Управление безопасностью СУБД Мониторинг • Аудит • Защита Guardium 7 1 Guardium 7 Содержание Решение компании Guardium для защиты баз данных 3 | Решение компании Guardium для защиты баз данных 4 | Преимущества Guardium 7 4 | Возможности Guardium 7 Решение Guardium 7 предоставляет возможность эффективно управлять безопасностью баз данных вашего предприятия в режиме реального времени, а также автоматизировать процесс приведения баз данных в соответствие с требованиями по безопасности (PCI-DSS, SOX и др.). 6 | Оценка уязвимостей и принятие мер 7 | Обнаружение и классификация критических данных 7 | Мониторинг и защита информации 8 | Аудит и отчетность Решение включает в себя механизмы по сбору и анализу данных, формированию отчетности, политик безопасности, а также защищенное хранилище для собираемых данных. 9 | Масштаб, соответствующий Вашей компании 11 | Решение для гетерогенных сред Крупнейшие мировые компании доверили Guardium защиту своей критической информации. К такой информации относятся данные о заказчиках, клиентах, различная финансовая и бизнес-информация, хранимая в корпоративных базах данных. 12 | Мониторинг доступа из приложений 12 | Политика лицензирования 14 | О компании Guardium В рамках поставки Guardium 7 осуществляется: Управление безопасностью СУБД 1 Предпроектное обследование ИТ–инфраструктуры 2 Возможность проведения пилотного проекта (установка Guardium 7 в инфраструктуру Заказчика и тестовое использование для проверки функциональности) 3 Быстрое внедрение Guardium 7 (от двух недель) 4 Возможность локализации продукта 5 Сервисная поддержка программно-аппаратного комплекса Guardium 7 Guardium 7 Преимущества Guardium 7 u Guardium 7 предотвращает несанкционированный доступ к базам данных, пресекает подозрительные действия пользователей, в том числе администраторов, и фиксирует в едином хранилище данных всю информацию о событиях безопасности. Guardium 7 также позволяет отслеживать неправомерные действия со стороны конечных пользователей бизнес-систем Oracle E-Business Suite, PeopleSoft, SAP, Business Objects, а также систем собственной разработки. u Архитектура Guardium 7 позволяет использовать его в территориально-распределенных информационных сетях, позволяя контролировать базы данных и анализировать события безопасности на крупных предприятиях в режиме реального времени. u Guardium 7 оказывает минимальное влияние на производительность информационных систем и не вносит каких-либо изменений в функционирование СУБД. В своей работе решение не использует штатные средства СУБД для анализа информации о работе баз данных, тем самым обеспечивая независимость и достоверность собираемой информации. u Guardium 7 предоставляет сильнейшее в своем классе средство автоматизации процесса аудита и отчетности, включающее в себя более 100 готовых отчетов, основанных на установившейся практике в области информационной безопасности, а также собственном опыте компании Guardium. Отчеты помогают привести базы данных в соответствие с требованиями стандартов SOX, PCI-DSS и др., а также в соответствие с национальными, международными и корпоративными требованиями. безопасности, которые позволят обеспечить автоматическую защиту найденной критической информации. Политики безопасности гарантируют, что просмотр и/или изменения критической информации производятся только пользователями, имеющими на это право. Обнаружение критической информации производится в соответствии с заданным расписанием или по запросу администратора Guardium 7. Это минимизирует риски атак на информацию, а также увеличивает гарантии того, что система управления безопасностью охватила критическую информацию из всех баз данных организации. • Обнаружение баз данных, бизнес-приложений, пользователей • Обнаружение и классификация критической информации • Система эскалации уведомлений о событиях безопасности Обнаружение и классификация • Управление движением документов между пользователями (отчеты, политики и пр.) принятие мер Критическая инфраструктура данных • Централизованное управление • Отчеты о соответствии требованиям и стандартам оценка и аудит и отчетность • Защищенное хранилище данных аудита • Оценка уязвимостей • Оценка конфигураций • Контроль и оценка функционирования на основе определенного базового состояния • Реагирование на события безопасности на основе политик • Обнаружение аномалий (расхождений с базовым состоянием) мониторинг • Информация о событиях и защита безопасности в режиме реального времени • Интеграция с SEIM-системами • Гибкая система отчетности и уведомлений о событиях безопасности Возможности Guardium 7 Как правило, самыми сложными задачами в области защиты баз данных являются: Guardium 7 