密,并阻止非法访问,数据库服务器还包括详细的顾客信息,如财务帐目,信用卡号及商业伙伴的信用信息等。
目前世界上七种主流的关系型数据库,诸如Oracle、Sybase、MicrosoftSQLServer、IBMDB2/Informix、MySQL、PostgreSQL服务器都具有以下特征:
用户帐号及密码、校验系统、优先级模型和控制数据库的特别许可、内置命令(存储过程、触发器等)、唯一的脚本和编程语言(例如PL/SQL、Transaction-SQL)、中间件、网络协议、补丁和服务包、强有力的数据库管理实用程序和开发工具。
数据库服务器的应用相当复杂,掌握起来非常困难。
许多数据库管理员都忙于管理复杂的系统,所以很可能没有检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。
所以,正是由于传统的安全体系在很大程度上忽略了数据库安全这一主题,使数据库专业人员也通常没有把安全问题当作他们的首要任务。
在安全领域中,类似网页被修改、电脑中病毒、木马、流氓软件、弹出窗口等所造成的经济损失微乎其微,而一旦数据库出现安全风险并被恶意利用所造成的后果几乎是灾难性的和不可挽回的。
安全是多个环节层层防范、共同配合的结果。
也就是说在安全领域不能够仅靠某一个环节完成所有的安全防范措施。
一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。
数据库领域的安全措施通常包括:
身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。
只有通过综合有关安全的各个环节,才能确保高度安全的系统。
拙劣的数据库安全保障设施不仅会危及数据库的安全,还会影响到服务器的操作系统和其它信用系统。
还有一个不很明显的原因说明了保证数据库安全的重要性-数据库系统自身可能会提供危及整个网络体系的机制。
例如,某个公司可能会用数据库服务器保存所有的技术手册、文档和白皮书的库存清单。
数据库里的这些信息并不是特别重要的,所以它的安全优先级别不高。
即使运行在安全状况良好的操作系统中,入侵者也可通过“扩展入驻程序”等强有力的内置数据库特征,利用对数据库的访问,获取对本地操作系统的访问权限。
这些程序可以发出管理员级的命令,访问基本的操作系统及其全部的资源。
如果这个特定的数据库系统与其它服务器有信用关系,那么入侵者就会危及整个网络域的安全。
在电子商务、电子贸易的着眼点集中于WEB服务器、Java和其它新技术的同时,应该记住这些以用户为导向和企业对企业的系统都是以Web服务器后的关系数据库为基础的。
它们的安全直接关系到系统的有效性、数据和交易的完整性、保密性。
系统拖延效率欠佳,不仅影响商业活动,还会影响公司的信誉。
不可避免地,这些系统受到入侵的可能性更大,但是并未对商业伙伴和客户敏感信息的保密性加以更有效的防范。
此外,ERP和管理系统,如ASPR/3和PeopleSoft等,都是建立在相同标准的数据库系统中。
无人管理的安全漏洞与时间拖延、系统完整性问题和客户信任等有直接的关系。
2需求分析
目前的业务系统中大多数关键数据均存储在数据库服务器中,这些关键的数据库系统也成为了我公司信息系统和业务系统的心脏。
这些数据库中储存着诸如银行账户、保单信息、客户信息、生产或交易明细、产品资料等极其重要和敏感的信息。
尽管这几年来,公司在数据库的管理制度,物理安全和网络安全方面做了完善的安全防护,例如采取了严格访问控制和容灾备份等安全措施。
但是,从近年来发生的安全事件来看,数据库安全问题远远不止是物理层面安全和网络层面的安全,数据库系统面临这从安全管理到安全技术等各方面的安全隐患,这些风险将会给企业业务带来严重的影响,可能会造成巨大的经济损失,或引起法律的纠纷。
