Управление безопасностью СУБД

Управление безопасностью СУБД
Мониторинг • Аудит • Защита
Guardium 7
1
Guardium 7
Содержание
Решение компании Guardium для
защиты баз данных
3 | Решение компании Guardium для защиты баз данных
4 | Преимущества Guardium 7
4 | Возможности Guardium 7
Решение Guardium 7 предоставляет возможность эффективно
управлять безопасностью баз данных вашего предприятия в режиме
реального времени, а также автоматизировать процесс приведения
баз данных в соответствие с требованиями по безопасности
(PCI-DSS, SOX и др.).
6 | Оценка уязвимостей и принятие мер
7 | Обнаружение и классификация критических данных
7 | Мониторинг и защита информации
8 | Аудит и отчетность
Решение включает в себя механизмы по сбору и анализу данных,
формированию отчетности, политик безопасности, а также
защищенное хранилище для собираемых данных.
9 | Масштаб, соответствующий Вашей компании
11 | Решение для гетерогенных сред
Крупнейшие мировые компании доверили Guardium защиту своей
критической информации. К такой информации относятся данные о
заказчиках, клиентах, различная финансовая и бизнес-информация,
хранимая в корпоративных базах данных.
12 | Мониторинг доступа из приложений
12 | Политика лицензирования
14 | О компании Guardium
В рамках поставки Guardium 7 осуществляется:
Управление безопасностью СУБД
1
Предпроектное обследование ИТ–инфраструктуры
2
Возможность проведения пилотного проекта (установка
Guardium 7 в инфраструктуру Заказчика и тестовое
использование для проверки функциональности)
3
Быстрое внедрение Guardium 7 (от двух недель)
4
Возможность локализации продукта
5
Сервисная поддержка программно-аппаратного
комплекса Guardium 7
Guardium 7
Преимущества Guardium 7
u Guardium 7 предотвращает несанкционированный доступ к базам данных, пресекает
подозрительные действия пользователей, в том числе администраторов, и фиксирует в
едином хранилище данных всю информацию о событиях безопасности. Guardium 7 также
позволяет отслеживать неправомерные действия со стороны конечных пользователей
бизнес-систем Oracle E-Business Suite, PeopleSoft, SAP, Business Objects, а также систем
собственной разработки.
u Архитектура Guardium 7 позволяет использовать его в территориально-распределенных
информационных сетях, позволяя контролировать базы данных и анализировать события
безопасности на крупных предприятиях в режиме реального времени.
u Guardium 7 оказывает минимальное влияние на производительность информационных
систем и не вносит каких-либо изменений в функционирование СУБД. В своей работе
решение не использует штатные средства СУБД для анализа информации о работе баз
данных, тем самым обеспечивая независимость и достоверность собираемой информации.
u Guardium 7 предоставляет сильнейшее в своем классе средство автоматизации процесса
аудита и отчетности, включающее в себя более 100 готовых отчетов, основанных на
установившейся практике в области информационной безопасности, а также собственном
опыте компании Guardium. Отчеты помогают привести базы данных в соответствие с
требованиями стандартов SOX, PCI-DSS и др., а также в соответствие с национальными,
международными и корпоративными требованиями.
безопасности, которые позволят обеспечить автоматическую защиту найденной критической
информации. Политики безопасности гарантируют, что просмотр и/или изменения критической
информации производятся только пользователями, имеющими на это право. Обнаружение
критической информации производится в соответствии с заданным расписанием или по
запросу администратора Guardium 7. Это минимизирует риски атак на информацию, а также
увеличивает гарантии того, что система управления безопасностью охватила критическую
информацию из всех баз данных организации.
• Обнаружение баз данных,
бизнес-приложений,
пользователей
• Обнаружение и
классификация
критической
информации
• Система эскалации уведомлений о
событиях безопасности
Обнаружение и
классификация
• Управление движением
документов между
пользователями (отчеты,
политики и пр.)