решает следующие задачи: U Организация процесса использования баз данных компании, содержащих критичную u Мониторинг событий безопасности СУБД в режиме реального времени; информацию; u Автоматическое обнаружение и классификация критической информации в базах данных; U Контроль доступа к базам данных с критической информацией со стороны бизнесприложений, информационных систем, а также обслуживающего персонала (администраторов баз данных) и бизнес-пользователей; u Управление изменениями на уровне схем данных и конфигураций СУБД; u Детализированная отчетность по всем событиям безопасности и операциям пользователей СУБД; U Защита информации, критичность которой не определена; U Управление рисками информационной безопасности; U Обеспечение требований и стандартов по информационной безопасности в ситуации, когда не ясно, какие базы данных являются предметом регулирования. Используя Guardium 7, можно настроить автоматическое обнаружение, локализацию и классификацию информации, содержащей конфиденциальные сведения. Признаки критической информации могут использоваться для формирования собственных политик u Выявление и оценка уязвимостей СУБД, проверка конфигураций СУБД; Bell Integrator u Организация защиты СУБД на основе политик безопасности, позволяющих контролировать доступ к критической информации, действия пользователей, изменения в информационных базах, а также любые другие произвольные события (например, неудачные попытки входа в систему); u Построение иерархической системы защиты СУБД; u Единое хранилище собираемых данных; Управление безопасностью СУБД Guardium 7 u Централизованное управление системой защиты СУБД (управление из единой консоли); u Масштабируемость (от баз данных малого и среднего бизнеса до баз данных крупных предприятий с территориально-распределенными филиалами); u Упрощение прохождения аудита на соответствие требованиям по безопасности (корпоративные стандарты, требования российского и международного законодательства, стандарты SOX, PCI-DSS и т.п.). Оценка уязвимостей и принятие мер Обнаружение и классификация критических данных Автоматическое обнаружение критической информации По мере роста баз данных организации администраторам становится все сложнее и сложнее своевременно реагировать на появление новой критической информации. Постоянные изменения в базах данных и бизнес-приложениях, необходимые для соответствия бизнестребованиям, могут легко нарушить существующие политики безопасности. Оценка уязвимостей СУБД Мониторинг и защита информации Guardium 7 сканирует ИТ-инфраструктуру организации, выявляет базы данных, содержащие критическую информацию и производит анализ их уязвимостей. О выявленных уязвимостях система выдает подробный отчет. При составлении отчета используются как текущая, так и историческая информация о состоянии сканируемых баз данных. Использование политик безопасности Guardium 7 содержит библиотеку с готовыми тестами основанными на мировом опыте отрасли информационной безопасности и тестами типичными для различных платформ СУБД. Библиотека тестов регулярно обновляется через службу подписки Guardium в рамках сервисного обслуживания продукта. Для проверки баз данных на соответствие специальным требованиям могут создаваться собственные тесты. Модуль оценки уязвимостей позволяет сканировать уязвимости в соответствии с требованиями стандартов по безопасности. Например, контроль неавторизованного доступа к внутренним таблицам систем Oracle E-Business Suite или SAP для соответствия требованиям стандартов SOX и PCI-DSS. Тесты уязвимостей, входящие в состав решения Guardium 7, разделяются на две категории: U U тесты уязвимостей конфигураций СУБД, определяющие неустановленные патчи, неправильно настроенные права доступа, роли, незаблокированные системные учетные записи и т.п.; тесты функционирования СУБД, основанные на анализе исторической информации о работе баз данных (способы обращений, административные команды, время работы и пр.). Детализированный отчет о состоянии баз данных включает в себя сравнения полученных параметров со взвешенными значениями метрик, основанными на установившейся практике отрасли информационной безопасности, а также рекомендации по устранению уязвимостей. Анализ базового состояния После выполнения рекомендуемого Guardium 7 плана по устранению уязвимостей определяется базовое состояние защищаемых СУБД. С помощью модуля CAS (Change Audit System) отслеживаются все изменения базового состояния, а производимые действия не выходят за рамки разрешенных в соответствии с политиками безопасности. Bell Integrator Для предотвращения неавторизованных или подозрительных действий со стороны пользователей, а также для предотвращения