СОИБ. Проектирование. Защита баз данных

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(2)
()

В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите баз данных.


Для каких организация и систем наиболее актуальны решения по защите БД:

·        для организаций в которых наиболее ценная информация хранится в БД (в других видах хранится менее ценная информация);

·        для организаций которых ценная информация хранится в БД разных производителей, имеющих разные встроенные возможности безопасности.


Примерами таких организаций являются:

·        кредитные организации;

·        платежные агенты или системы;

·        транспортные компании, например авиакомпании;

·        операторы связи (проводной и мобильной);

·        крупные оптовые и розничные продажи;

·        другие крупные операторы персональных данных;

·        информационные системы критически важных объектов.


Рассмотрим для примера экспресс анализ рисков активов связанных с БД.





Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:

·        Существенно ограничить доступ мы не можем – ведь к нашим приложениям и серверам БД обращается широкий круг пользователей;

·        Межсетевой экран частично может использоваться для нейтрализации 1, 3 угрозы (неактуальных). Но не поможет нам с угрозами 2, 4, 5 и 6 (так как не защищает на уровне приложений);

·        Cистема предотвращения вторжений слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 5, 6 (так как не разбирает запросы пользователей и не понимает ответы приложений и СУБД)

·        Встроенные средства защиты СУБД частично помогут с 4 угрозой . Для 5 и 6 угрозы можно включить детальный аудит событий, но нет встроенных возможностей для их анализа. В разных СУБД возможности могут существенно отличаться – от нулевых и бесплатных до расширенных, но дорогих.

·        Система DLP может использоваться для нейтрализации угрозы 5, но не поможет с остальными.


В данном случае, единственным средством, понижающим риски до приемлемого уровня является специализированное средство защиты баз данных.


Наиболее эффективными примерами таких решений являются: Imperva, IBM Guardium и McAfee Sentrigo (по моему мнению и исследованию Forrester wave: Database auditing and Real-Time Protection Q2’11)


Основные функции таких решений:

·        Оценка уязвимостей СУБД - типы патчей, стойкость паролей, ошибки в конфигурациях, обнаружение проникновений в систему обходными путями, уязвимости кода PL/SQL, неиспользуемые функции;

·        Возможность поиска  и классифицировать различных типов конфиденциальной информации хранящейся в СУБД;

·        Инспекция трафика на сетевом, сервисном и прикладном уровне;

·        Нормализация SQL трафика;

·        Контроль потока SQL-запросов и управление доступом к СУБД на уровне сети;

·        Контроль действий локальных администраторов СУБД;

·        Динамическое профилирование  – создание поведенческого профиля (кто, когда, как, в какое время обращается к данным).  Возможность блокировать трафик, который не укладывается в предварительно настроенный профиль поведения группы пользователей;

·        Отслеживание и корреляция трафика по пользователям, отчеты о действиях пользователей с БД;

·        Блокирование утечки данных через SQL;

·        Автоматическое блокирование трафика атак  (в том числе отдельных сессий);

·        Применение виртуальных патчей;

·        Возможность интеграция со средствами защиты web приложений.


Типовые схемы реализации решений по защите баз данных на примере IMPERVA.

1. Установка inline

2. Установка inline или мониторинг

3. Установка inline, proxy или мониторинг






Оцените материал:
Total votes: 33
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя mikhalev

Совместимо ли данное решение с БД шифрованием на уровне движка СУБД ?

up
25 users have voted.
Аватар пользователя SergeyBorisov

Шифрование при передаче или хранении?

При хранении - нас не затрагивает, так как система контролирует запросы пользователей и ответы сервера.

При передаче - если используется SSL/TLS то система отлично может быть настроена на промежуточную расшифровку.

Если специфический протокол - то скорее всего контролировать взаимодейсвтие не получится. Придется устанавливать агентов на сервер БД и собирать информацию локально.

 

up
11 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.