Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management
Jsou Vaše data chráněna proti zneužití? 2
Ano, pokud... 3
Nepoužitelné Steve Mandel, Hidden Valley Observatory http://apod.nasa.gov/apod/ap010809.html 4
Jsou Vaše data chráněna proti zneužití? 5
1) vůbec připustíme, že můžeme být obětíútoku Ano, pokud... 2) víme, co bychom měli chránit 3) víme, kdo může být útočník 4) víme, jaképrostředky použít pro ochranu 6
Jak by měla vypadat efektivní ochrana databáze? Monitorování a audit Systém varování Základní zabezpečení dat Aktivní blokování přístupu Ochrana před privilegovanými uživateli Testy zranitelnosti Identifkace koncového uživatele 7
Oblasti efektivní ochrany databáze Základní zabezpečení dat Monitorování a audit Aktivní blokování přístupu Ochrana před privilegovanými uživateli Testy zranitelnosti Identifikace koncových uživatelů Ne vše lze řešit pouze prostředky Informixu...... řešením je nasazení InfoSphere Guardium 8
Co je InfoSphere Guardium? Kolektor Neinvazivní zařízení, které prosazuje dodržování politik, žurnáluje databázové aktivity a spouští reporty a auditní procesy S-TAP sonda Na databázích nezávislá SW komponenta, která posílá monitorované databázové aktivity do kolektoru pro další analýzu a případné žurnálování 9
Základní zabezpečení dat Přidělení přístupových práv na databázové objekty (GRANT, REVOKE) Kontrola přístupových práv k instalačním adresářům, konfiguračním souborům, spustitelným modulům a datovým úložištím Šifrování síťové komunikace Šifrování dat v položkách Autentizace uživatelů (OS uživatelé, PAM, Kerberos SSO, privátní uživatelé non-root instalace) Label Based Access Control (LBAC) Default role při připojení, definování rolí při trusted context připojení Přidělení práva vytvářet databáze Omezení přístupu k výpisům o prováděných SQL dotazech a relacích ( bezpečný onstat) Zamezení neautorizovanému vytváření uživatelských funkcí Využitítěchto prostředkůje základnía nutnou podmínkou k následnému nasazení dalších řešení, jako např. Guardium 10
Monitorování a audit Prostředky Informixu lze zajistit, ovšem není efektivní Výrazný vliv na výkonnost databáze Neumožňuje aktivní opatření v reálném čase Vyžaduje časově náročnou analýzu sebraných dat (ovšem až po případném incidentu) Výstupy nejsou uloženy bezpečně Neumožňuje dostatečně oddělit role (administrátor vs. auditor) Nelze identifikovat skutečného koncového uživatele ve vícevrstvé architektuře Nekonzistentní v případě použití různých databázových platforem InfoSphere Guardium Má minimální vliv na výkonnost databázových serverů (max 3-5% per CPU) Je nezávislé na privilegovaných uživatelích Dovoluje provádět monitorování a audit v reálném čase Dokáže zamezit přístupu k citlivým datům (databázový firewall) Poskytuje prostředky pro systém varování v reálném čase V reálném čase umožňuje rychle zjistit neautorizované nebo podezřelé aktivity Poskytuje automatizované workflow řešení incidentů Auditní záznamy ukládá bezpečně bez možnosti jejich modifikace Auditní záznamy ukládá v jednotném tvaru pro všechny podporované db platformy Poskytuje audit a monitorování skutečných koncových uživatelů 11
Ochrana před privilegovanými uživateli blokování přístupu (S-GATE) 12
Testy zranitelnosti Celková úspěšnost testu Možnost porovnání s předchozími testy Přehledová tabulka o úspěšnosti testů podle kategorií Podrobný přehled s výsledky testů 13
Identifikace koncových uživatelů (informix) CREATE TRUSTED CONTEXT tcx1 USER newton ATTRIBUTES (ADDRESS 192.168.1.110 ) DEFAULT ROLE AUDITOR ENABLE WITH USE FOR brock WITHOUT AUTHENTICATION, hayes WITH AUTHENTICATION ROLE MANAGER Connection conn=drivermanager.getconnection("jdbc:informixsqli://192.168.1.110:30266/testdb:informixserver=onpriv;user=newton;password=in formix;trusted_context=true"); SET SESSION AUTHORIZATION TO hayes USING user_password ; SET SESSION AUTHORIZATION TO brock ; 14
Identifikace koncových uživatelů (Guardium) Automatické přenesení uživatelské identity InfoSphere Guardium přímo podporuje komerční aplikace jako jsou Oracle EBS, PeopleSoft, SAP a další Guardium API Použití speciálních aplikačních atributů (jako např. uživatelská identita) přenesených do SQL komunikace (dummy SELECT) Takto získané informace kolektor sváže s komunikací aplikačního uživatele Uložené procedury Vhodné v případě, kdy se pro ověření identity používá uložená procedura, která obsahuje v některém argumentu identitu uživatele Jméno uživatele se extrahuje a sváže s komunikací S-TAP sonda na aplikačním serveru Uživatelská identita se získá např. z přihlašovací webové stránky 15
InfoSphere Guardium licencování Produktovářada DAM Standard (Basic) DAM + App User + Enterprise Integrator + Classification DAM Advanced DAM + App User + Enterprise Integrator + Classification + S-GATE VA Standard (Basic) Vulnerability Assessment + Database Protection Subscription + Enterprise Integrator + Classification VA Advanced Vulnerability Assessment + Database Protection Subscription + Enterprise Integrator + Classification + CAS + DB Entitlement Reports Central Management and Aggregation Pack CM & Agg + Advanced Workflow Provozní komponenty Standalone Federated Forma dodávky řešení fyzická appliance Plně nainstalovaný IBM Intel x-server softwarová appliance Instalační balíček HW dle výběru, ale podle přesně stanovených předpokladů Možnost využití virtualizace 16
Jan Musil jan_musil@cz.ibm.com 17