мошеннических действий извне решение Guardium 7 использует политики безопасности. Политики безопасности ограничивают доступ к базам данных или конкретным таблицам на основе различной информации: учетные данные пользователей, IP-адреса, MAC-адреса, сетевые протоколы, типы SQL-команд, бизнес-приложения, из которых осуществляется доступ, время суток и пр. Guardium 7 включает в себя конструктор для интуитивно понятного создания политик безопасности. Guardium 7 обеспечивает мониторинг активностей конечных пользователей бизнесприложений, работающих через трехзвенную архитектуру (приложения, использующие единую сервисную учетную запись в СУБД для доступа к базам данных с использованием пула соединений). Среди таких бизнес-приложений могут быть Oracle E-Business Suite, PeopleSoft, Siebel, SAP, а также приложения собственной разработки, основанные на серверах приложений IBM WebSphere, BEA WebLogic, Oracle Application Server. Управление Guardium 7 осуществляется персоналом службы информационной безопасности без привлечения администраторов баз данных, тем самым обеспечивается достоверность и независимость получаемых данных. Непрерывный контекстный анализ всего трафика СУБД Guardium 7 отслеживает весь трафик СУБД в режиме реального времени с помощью запатентованных средств лингвистического анализа, основанных на детальном просмотре контекстной информации вида «кто, что, где, когда и как» по каждой SQL-транзакции. Это позволяет обнаружить неавторизованные и несанкционированные действия. Такой подход минимизирует число ложных срабатываний политик безопасности, обеспечивая беспрецедентный уровень контроля по сравнению с традиционными подходами, которые обнаруживают уязвимости только по предопределенным шаблонам. Управление безопасностью СУБД Guardium 7 Базовое состояние конфигурации Guardium 7 устанавливает базовое состояние конфигураций СУБД, позволяющее выявить неавторизованные и потенциально опасные действия или процессы. Политики безопасности поддерживают базовое состояние и пресекают опасные действия, например, атаки вида SQLInjection. Созданные политики безопасности легко изменяются администратором Guardium 7 с помощью интуитивно-понятного интерфейса. Проактивная защита в реальном времени Guardium 7 предоставляет широкий набор средств для упреждающего реагирования на неавторизованные или аномальные действия. Политики безопасности могут включать в себя предупреждения в режиме реального времени (SMTP, SNMP, Syslog), блокировки (посредством пакета TCP Reset или разрыва соединения с базой данных на сервере СУБД, полное протоколирование событий и другие настраиваемые администраторами Guardium 7 действия с базой данных на сервере СУБД), полное протоколирование событий и другие настраиваемые администраторами Guardium 7 действия (например, автоматическая блокировка учетных записей, отключение портов VPN и пр.). Отслеживание и разрешение инцидентов безопасности Регулирующие законы и стандарты в области информационной безопасности требуют от организаций своевременной регистрации инцидентов, их своевременного анализа, эскалации и разрешения. Guardium 7 представляет средство для управления инцидентами безопасности, охватывающее весь процесс работы с инцидентами - от автоматической регистрации до разрешения. Средства включают в себя графический интерфейс для отслеживания инцидентов и гибкую систему отчетности для просмотра и контроля инцидентов безопасности. u хранимые процедуры, созданные на языках, специфичных для платформы СУБД (например, PL/SQL у Oracle или SQL/PL у IBM); u XML-команды, выполняемые СУБД. Одна из лучших своем классе отчетность Решение Guardium 7 предоставляет более 100 готовых отчетов, основанных на установившейся практике в области информационной безопасности, а также собственном опыте компании Guardium. Отчеты помогают привести базы данных в соответствие с требованиями стандартов SOX, PCI-DSS и др., а также в соответствие с национальными, международными и корпоративными требованиями. Работа с отчетами в Guardium 7 производится посредством графического интерфейса. Guardium 7 включает в себя механизмы автоматической рассылки отчетов заинтересованным лицам по электронной почте в формате PDF или в виде HTML-страниц. Также отчеты могут быть просмотрены в режиме онлайн через web-интерфейс Guardium 7. Возможна выгрузка отчетов во внешние системы (например, в SIEM-системы) или конвертация в различные форматы (например, CSV, MS Excel). Автоматизация процесса соответствия стандартам Guardium 7 упрощает рабочий процесс по приведению баз данных в соответствие с требованиями стандартов по безопасности с помощью подробных отчетов и политик безопасности, наличие которых необходимо для