Jak efektivně ochránit Informix?



Podobné dokumenty
Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

IBM InfoSphere Guardium - ochrana databází

Univerzita pro obchodní partnery InfoSphere Guardium. Jan Musil 2009 IBM Corporation

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Řešení ochrany databázových dat

GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER. váš partner na cestě od dat k informacím

IW3 MS SQL SERVER 2014

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Audit DB. Referát. Vypracoval: Zdeněk Doležal MFF UK Praha 11/5/06

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Databáze II. 1. přednáška. Helena Palovská

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

IBM Informix 11.7 Edice

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Komunikace mezi doménami s různou bezpečnostní klasifikací

Administrace Oracle. Práva a role, audit

Zátěžové testy aplikací

Oracle Database Security

Využití identity managementu v prostředí veřejné správy

Automatizace správy linuxové infrastruktury pomocí Katello a Puppet LinuxDays

Sísyfos Systém evidence činností

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Informace ke stavu celoměstsk xxx

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

UDS for ELO. Univerzální datové rozhraní. >> UDS - Universal Data Source

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

Monitorování datových sítí: Dnes

Administrace Oracle Práva a role, audit. Kukhar Maria

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Michal Hroch Server Product Manager Microsoft Česká republika

Bezpečnosť v databáze Oracle

Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

Nové licencování databází Informix

Korporátní identita - nejcennější aktivum

Migrace virtuálního prostředí VI3 na vsphere. Lukáš Radil, konzultant

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Jan Váša TGB Sales Representative, Oracle Czech 10. června 2011 MRI Kladno

Databázová řešení IBM

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

MĚSTSKÝ ROK INFORMATIKY KLADNO

Jak spustit provoz v DR lokalitě snadno a rychle

APS 400 nadministrator

Infor ERP Baan / ERP LN. Návaznost podporovaných OS na implementované SP a FP. Zdeněk Špidla

Virtualizace. Lukáš Krahulec, KRA556

IBM Tivoli Storage FlashCopy Manager (FCM)

IBM Tivoli Storage Manager 6.2 a IBM Tivoli Storage Manager FastBack 6.1.1

Bezpečnost sítí

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Microsoft Day Dačice - Rok informatiky

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Důvěryhodná výpočetní základna -DVZ

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

ProjectWise V8 XM Edition

Sledování výkonu aplikací?

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Praktické zkušenosti s nasazením. na KÚ Vysočina v oblasti ehealth. Libor Neumann, ANECT a.s. Petr Pavlinec, KÚ Vysočina. Pojednání o PEIGu 1

Praha, Martin Beran

Data Protection Delivery Center, s. r. o. JEDNODUCHOST, SPOLEHLIVOST a VÝKONNOST. DPDC Protection. zálohování dat

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Zabezpečení platformy SOA. Michal Opatřil Corinex Group

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Bezpečnostní monitoring v praxi. Watson solution market

Obsah. Kapitola 1. Kapitola 2. Kapitola 3. Úvod 9

Instalace MS SQL Server Express a MS SQL Server Management Express

Zkušenosti z průběhu nasazení virtualizace a nástrojů pro správu infrastruktury v IT prostředí České správy sociálního zabezpečení

Struktura pamětí a procesů v DB Oracle. Radek Strnad

Compatibility List. GORDIC spol. s r. o. Verze

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

POŽADAVKY NA INSTALACI

Bezpečný cloud šifrování a silná autentizace. Ing. Petr Slaba ASKON International s.r.o.

Reporting a Monitoring

Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB. Návrh realizace řešení

Písemná zpráva zadavatele

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Enterprise Mobility Management AirWatch & ios v businessu

TECHNICKÁ SPECIFIKACE PŘEDMĚTU VEŘEJNÉ ZAKÁZKY

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o.

Cloud - jak jej monitorovat, reporty, účtování a fakturace

C# - Databáze úvod, ADO.NET. Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí

Petr Vlk KPCS CZ. WUG Days října 2016

Správa stanic a uživatelského desktopu

Windows 2008 R2 - úvod. Lumír Návrat

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Bezpečná autentizace přístupu do firemní sítě


Enterprise Mobility Management

Databázové systémy. Doc.Ing.Miloš Koch,CSc.

Název prezentace 1. Poskytovatel garantovaných služeb NDC včetně kybernetické bezpečnosti ve státní správě

Administrace Oracle. Jan Šaršon. Audit databáze

Demilitarizovaná zóna (DMZ)

Nastavení DCOM. Uživatelský manuál

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura IBM Corporation

Vytváření uživatelských datových typů a funkcí v Javě

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Nasazení EIS JASU CS v rezortu Ministerstva zdravotnictví ČR vč. všech podřízených OSS

Správa identit v akademické sféře z pohledu společnosti Micro Focus

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Transkript:

Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management

Jsou Vaše data chráněna proti zneužití? 2

Ano, pokud... 3

Nepoužitelné Steve Mandel, Hidden Valley Observatory http://apod.nasa.gov/apod/ap010809.html 4

Jsou Vaše data chráněna proti zneužití? 5

1) vůbec připustíme, že můžeme být obětíútoku Ano, pokud... 2) víme, co bychom měli chránit 3) víme, kdo může být útočník 4) víme, jaképrostředky použít pro ochranu 6