принятие мер
Критическая
инфраструктура
данных
• Централизованное
управление
• Отчеты о соответствии
требованиям и
стандартам
оценка и
аудит и
отчетность
• Защищенное хранилище
данных аудита
• Оценка уязвимостей
• Оценка конфигураций
• Контроль и оценка
функционирования на
основе определенного
базового состояния
• Реагирование на
события безопасности
на основе политик
• Обнаружение аномалий
(расхождений с базовым
состоянием)
мониторинг
• Информация о событиях
и защита
безопасности
в режиме реального времени
• Интеграция с SEIM-системами
• Гибкая система отчетности и
уведомлений о событиях безопасности
Возможности Guardium 7
Как правило, самыми сложными задачами в области защиты баз данных являются:
Guardium 7 решает следующие задачи:
U Организация процесса использования баз данных компании, содержащих критичную
u Мониторинг событий безопасности СУБД в режиме реального времени;
информацию;
u Автоматическое обнаружение и классификация критической информации в базах данных;
U Контроль доступа к базам данных с критической информацией со стороны бизнесприложений, информационных систем, а также обслуживающего персонала
(администраторов баз данных) и бизнес-пользователей;
u Управление изменениями на уровне схем данных и конфигураций СУБД;
u Детализированная отчетность по всем событиям безопасности и операциям пользователей
СУБД;
U Защита информации, критичность которой не определена;
U Управление рисками информационной безопасности;
U Обеспечение требований и стандартов по информационной безопасности в ситуации, когда
не ясно, какие базы данных являются предметом регулирования.
Используя Guardium 7, можно настроить автоматическое обнаружение, локализацию
и классификацию информации, содержащей конфиденциальные сведения. Признаки
критической информации могут использоваться для формирования собственных политик
u Выявление и оценка уязвимостей СУБД, проверка конфигураций СУБД;
 Bell Integrator
u Организация защиты СУБД на основе политик безопасности, позволяющих контролировать
доступ к критической информации, действия пользователей, изменения в информационных
базах, а также любые другие произвольные события (например, неудачные попытки входа в
систему);
u Построение иерархической системы защиты СУБД;
u Единое хранилище собираемых данных;
Управление безопасностью СУБД
Guardium 7
u Централизованное управление системой защиты СУБД (управление из единой консоли);
u Масштабируемость (от баз данных малого и среднего бизнеса до баз данных крупных
предприятий с территориально-распределенными филиалами);
u Упрощение прохождения аудита на соответствие требованиям по безопасности
(корпоративные стандарты, требования российского и международного законодательства,
стандарты SOX, PCI-DSS и т.п.).
Оценка уязвимостей и принятие мер
Обнаружение и классификация критических
данных
Автоматическое обнаружение критической информации
По мере роста баз данных организации администраторам становится все сложнее и сложнее
своевременно реагировать на появление новой критической информации. Постоянные
изменения в базах данных и бизнес-приложениях, необходимые для соответствия бизнестребованиям, могут легко нарушить существующие политики безопасности.
Оценка уязвимостей СУБД
Мониторинг и защита информации
Guardium 7 сканирует ИТ-инфраструктуру организации, выявляет базы данных, содержащие
критическую информацию и производит анализ их уязвимостей. О выявленных уязвимостях
система выдает подробный отчет. При составлении отчета используются как текущая, так и
историческая информация о состоянии сканируемых баз данных.
Использование политик безопасности
Guardium 7 содержит библиотеку с готовыми тестами основанными на мировом опыте
отрасли информационной безопасности и тестами типичными для различных платформ
СУБД. Библиотека тестов регулярно обновляется через службу подписки Guardium в рамках
сервисного обслуживания продукта. Для проверки баз данных на соответствие специальным
требованиям могут создаваться собственные тесты.
Модуль оценки уязвимостей позволяет сканировать уязвимости в соответствии с требованиями
стандартов по безопасности. Например, контроль неавторизованного доступа к внутренним
таблицам систем Oracle E-Business Suite или SAP для соответствия требованиям стандартов
SOX и PCI-DSS.