соответствия. Масштаб, соответствующий Вашей компании Аудит и отчетность Контроль активностей Решение Guardium 7 контролирует все активности, связанные с информационными базами организации. Результаты анализируются в режиме реальном времени для обеспечения проактивного управления защитой баз данных, после чего генерируется необходимая отчетность для различных подразделений организации, в том числе для отдела информационной безопасности. Эффективность: 100% транзакций СУБД, включая команды администраторов СУБД, контролируются Guardium 7 Стабильность: решение Guardium 7 не требует изменений информационной структуры и не оказывает влияние на производительность СУБД Универсальность: поддержка известнейших платформ СУБД Независимость данных: Guardium 7 не использует данные штатных средств аудита СУБД Законченное исполнение: решение поставляется в виде сервера 1U под управлением специальной версии операционной системы Linux Различные способы мониторинга: легковесные агенты на хостах СУБД, SPAN-порты, сетевые TAPустройства Возможность интеграции: поддержка протоколов и технологий SNMP, SMTP, Syslog, LDAP, Kerberos, RSA SecurID ®, систем управления изменениями (например, BMC Remedy), SEIM-платформ С помощью отчетов могут быть отслежены: u различные исключения, например, ошибки SQL или неудачные попытки входа в бизнессистемы; u команды, изменяющие структуры баз данных - DDL (create, drop, alter); u запросы на выборку данных (select); u команды DML (insert, update, delete), включая команды со связанными переменными(bind variables); u команды DCL (grant, revoke), управляющие учетными записями, их ролями и правами доступа; Bell Integrator Управление безопасностью СУБД Guardium 7 Многоуровневая архитектура: автоматическая агрегация и нормализация информации из различных информационных систем и месторасположений в единое централизованное хранилище данных Guardium 7 Централизованное управление: управление решением производится через единую WEB-консоль Масштабируемость: для увеличения числа контролируемых СУБД или объема трафика СУБД устанавливается дополнительная аппаратная платформа Guardium 7 Защищенное хранилище данных: мощные механизмы аутентификации, отсутствие доступа администраторов баз данных на сервер Guardium, шифрование архивов, содержащих данные аудита Поддержка ролей: доступ к данным Guardium 7 настраивается в соответствии с организационными ролями организации S-TAP – это легковесный программный агент, устанавливаемый на серверы СУБД и отправляющий данные о состоянии СУБД на серверы Guardium (G2000, G3000). Используя механизмы межпроцессного взаимодействия (именованные каналы и разделяемая память), агент S-TAP перехватывает весь трафик СУБД, включая трафик локального доступа администраторов баз данных, а также трафик, передаваемый в зашифрованном виде. Анализ трафика и генерация отчетов производится уже на сервере Guardium, поэтому агент S-TAP не загружает процессор сервера СУБД (средняя загрузка около 2-3%). Guardium 7 поддерживает захват трафика через SPAN-порты, но, в отличие от сбора информации при помощи агентов, такие способы сбора не позволяют контролировать локальный доступ пользователей и зашифрованные транзакции. Z-TAP – версия агента, разработанная для мейнфреймов IBM под управлением операционной системы z/OS. Агрегаторы Guardium (G5000) объединяют собранные данные аудита со всех подчиненных серверов Guardium. Агрегаторы могут располагаться на разных уровнях иерархической архитектуры и являться подчиненными по отношению к центральному агрегатору. Локальный контроль S-TAP – легковесный программный агент, работающий на уровне ядра операционной системы. Агент S-TAP предназначен для контроля трафика СУБД, передаваемого по сети через механизмы межпроцессного взаимодействия. Масштабируемая архитектура Масштабируемость Guardium 7 позволяет использовать его как для небольших организаций, так и для крупных предприятий, имеющих территориально- распределенную информационную структуру. Решение управляется посредством единого WEB-интерфейса, а информация со всех агентов Guardium (S-TAP, Z-TAP) хранится в централизованном хранилище. S-TAP самостоятельно осуществляет перехват SQL-трафика и не использует информацию штатных журналов СУБД. Выбор архитектуры с использованием агентов S-TAP часто является предпочтительным, т.