而且这些事件难以追查和弥补。
另一方面,行业法规也对于数据安全包括数据库安全提出了相应的要求,包括美国在内的许多国家的通过了公开法案对数据信息的安全有很明确的规定,其中比较著名的是Sarbanes-Oxley萨班斯—奥克斯利法案,PCI(Visa著名的PaymentCardIndustrydatastandard)规定.在国内,保监会和相关职能部门也对于企业内部控制包括信息系统的审计提出了相应的要求。
针对上述公司的现状,我们总结了以下主要风险和应用场景:
1)管理风险
内部人员误操作、违规操作、越权操作,损害业务系统安全运行
内部人员的误操作、违规操作、越权操作缺少实时告警和阻拦机制,通常在事件发生后并造成严重后果后才能被发现,这时可能已经对业务系统造成严重影响。
因此,我们希望能够建立一套完善的实时告警机制,能对上述情况进行实时告警。
能够第一时间消除潜在风险。
多人公用一个帐号,责任难以分清;
目前,只能通过简单的数据库访问日志查看相关人员的操作记录。
但是,因为维护人员多使用相同维护账号,很难区分责任。
我们需要更为强大的审计工具,能够记录源地址、源应用程序、远程登录的OS主机名、OS主机账号等信息区分责任。
第三方维护人员的误操作,恶意操作和篡改;
第三方人员的误操作、恶意操作、篡改、数据窃取也需要有系统能够监管。
目前缺乏对这些人员的监管。
超级管理员用户操作难以监管和审计;
超级管理员、特权用户都有着非常大的权限,目前缺少监管手段。
而且,有很多数据库数据库管理员还可以访问和管理审计日志,这就明显违反了审计中权责分离的要求。
数据库权限分配问题;
数据库用户权限分配混乱。
随着应用的不断增加和时间的推移,存在大量赋予过高权限的数据库用户和长期没有人使用的数据库账号,我们需要定期对这些数据库账号进行清理,严格遵照“业务必须知道”的最小原则来进行数据库账号分配。
2)技术风险
数据库服务器操作系统漏洞攻击;
我们需要定期针对数据库服务器操作系统进行安全漏洞扫描,确认其是否存在安全漏洞,并及时修补或者通过安全系统防护。
数据库系统漏洞攻击;
数据库系统本身的漏洞以及不安全、不合理的配置也需要定期进行扫描,并修补。
或者通过安全系统防护。
离职员工留下后门。
需要对用户权限进行及时管理;对异常的数据库访问进行及时分析和处理。
3)审计风险
审计日志缺失或不完整;
目前只有部分数据库系统可以提供的审计日志,而这些审计日志非常不完整。
例如,缺少源程序的记录、数据库返回信息的记录、Bind参数的记录、等等。
而且因为在数据库系统上启用审计功能会大大影响现有数据库系统的性能,因此,大多数数据库系统并没有都启用审计功能。
不同数据库的审计;
目前公司内数据库系统越来越多、数据库的类型也不断增加,这为数据库系统审计的集中管理带来了相当大的挑战。
因为,数据库种类不同,自身的审计功能也不同,这为审计日志的查看带来相当大的困难。
同时,数据库数量的增加,又无法集中进行统一查看。
因此,我们需要采用更为集中的、独立的、可以同时支持多种数据库平台、多个数据库的审计系统。
审计独立性的问题;
启用数据库自身的审计功能,既影响自身性能,又存在了严重的审计独立性问题。
审计规范中要求数据库管理员和审计人员必须权责分离。
安全事件难以追查和定位。
目前的公司现状根本无法准确定位和最终相关数据库安全事件。
需要进行技术方案的优化和改进。
因此,我们建议公司采用Imperva专业的数据库安全方案,可以完满的应对上述风险和场景。
2.1公司数据库应用环境
1、目前公司主要需要监控的数据库有两台,为Oracle10g。
2、两台数据库服务器硬件是AIX操作系统。
3、因为有许多通过网络方式使用第三方数据库软件进行的所有数据库操作,因此需要对这些访问进行记录并审计。
4、另外,也存在特权用户可以直接登陆AIX主机本地进行数据库操作,因此还需要对本地的数据库操作进行审计。