Тесты уязвимостей, входящие в состав решения Guardium 7, разделяются на две категории:
U
U
тесты уязвимостей конфигураций СУБД, определяющие неустановленные патчи,
неправильно настроенные права доступа, роли, незаблокированные системные учетные
записи и т.п.;
тесты функционирования СУБД, основанные на анализе исторической информации о
работе баз данных (способы обращений, административные команды, время работы и пр.).
Детализированный отчет о состоянии баз данных включает в себя сравнения полученных
параметров со взвешенными значениями метрик, основанными на установившейся практике
отрасли информационной безопасности, а также рекомендации по устранению уязвимостей.
Анализ базового состояния
После выполнения рекомендуемого Guardium 7 плана по устранению уязвимостей
определяется базовое состояние защищаемых СУБД. С помощью модуля CAS (Change Audit
System) отслеживаются все изменения базового состояния, а производимые действия не
выходят за рамки разрешенных в соответствии с политиками безопасности.
 Bell Integrator
Для предотвращения неавторизованных или подозрительных действий со стороны
пользователей, а также для предотвращения мошеннических действий извне решение
Guardium 7 использует политики безопасности.
Политики безопасности ограничивают доступ к базам данных или конкретным таблицам на
основе различной информации: учетные данные пользователей, IP-адреса, MAC-адреса,
сетевые протоколы, типы SQL-команд, бизнес-приложения, из которых осуществляется доступ,
время суток и пр. Guardium 7 включает в себя конструктор для интуитивно понятного создания
политик безопасности.
Guardium 7 обеспечивает мониторинг активностей конечных пользователей бизнесприложений, работающих через трехзвенную архитектуру (приложения, использующие
единую сервисную учетную запись в СУБД для доступа к базам данных с использованием
пула соединений). Среди таких бизнес-приложений могут быть Oracle E-Business Suite,
PeopleSoft, Siebel, SAP, а также приложения собственной разработки, основанные на серверах
приложений IBM WebSphere, BEA WebLogic, Oracle Application Server.
Управление Guardium 7 осуществляется персоналом службы информационной безопасности
без привлечения администраторов баз данных, тем самым обеспечивается достоверность и
независимость получаемых данных.
Непрерывный контекстный анализ всего трафика СУБД
Guardium 7 отслеживает весь трафик СУБД в режиме реального времени с помощью
запатентованных средств лингвистического анализа, основанных на детальном просмотре
контекстной информации вида «кто, что, где, когда и как» по каждой SQL-транзакции.
Это позволяет обнаружить неавторизованные и несанкционированные действия. Такой
подход минимизирует число ложных срабатываний политик безопасности, обеспечивая
беспрецедентный уровень контроля по сравнению с традиционными подходами, которые
обнаруживают уязвимости только по предопределенным шаблонам.
Управление безопасностью СУБД
Guardium 7
Базовое состояние конфигурации
Guardium 7 устанавливает базовое состояние конфигураций СУБД, позволяющее выявить
неавторизованные и потенциально опасные действия или процессы. Политики безопасности
поддерживают базовое состояние и пресекают опасные действия, например, атаки вида SQLInjection. Созданные политики безопасности легко изменяются администратором Guardium 7 с
помощью интуитивно-понятного интерфейса.
Проактивная защита в реальном времени
Guardium 7 предоставляет широкий набор средств для упреждающего реагирования на
неавторизованные или аномальные действия. Политики безопасности могут включать в себя
предупреждения в режиме реального времени (SMTP, SNMP, Syslog), блокировки (посредством
пакета TCP Reset или разрыва соединения с базой данных на сервере СУБД, полное
протоколирование событий и другие настраиваемые администраторами Guardium 7 действия
с базой данных на сервере СУБД), полное протоколирование событий и другие настраиваемые
администраторами Guardium 7 действия (например, автоматическая блокировка учетных
записей, отключение портов VPN и пр.).