к. не требует наличия сетевых устройств со SPAN-портами, а также не требует установки серверов Guardium 7 на всех удаленных расположениях. Решение для гетерогенных сред Поддержка известнейших платформ СУБД Guardium 7 поддерживает все наиболее распространенные платформы СУБД. Название СУБД 10 Bell Integrator Поддерживаемые версии Oracle 8i, 9i, 10g, 11g Microsoft SQL Server 2000, 2005, 2008 IBM DB2 UDB 8, 9 IBM DB2 для z/OS 7, 8 IBM Informix 7, 8, 10, 11 Sybase ASE 12, 15 Sybase IQ 12.6 MySQL 4, 5 Teradata 6 Управление безопасностью СУБД 11 Guardium 7 Операционная система Поддерживаемые версии Лицензирование Guardium 7 основывается на количестве процессоров контролируемого сервера СУБД и уровне проводимого аудита, которые определяются перед внедрением. Существуют три уровня аудита инфраструктуры баз данных: Microsoft Windows NT – 32 bit, 2000, 2003 – 32 и 64 bit Sun Solaris (SPARC) 6, 8, 9, 10 – 32 и 64 bit Sun Solaris (Intel/AMD) 10 – 32 и 64 bit u мониторинг активности привилегированных пользователей, аудит всей активности; IBM AIX 5.1, 5.2, 5.3 – 32 и 64 bit, 6.1– 64 bit u мониторинг всех сессий, аудит критичных объектов; HP-UX 11.00, 11.11 – 32 и 64 bit 11.23, 11.31 PA-RISC – 32 и 64 bit 11.23, 11.31 IA64 - 64 bit Red Hat Enterprise Linux 2, 3, 4, 5 – 32 и 64 bit SUSE Linux Enterprise 9, 10 – 32 и 64 bit Tru64 5.1A, 5.1B – 64 bit u мониторинг и аудит всех активностей и данных в инфраструктуре баз данных. Окончательная стоимость лицензий вычисляется индивидуально для каждого проекта по внедрению Guardium 7. Дополнительные программные модули U Модули мониторинга доступа пользователей из информационных систем: | Business Objects Web Intelligence; Мониторинг доступа из приложений | Oracle E-Business Suite; Guardium 7 выявляет потенциально опасные и мошеннические действия пользователей бизнес-приложений, работающих через трехзвенную архитектуру, при которой все бизнеспользователи используют для связи с бизнес-приложениями единую учетную запись СУБД, скрывающую данные о конечном пользователе. Guardium 7 поддерживает наиболее распространенные бизнес-системы. Кроме того, Guardium 7 предоставляет механизмы по интеграции с бизнес-системами собственной разработки, основанными на поддерживаемых серверах приложений. Поддерживаемые корпоративные информационные системы Поддерживаемые серверы приложений | SAP R/3; | Siebel. U Модуль интеграции с системами хранения данных для выгрузки архивов данных аудита (включает коннекторы для EMC Centera и IBM Tivoli Storage Manager). U Модуль центрального управления (для построения иерархической системы с централизованным управлением). U Система контроля изменений CAS (Change Auditing System), служащая для мониторинга • Oracle E-Business Suite • PeopleSoft • Siebel • JD Edwards • SAP • Business Objects Web Intelligence изменений различных объектов окружения СУБД (файлы, переменные окружения, выводы команд и пр.). U Модуль автоматизации движения документов и инцидентов для соответствия требованиям стандартов: | Отчеты для соответствия требованиям Data Privacy; • IBM WebSphere • BEA WebLogic • Oracle Application Server • Microsoft .NET • JBoss Enterprise Application Platform | Отчеты для соответствия требованиям PCI-DSS; | Отчеты для соответствия требованиям SOX. U Классификатор содержимого баз данных – модуль, служащий для обнаружения местонахождения и классификации критичных данных и автоматического применения к ним политик для соответствующих им классов. U Коннектор к внешним источникам данных – позволяет включать в отчеты и политики Политика лицензирования Guardium необходимую информацию из внешних источников данных. U Модуль оценки уязвимостей, включает: автоматическое обнаружение новых серверов Стоимость решения Guardium 7 складывается из: СУБД, оценку уязвимостей СУБД, их конфигураций и поведения. [ cтоимости аппаратного обеспечения (серверы Guardium); [ cтоимости необходимых программных модулей Guardium. 12 | PeopleSoft; U Модуль слежения за неструктурированным трафиком (сбор информации с файловых ресурсов ОС Windows (File Shares) и FTP). Bell Integrator Управление безопасностью СУБД 13 Guardium 7 О компании Guardium Компания Guardium специализируется на решениях по защите СУБД. Решения компании Guardium используется более чем в 350-ти центрах обработки данных, а также в ведущих компаниях по всеми миру. Основанная в 2002 году, Guardium была первой в мире компанией, производящей решения для устранения уязвимостей в защите баз данных бизнес-систем в режиме реального времени. Компания Cisco – стратегический инвестор Guardium. Guardium – партнер компаний Oracle, Microsoft, IBM, Sybase, BMC, EMC, RSA, Accenture, NetApp, McAfee и NEON. Является членом IBM Data Governance Council и PCI Security Standards Council. 230 Third Avenue Waltham. MA 02451 USA T: +1 781 487 9400 F:+l 781 487 7900 www. guardium .com 14 Bell Integrator Управление безопасностью СУБД 15 Москва, Старопетровский проезд 7а, корпус 1 16 тел.: +7 (495) 981-6182 факс: +7 (495) 981-6183 info@bellintegrator.ru www.bellintegrator.ru Bell Integrator