Jak efektivně ochránit Informix?

Rozměr: px

Začít zobrazení ze stránky:

Download "Jak efektivně ochránit Informix?"

Markéta Kovářová
před 8 lety
Počet zobrazení:

1 Jak efektivně ochránit Informix? Jan Musil Informix CEE Technical Sales Information Management

2 Jsou Vaše data chráněna proti zneužití? 2

3 Ano, pokud... 3

4 Nepoužitelné Steve Mandel, Hidden Valley Observatory 4

5 Jsou Vaše data chráněna proti zneužití? 5

6 1) vůbec připustíme, že můžeme být obětíútoku Ano, pokud... 2) víme, co bychom měli chránit 3) víme, kdo může být útočník 4) víme, jaképrostředky použít pro ochranu 6

7 Jak by měla vypadat efektivní ochrana databáze? Monitorování a audit Systém varování Základní zabezpečení dat Aktivní blokování přístupu Ochrana před privilegovanými uživateli Testy zranitelnosti Identifkace koncového uživatele 7

dat Aktivní blokování přístupu Ochrana před

8 Oblasti efektivní ochrany databáze Základní zabezpečení dat Monitorování a audit Aktivní blokování přístupu Ochrana před privilegovanými uživateli Testy zranitelnosti Identifikace koncových uživatelů Ne vše lze řešit pouze prostředky Informixu řešením je nasazení InfoSphere Guardium 8

uživateli Testy zranitelnosti Identifikace koncových uživatelů Ne vše

9 Co je InfoSphere Guardium? Kolektor Neinvazivní zařízení, které prosazuje dodržování politik, žurnáluje databázové aktivity a spouští reporty a auditní procesy S-TAP sonda Na databázích nezávislá SW komponenta, která posílá monitorované databázové aktivity do kolektoru pro další analýzu a případné žurnálování 9

databázové aktivity a spouští reporty a auditní procesy S-TAP sonda Na

10 Základní zabezpečení dat Přidělení přístupových práv na databázové objekty (GRANT, REVOKE) Kontrola přístupových práv k instalačním adresářům, konfiguračním souborům, spustitelným modulům a datovým úložištím Šifrování síťové komunikace Šifrování dat v položkách Autentizace uživatelů (OS uživatelé, PAM, Kerberos SSO, privátní uživatelé non-root instalace) Label Based Access Control (LBAC) Default role při připojení, definování rolí při trusted context připojení Přidělení práva vytvářet databáze Omezení přístupu k výpisům o prováděných SQL dotazech a relacích ( bezpečný onstat) Zamezení neautorizovanému vytváření uživatelských funkcí Využitítěchto prostředkůje základnía nutnou podmínkou k následnému nasazení dalších řešení, jako např. Guardium 10

Control (LBAC) Default role při připojení, definování rolí při trusted context připojení Přidělení práva vytvářet databáze Omezení přístupu k výpisům o prováděných SQL dotazech a relacích

11 Monitorování a audit Prostředky Informixu lze zajistit, ovšem není efektivní Výrazný vliv na výkonnost databáze Neumožňuje aktivní opatření v reálném čase Vyžaduje časově náročnou analýzu sebraných dat (ovšem až po případném incidentu) Výstupy nejsou uloženy bezpečně Neumožňuje dostatečně oddělit role (administrátor vs. auditor) Nelze identifikovat skutečného koncového uživatele ve vícevrstvé architektuře Nekonzistentní v případě použití různých databázových platforem InfoSphere Guardium Má minimální vliv na výkonnost databázových serverů (max 3-5% per CPU) Je nezávislé na privilegovaných uživatelích Dovoluje provádět monitorování a audit v reálném čase Dokáže zamezit přístupu k citlivým datům (databázový firewall) Poskytuje prostředky pro systém varování v reálném čase V reálném čase umožňuje rychle zjistit neautorizované nebo podezřelé aktivity Poskytuje automatizované workflow řešení incidentů Auditní záznamy ukládá bezpečně bez možnosti jejich modifikace Auditní záznamy ukládá v jednotném tvaru pro všechny podporované db platformy Poskytuje audit a monitorování skutečných koncových uživatelů 11

auditor) Nelze identifikovat skutečného koncového uživatele ve vícevrstvé architektuře Nekonzistentní v případě použití různých databázových platforem InfoSphere Guardium Má minimální vliv na

12 Ochrana před privilegovanými uživateli blokování přístupu (S-GATE) 12

13 Testy zranitelnosti Celková úspěšnost testu Možnost porovnání s předchozími testy Přehledová tabulka o úspěšnosti testů podle kategorií Podrobný přehled s výsledky testů 13

14 Identifikace koncových uživatelů (informix) CREATE TRUSTED CONTEXT tcx1 USER newton ATTRIBUTES (ADDRESS ) DEFAULT ROLE AUDITOR ENABLE WITH USE FOR brock WITHOUT AUTHENTICATION, hayes WITH AUTHENTICATION ROLE MANAGER Connection conn=drivermanager.getconnection("jdbc:informixsqli:// :30266/testdb:informixserver=onpriv;user=newton;password=in formix;trusted_context=true"); SET SESSION AUTHORIZATION TO hayes USING user_password ; SET SESSION AUTHORIZATION TO brock ; 14

2.168.1.110 ) DEFAULT ROLE AUDITOR ENABLE WITH USE FOR brock WITHOUT AUTHENTICATION, hayes WITH AUTHENTICATION ROLE MANAGER

15 Identifikace koncových uživatelů (Guardium) Automatické přenesení uživatelské identity InfoSphere Guardium přímo podporuje komerční aplikace jako jsou Oracle EBS, PeopleSoft, SAP a další Guardium API Použití speciálních aplikačních atributů (jako např. uživatelská identita) přenesených do SQL komunikace (dummy SELECT) Takto získané informace kolektor sváže s komunikací aplikačního uživatele Uložené procedury Vhodné v případě, kdy se pro ověření identity používá uložená procedura, která obsahuje v některém argumentu identitu uživatele Jméno uživatele se extrahuje a sváže s komunikací S-TAP sonda na aplikačním serveru Uživatelská identita se získá např. z přihlašovací webové stránky 15

uživatelská identita) přenesených do SQL komunikace (dummy SELECT) Takto získané informace kolektor sváže s komunikací aplikačního uživatele Uložené procedury Vhodné v

16 InfoSphere Guardium licencování Produktovářada DAM Standard (Basic) DAM + App User + Enterprise Integrator + Classification DAM Advanced DAM + App User + Enterprise Integrator + Classification + S-GATE VA Standard (Basic) Vulnerability Assessment + Database Protection Subscription + Enterprise Integrator + Classification VA Advanced Vulnerability Assessment + Database Protection Subscription + Enterprise Integrator + Classification + CAS + DB Entitlement Reports Central Management and Aggregation Pack CM & Agg + Advanced Workflow Provozní komponenty Standalone Federated Forma dodávky řešení fyzická appliance Plně nainstalovaný IBM Intel x-server softwarová appliance Instalační balíček HW dle výběru, ale podle přesně stanovených předpokladů Možnost využití virtualizace 16

Subscription + Enterprise Integrator + Classification + CAS + DB Entitlement Reports Central Management and Aggregation Pack CM & Agg + Advanced Workflow Provozní komponenty Standalone Federated

17 Jan Musil 17

Podobné dokumenty

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Monitorování a audit databází v reálném čase Ing. Jan Musil IBM Česká republika Jsou naše data chráněna proti zneužití? Ano, pokud... Nepoužitelné Steve Mandel, Hidden Valley Observatory http://apod.nasa.gov/apod/ap010809.html