Отслеживание и разрешение инцидентов безопасности
Регулирующие законы и стандарты в области информационной безопасности требуют от
организаций своевременной регистрации инцидентов, их своевременного анализа, эскалации
и разрешения. Guardium 7 представляет средство для управления инцидентами безопасности,
охватывающее весь процесс работы с инцидентами - от автоматической регистрации
до разрешения. Средства включают в себя графический интерфейс для отслеживания
инцидентов и гибкую систему отчетности для просмотра и контроля инцидентов безопасности.
u хранимые процедуры, созданные на языках, специфичных для платформы СУБД (например,
PL/SQL у Oracle или SQL/PL у IBM);
u XML-команды, выполняемые СУБД.
Одна из лучших своем классе отчетность
Решение Guardium 7 предоставляет более 100 готовых отчетов, основанных на установившейся
практике в области информационной безопасности, а также собственном опыте компании
Guardium. Отчеты помогают привести базы данных в соответствие с требованиями
стандартов SOX, PCI-DSS и др., а также в соответствие с национальными, международными и
корпоративными требованиями.
Работа с отчетами в Guardium 7 производится посредством графического интерфейса.
Guardium 7 включает в себя механизмы автоматической рассылки отчетов заинтересованным
лицам по электронной почте в формате PDF или в виде HTML-страниц. Также отчеты могут
быть просмотрены в режиме онлайн через web-интерфейс Guardium 7. Возможна выгрузка
отчетов во внешние системы (например, в SIEM-системы) или конвертация в различные
форматы (например, CSV, MS Excel).
Автоматизация процесса соответствия стандартам
Guardium 7 упрощает рабочий процесс по приведению баз данных в соответствие с
требованиями стандартов по безопасности с помощью подробных отчетов и политик
безопасности, наличие которых необходимо для соответствия.
Масштаб, соответствующий Вашей компании
Аудит и отчетность
Контроль активностей
Решение Guardium 7 контролирует все активности, связанные с информационными
базами организации. Результаты анализируются в режиме реальном времени для
обеспечения проактивного управления защитой баз данных, после чего генерируется
необходимая отчетность для различных подразделений организации, в том числе для отдела
информационной безопасности.
Эффективность:
100% транзакций СУБД, включая команды администраторов
СУБД, контролируются Guardium 7
Стабильность:
решение Guardium 7 не требует изменений информационной
структуры и не оказывает влияние на производительность СУБД
Универсальность:
поддержка известнейших платформ СУБД
Независимость данных:
Guardium 7 не использует данные штатных средств аудита СУБД
Законченное
исполнение:
решение поставляется в виде сервера 1U под управлением
специальной версии операционной системы Linux
Различные способы
мониторинга:
легковесные агенты на хостах СУБД, SPAN-порты, сетевые TAPустройства
Возможность
интеграции:
поддержка протоколов и технологий SNMP, SMTP, Syslog, LDAP,
Kerberos, RSA SecurID ®, систем управления изменениями
(например, BMC Remedy), SEIM-платформ
С помощью отчетов могут быть отслежены:
u различные исключения, например, ошибки SQL или неудачные попытки входа в бизнессистемы;
u команды, изменяющие структуры баз данных - DDL (create, drop, alter);
u запросы на выборку данных (select);
u команды DML (insert, update, delete), включая команды со связанными переменными(bind
variables);
u команды DCL (grant, revoke), управляющие учетными записями, их ролями и правами
доступа;
 Bell Integrator
Управление безопасностью СУБД
Guardium 7
Многоуровневая
архитектура:
автоматическая агрегация и нормализация информации из
различных информационных систем и месторасположений в
единое централизованное хранилище данных Guardium 7
Централизованное
управление:
управление решением производится через единую WEB-консоль
Масштабируемость:
для увеличения числа контролируемых СУБД или объема трафика
СУБД устанавливается дополнительная аппаратная платформа
Guardium 7
Защищенное
хранилище данных:
мощные механизмы аутентификации, отсутствие доступа
администраторов баз данных на сервер Guardium, шифрование
архивов, содержащих данные аудита
Поддержка ролей:
доступ к данным Guardium 7 настраивается в соответствии с
организационными ролями организации
S-TAP – это легковесный программный агент, устанавливаемый на серверы СУБД и
отправляющий данные о состоянии СУБД на серверы Guardium (G2000, G3000). Используя
механизмы межпроцессного взаимодействия (именованные каналы и разделяемая
память), агент S-TAP перехватывает весь трафик СУБД, включая трафик локального доступа
администраторов баз данных, а также трафик, передаваемый в зашифрованном виде. Анализ
трафика и генерация отчетов производится уже на сервере Guardium, поэтому агент S-TAP не
загружает процессор сервера СУБД (средняя загрузка около 2-3%).