3技术实现
3.1专用硬件平台
3.1.1SecureSphere专用硬件平台
ImpervaSecureSphere®硬件平台提供了卓越的性能和高可靠性,适合于各种网络环境。
硬件平台提供FailOpen的网卡,可在出现故障时快速实现故障切换。
设备还提供带外管理接口,提高了管理的安全性。
前面板的各种提示信息也方便用户快速了解设备运行状态。
用户可以根据需要监测的数据库流量来选择合适的硬件网关。
3.2数据库代理(Agent)
SecureSphere对于特定的需要监控数据库本地操作的场景,可以选择在数据库服务器上安装DatabaseAgent,该代理程序可以监控所有到达该数据库的各种数据库活动进行监控,包括Telnet、SSH、RDP、IPC等各种TCP或UDP隧道。
Imperva提供了支持多种操作系统、多种数据库类型的代理程序安装文件,包括windows、Linux、AIX、HPUnix、Solaris等等。
Agent代理程序具备以下主要特性:
Ø数据库代理程序采用轻型工作架构,对数据库本机影响很小。
通常在流量峰值时刻,最高5-7%的CPU峰值,也可以设置CPU耗用最高上限值。
Ø提供高级过滤功能,确保只将需要分析的数据库活动发送给SecureSphere®网关。
Ø可监控所有的数据库活动内容,无论是通过本地操作(Bequeath,namedPipes,等等),还是网络访问。
Ø可集中配置和管理Agent。
Ø代理程序支持注册到两个SecureSphere®网关,实现高可用。
数据库代理工作原理图
3.3集中管理架构
SecureSphere®提供了灵活的三层管理架构,方便用户可以同时管理多个SecureSphere®网关,并可以集中策略管理和日志查询。
三层管理架构
说明:
第一层:
网页管理界面,提供https加密管理界面。
第二层:
SecureSphere®管理服务器,对所有的网关设备提供集中管理,以及日志汇聚。
第三层:
SecureSphere®网关,执行各种数据库活动审计和数据库保护。
3.4支持的部署方案
3.4.1嗅探部署方案
SecureSphere使用无在线故障点和性能瓶颈的透明网络网关,以确保为部署和集成消除此类安全产品通常所具有的风险。
阻止是通过发送TCP重置实现-但这无法保证阻止操作一定成功,因此TCP重置可能:
●不能到达受保护的服务器
●被发送设备忽略
嗅探网关是一种被动嗅探设备。
用于连接企业集线器与交换机,可控制受保护服务器的通信。
通信信息将会被复制到该设备,而不会直接通过。
因为不是在线的,因此嗅探网关不会影响性能,也不会影响服务器的稳定性。
单个SecureSphere网关可以轻松监控多个网段,因为它包含多个可用于嗅探不同网段的网络接口端口。
唯一的限制就是其所能处理的通信量。
单个网关可以监控不同类型的服务器(例如:
Web服务器、数据库和电子邮件服务器)。
不需要在多个不同网关之间分离这些任务。
3.4.2
桥接部署方案
如果要为数据中心提供最高级别的安全性保护,则可以将SecureSphere网关部署为桥接模式。
在此部署方案中,网关充当外部网络与受保护的网段之间的连接设备。
网关将阻止在线(即:
丢弃包)恶意通信。
一个在线网关虽然能够保护最多两个网段并拥有六个网络接口端口。
但不能工作于在线/嗅探混合模式。
其中的两个端口用于管理:
一个用于连接管理服务器,另一个是可选的,可用于连接外部局域网。
其他四个端口属于两个用于在线检查的网桥。
每个网桥都包含一个外部网络端口和一个受保护网络端口。
3.4.3代理部署方案
通过在数据库服务器上安装代理软件,从而实现本地或者网络上数据库访问的审计。
这种方法可以通上面两种网络部署模式进行混合部署。
带程序采用轻量级的代理程序设计,