Jak by měla vypadat efektivní ochrana databáze? Monitorování a audit Systém varování Základní zabezpečení dat Aktivní blokování přístupu Ochrana před privilegovanými uživateli Testy zranitelnosti Identifkace koncového uživatele 7

Oblasti efektivní ochrany databáze Základní zabezpečení dat Monitorování a audit Aktivní blokování přístupu Ochrana před privilegovanými uživateli Testy zranitelnosti Identifikace koncových uživatelů Ne vše lze řešit pouze prostředky Informixu...... řešením je nasazení InfoSphere Guardium 8

Co je InfoSphere Guardium? Kolektor Neinvazivní zařízení, které prosazuje dodržování politik, žurnáluje databázové aktivity a spouští reporty a auditní procesy S-TAP sonda Na databázích nezávislá SW komponenta, která posílá monitorované databázové aktivity do kolektoru pro další analýzu a případné žurnálování 9

Základní zabezpečení dat Přidělení přístupových práv na databázové objekty (GRANT, REVOKE) Kontrola přístupových práv k instalačním adresářům, konfiguračním souborům, spustitelným modulům a datovým úložištím Šifrování síťové komunikace Šifrování dat v položkách Autentizace uživatelů (OS uživatelé, PAM, Kerberos SSO, privátní uživatelé non-root instalace) Label Based Access Control (LBAC) Default role při připojení, definování rolí při trusted context připojení Přidělení práva vytvářet databáze Omezení přístupu k výpisům o prováděných SQL dotazech a relacích ( bezpečný onstat) Zamezení neautorizovanému vytváření uživatelských funkcí Využitítěchto prostředkůje základnía nutnou podmínkou k následnému nasazení dalších řešení, jako např. Guardium 10

Monitorování a audit Prostředky Informixu lze zajistit, ovšem není efektivní Výrazný vliv na výkonnost databáze Neumožňuje aktivní opatření v reálném čase Vyžaduje časově náročnou analýzu sebraných dat (ovšem až po případném incidentu) Výstupy nejsou uloženy bezpečně Neumožňuje dostatečně oddělit role (administrátor vs. auditor) Nelze identifikovat skutečného koncového uživatele ve vícevrstvé architektuře Nekonzistentní v případě použití různých databázových platforem InfoSphere Guardium Má minimální vliv na výkonnost databázových serverů (max 3-5% per CPU) Je nezávislé na privilegovaných uživatelích Dovoluje provádět monitorování a audit v reálném čase Dokáže zamezit přístupu k citlivým datům (databázový firewall) Poskytuje prostředky pro systém varování v reálném čase V reálném čase umožňuje rychle zjistit neautorizované nebo podezřelé aktivity Poskytuje automatizované workflow řešení incidentů Auditní záznamy ukládá bezpečně bez možnosti jejich modifikace Auditní záznamy ukládá v jednotném tvaru pro všechny podporované db platformy Poskytuje audit a monitorování skutečných koncových uživatelů 11

Ochrana před privilegovanými uživateli blokování přístupu (S-GATE) 12

Testy zranitelnosti Celková úspěšnost testu Možnost porovnání s předchozími testy Přehledová tabulka o úspěšnosti testů podle kategorií Podrobný přehled s výsledky testů 13

Identifikace koncových uživatelů (informix) CREATE TRUSTED CONTEXT tcx1 USER newton ATTRIBUTES (ADDRESS 192.168.1.110 ) DEFAULT ROLE AUDITOR ENABLE WITH USE FOR brock WITHOUT AUTHENTICATION, hayes WITH AUTHENTICATION ROLE MANAGER Connection conn=drivermanager.getconnection("jdbc:informixsqli://192.168.1.110:30266/testdb:informixserver=onpriv;user=newton;password=in formix;trusted_context=true"); SET SESSION AUTHORIZATION TO hayes USING user_password ; SET SESSION AUTHORIZATION TO brock ; 14

Identifikace koncových uživatelů (Guardium) Automatické přenesení uživatelské identity InfoSphere Guardium přímo podporuje komerční aplikace jako jsou Oracle EBS, PeopleSoft, SAP a další Guardium API Použití speciálních aplikačních atributů (jako např. uživatelská identita) přenesených do SQL komunikace (dummy SELECT) Takto získané informace kolektor sváže s komunikací aplikačního uživatele Uložené procedury Vhodné v případě, kdy se pro ověření identity používá uložená procedura, která obsahuje v některém argumentu identitu uživatele Jméno uživatele se extrahuje a sváže s komunikací S-TAP sonda na aplikačním serveru Uživatelská identita se získá např. z přihlašovací webové stránky 15

InfoSphere Guardium licencování Produktovářada DAM Standard (Basic) DAM + App User + Enterprise Integrator + Classification DAM Advanced DAM + App User + Enterprise Integrator + Classification + S-GATE VA Standard (Basic) Vulnerability Assessment + Database Protection Subscription + Enterprise Integrator + Classification VA Advanced Vulnerability Assessment + Database Protection Subscription + Enterprise Integrator + Classification + CAS + DB Entitlement Reports Central Management and Aggregation Pack CM & Agg + Advanced Workflow Provozní komponenty Standalone Federated Forma dodávky řešení fyzická appliance Plně nainstalovaný IBM Intel x-server softwarová appliance Instalační balíček HW dle výběru, ale podle přesně stanovených předpokladů Možnost využití virtualizace 16

Jan Musil jan_musil@cz.ibm.com 17