Guardium 7 поддерживает захват трафика через SPAN-порты, но, в отличие от сбора
информации при помощи агентов, такие способы сбора не позволяют контролировать
локальный доступ пользователей и зашифрованные транзакции. Z-TAP – версия агента,
разработанная для мейнфреймов IBM под управлением операционной системы z/OS.
Агрегаторы Guardium (G5000) объединяют собранные данные аудита со всех подчиненных
серверов Guardium. Агрегаторы могут располагаться на разных уровнях иерархической
архитектуры и являться подчиненными по отношению к центральному агрегатору.
Локальный контроль
S-TAP – легковесный программный агент, работающий на уровне ядра операционной системы.
Агент S-TAP предназначен для контроля трафика СУБД, передаваемого по сети через
механизмы межпроцессного взаимодействия.
Масштабируемая архитектура
Масштабируемость Guardium 7 позволяет использовать его как для небольших организаций,
так и для крупных предприятий, имеющих территориально- распределенную информационную
структуру. Решение управляется посредством единого WEB-интерфейса, а информация со всех
агентов Guardium (S-TAP, Z-TAP) хранится в централизованном хранилище.
S-TAP самостоятельно осуществляет перехват SQL-трафика и не использует информацию
штатных журналов СУБД. Выбор архитектуры с использованием агентов S-TAP часто является
предпочтительным, т.к. не требует наличия сетевых устройств со SPAN-портами, а также не
требует установки серверов Guardium 7 на всех удаленных расположениях.
Решение для гетерогенных сред
Поддержка известнейших платформ СУБД
Guardium 7 поддерживает все наиболее распространенные платформы СУБД.
Название СУБД
10
 Bell Integrator
Поддерживаемые версии
Oracle
8i, 9i, 10g, 11g
Microsoft SQL Server
2000, 2005, 2008
IBM DB2 UDB
8, 9
IBM DB2 для z/OS
7, 8
IBM Informix
7, 8, 10, 11
Sybase ASE
12, 15
Sybase IQ
12.6
MySQL
4, 5
Teradata
6
Управление безопасностью СУБД
11
Guardium 7
Операционная система
Поддерживаемые версии
Лицензирование Guardium 7 основывается на количестве процессоров контролируемого
сервера СУБД и уровне проводимого аудита, которые определяются перед внедрением.
Существуют три уровня аудита инфраструктуры баз данных:
Microsoft Windows
NT – 32 bit, 2000, 2003 – 32 и 64 bit
Sun Solaris (SPARC)
6, 8, 9, 10 – 32 и 64 bit
Sun Solaris (Intel/AMD)
10 – 32 и 64 bit
u мониторинг активности привилегированных пользователей, аудит всей активности;
IBM AIX
5.1, 5.2, 5.3 – 32 и 64 bit, 6.1– 64 bit
u мониторинг всех сессий, аудит критичных объектов;
HP-UX
11.00, 11.11 – 32 и 64 bit 11.23,
11.31 PA-RISC – 32 и 64 bit 11.23,
11.31 IA64 - 64 bit
Red Hat Enterprise Linux
2, 3, 4, 5 – 32 и 64 bit
SUSE Linux Enterprise
9, 10 – 32 и 64 bit
Tru64
5.1A, 5.1B – 64 bit
u мониторинг и аудит всех активностей и данных в инфраструктуре баз данных.