●低CPU使用率(可设定上限)
●低内存使用率(可设定上限)
●极低的I/O开销
●加密数据传输
支持两种工作模式:
Local–仅捕捉本地特权访问
Global–完整的数据库代理审计功能,包括本地访问和网络访问。
3.5推荐部署方案
我们推荐公司采用网络旁路监听,结合代理的混合部署模式:
部署说明:
1)采用旁路监听的方式对所有数据库的网络访问进行审计和安全检查;
2)对于需要本地操作审计的数据库可以安装ImpervaAgent,进行本地审计;
3)ImpervaAgent由SecureSphere数据库网关来进行统一管理。
4)如果需要获得更好的网关性能和未来集中管理的扩展,还可以购买专用的管理服务器设备。
5)系统可无缝结合企业现有的安全事件管理平台;将审计日志归档到SAN在线存储或者外部存储。
3.6工作原理图
下面的图形是SecureSphere®各组件协同工作的工作原理图。
管理员可以通过浏览器管理界面将配置信息发送到管理服务器,由管理服务器下发到SecureSphere®网关;被监控的数据被送达SecureSphere®网关,网关中的分析引擎会根据预定义的审计规则和安全规则进行匹配。
如果需要阻断,安全检测引擎将发送阻断信息或丢弃数据包。
相应的告警将被发送到管理服务器。
工作原理图
3.7SecureSphere®逻辑架构层次
为了方便客户理解,我们把SecureSphere®工作层次划分为6个逻辑层次,每一个层次在数据监控和安全管理中都有着不同的职责。
SecureSphere®工作逻辑层次
3.7.1用户界面层UserInterfaceLayer
用户界面层位用户提供了安全的用户管理界面可以监控和管理数据库安全配置、数据库安全事件、数据库审计。
用户界面层无需用户安装任何软件,只需要在普通PC上的浏览器就可以进行管理了。
3.7.2管理和报告层Management&ReportingLayer
Imperva的管理服务器位于该层工作,并为后台的系统集中管理和报告提供服务。
所有的系统配置、网关活动均由管理服务器来实现管理。
3.7.3分析层AnalysisLayer
分析层是由Imperva的网关构成的。
分析层的主要工作就是汇聚和分析该层获得或者更底层获得的SQL交易信息。
所有的处理逻辑学习、分类、存储和获取SQL应用流量都是在这一层进行的。
如果网关设备是串联部署的,那么网关则可以实时阻断未授权的网络数据库活动。
网关部署的位置也应该是在数据库访问客户端和数据库服务器之间。
3.7.4存储层StorageLayer
存储层是同时和管理及报告层以及分析层协同工作的层次。
一方面,存储层可以为网关设备提供在线的SQL交易记录存储;另一方面,也可以作为管理服务器外部存档的存储空间。
Imperva网关针对数据库审计数据巨大的客户提供SAN(StorageAreaNetwork)的扩展,可实时将巨大的审计数据记录到SAN中。
对于需要定期存档的审计数据,则可以通过管理服务器定期归档到外部的NAS上。
3.7.5收集层CollectionLayer
收集层主要是收集所有需要分析和审计的数据库活动。
一方面,我们可以通过网关设备直接采用旁路监听或者串联接入的方式,无需在DB上安装组件,就可以收集到需要监控和分析的数据;但是,另一方面,对于一些非网络或者SSH、RDP之类的无法进行网络分析的场景进行监控,我们可以采用数据库代理的方式来收集数据库本地活动信息。
我们可以混合使用这两种方式来进行数据库活动收集。
3.7.6数据库访问层DBAccessLayer
数据库访问层代表了所有可能访问数据库的主机、中间件、应用等等。
这个层次代表了数据库安全系统需要管理的IP地址、主机名、用户名、应用程序等等。
3.8数据捕获
SecureSphere®对数据库活动数据的捕获并不是通过数据库本身的审计日志、触发器、交易记录等,而是完全通过分析网络数据或者本地通讯数据本身。
通过对数据库协议和应用本身的理解,了解其中的具体数据和内容。
而采用其他方法则存在了许多弊病:
▪造成数据库额外的负载
开启数据库自身的审计功能,通常会造成10-25%的性能下降,这会大大影响数据库的自身性能,而且如果需要分析交易日志以及其关联的逻辑联系则需要更大的性能开销。
▪篡改的问题
数据库自身的审计功能,通常仍然由DBA管理,这样审计的独立性很难保证,可能会出现DBA篡改审计日志的问题。
▪缺失的操作信息
数据库自身的交易记录是不提供DCL操作的内容的,例如,SHUTDOWN,GRANTs等
▪缺失的用户信息
一些数据库是不会提供SYSDBA的操作审计日志的,例如,Oracle。
同时,交易日志也无法提供访问者的详细用户信息(OS用户名、主机名、IP、通过何种应用程序访问的,等)
3.9SecureSphere多层安全检查机制
SecureSphere®产品充分考虑到目前的复杂安全环境,需要在多个层次对各种安全威胁检查才可以对数据库提供足够的安全保障。
SecureSphere®的安全模型中提供了包括防火墙、签名、协议检查、Profile、攻击关联等多种检查机制来综合验证可疑的访问行为。
SecureSphere®安全检测引擎
3.9.1数据库IPS
SecureSphere®数据库IPS基于特征来识别以已知数据库平台软件漏洞为攻击目标的攻击。
通过将与Snort®兼容的特征数据库和由Imperva的国际安全研究机构-应用防御中心(ADC)开发的特定于专用数据库的特征相组合,SecureSphere的独有IPS技术完全满足数据库部署的要求。
ADC还利用上下文属性(如受影响的系统、风险、准确度和攻击频率)对每个特征进行优化。
用户可利用这些属性自定义IPS策略,使其符合特定环境。
最后,Imperva的数据中心安全更新服务每周自动进行特征更新,以确保持断实施最新保护。
3.9.2集成防火墙功能
SecureSphere®集成了部分网络防火墙功能。
可以在网络层过滤不需要开放的协议、网络、用户等等。
通常在同类产品中是无法提供这部分功能的。
3.9.3动态建模
SecureSphere®的动态建模技术可监视实时数据库通信,从而创建经过验证的代表每个用户正常行为的基准模型。
然后,通过比较该模型与所观察的行为,SecureSphere®就可识别与模型存在重大差异的活动。
例如,如果一个无需知道业务信息的数据库管理员突然检索了10000条客户记录,则SecureSphere®会设立一个标记。
动态建模的核心是统计学习算法,该算法可将模型中的随机事件过滤掉,并使系统随着时间的逐渐推移不断适应合法行为的变化。
其他审计系统宣称具有“学习”能力,其实仅会在指定学习期限内不加区分地记录所有活动。
市场上这些同类产品所采用的这种过分简单化的方法存在着两个问题。
1.由于其他产品在单调记录期间将所有活动都包含到基准模型中,因此随机事件和可能的异常事件均成为基准的一部分。
相反,SecureSphere学习算法会将随机事件从模型中过滤掉。
SecureSphere具备数据库漏洞知识,因而能够将企图利用这些漏洞的异常事件过滤出来。
2.一旦其他同类产品的指定单调记录期限结束,合规管理人员就必须不断地手动更新基准,以及时反映数据库活动的变化。
如果这些产品在某一时间自动学习而成一个新的基准,则它们将丢失对基准所做过的所有手动更改。
相反,SecureSphere学习算法从不会停止其作用。
每个模型都会随着时间不断适应行为变化,且随时都可手动修改模型。
由于SecureSphere的动态建模技术能持续见效,因此除了标准的审计记录外,还可以配置差异能够触发实时警报。
在实时警报的协助下,SecureSp
升级会员 