Окончательная стоимость лицензий вычисляется индивидуально для каждого проекта по
внедрению Guardium 7.
Дополнительные программные модули
U Модули мониторинга доступа пользователей из информационных систем:
| Business Objects Web Intelligence;
Мониторинг доступа из приложений
| Oracle E-Business Suite;
Guardium 7 выявляет потенциально опасные и мошеннические действия пользователей
бизнес-приложений, работающих через трехзвенную архитектуру, при которой все бизнеспользователи используют для связи с бизнес-приложениями единую учетную запись СУБД,
скрывающую данные о конечном пользователе.
Guardium 7 поддерживает наиболее распространенные бизнес-системы. Кроме того, Guardium
7 предоставляет механизмы по интеграции с бизнес-системами собственной разработки,
основанными на поддерживаемых серверах приложений.
Поддерживаемые
корпоративные
информационные системы
Поддерживаемые серверы
приложений
| SAP R/3;
| Siebel.
U Модуль интеграции с системами хранения данных для выгрузки архивов данных аудита
(включает коннекторы для EMC Centera и IBM Tivoli Storage Manager).
U Модуль центрального управления (для построения иерархической системы с
централизованным управлением).
U Система контроля изменений CAS (Change Auditing System), служащая для мониторинга
• Oracle E-Business Suite
• PeopleSoft
• Siebel
• JD Edwards
• SAP
• Business Objects Web Intelligence
изменений различных объектов окружения СУБД (файлы, переменные окружения,
выводы команд и пр.).
U Модуль автоматизации движения документов и инцидентов для соответствия
требованиям стандартов:
| Отчеты для соответствия требованиям Data Privacy;
• IBM WebSphere
• BEA WebLogic
• Oracle Application Server
• Microsoft .NET
• JBoss Enterprise Application
Platform
| Отчеты для соответствия требованиям PCI-DSS;
| Отчеты для соответствия требованиям SOX.
U Классификатор содержимого баз данных – модуль, служащий для обнаружения
местонахождения и классификации критичных данных и автоматического применения к
ним политик для соответствующих им классов.
U Коннектор к внешним источникам данных – позволяет включать в отчеты и политики
Политика лицензирования
Guardium необходимую информацию из внешних источников данных.
U Модуль оценки уязвимостей, включает: автоматическое обнаружение новых серверов
Стоимость решения Guardium 7 складывается из:
СУБД, оценку уязвимостей СУБД, их конфигураций и поведения.
[ cтоимости аппаратного обеспечения (серверы Guardium);
[ cтоимости необходимых программных модулей Guardium.
12
| PeopleSoft;
U Модуль слежения за неструктурированным трафиком (сбор информации с файловых
ресурсов ОС Windows (File Shares) и FTP).
 Bell Integrator
Управление безопасностью СУБД
13
Guardium 7
О компании Guardium
Компания Guardium специализируется на решениях по защите
СУБД. Решения компании Guardium используется более чем в
350-ти центрах обработки данных, а также в ведущих компаниях
по всеми миру.
Основанная в 2002 году, Guardium была первой в мире компанией,
производящей решения для устранения уязвимостей в защите баз
данных бизнес-систем в режиме реального времени.
Компания Cisco – стратегический инвестор Guardium.
Guardium – партнер компаний Oracle, Microsoft, IBM, Sybase, BMC,
EMC, RSA, Accenture, NetApp, McAfee и NEON. Является членом
IBM Data Governance Council и PCI Security Standards Council.
230 Third Avenue
Waltham. MA 02451 USA
T: +1 781 487 9400
F:+l 781 487 7900
www. guardium .com
14
 Bell Integrator
Управление безопасностью СУБД
15
Москва, Старопетровский
проезд 7а, корпус 1
16
тел.: +7 (495) 981-6182
факс: +7 (495) 981-6183
[email protected]
www.bellintegrator.ru
 Bell Integrator