数据库安全解决方案介绍.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,1,*,Imperva,中国,资深技术顾问,刘沛旻,Peimin.liu,Imperva,数据库安全解决方案介绍,议程,Imperva,公司简介,Imperva,数据库安全解决方案,数据库安全最佳实践方法,部署方案,案例分享,Imperva,公司简介,-CONFIDENTIAL-,3,Imperva,简介,成立于,2002,年,Imperva,公司创始人,Shlomo Kramer（,全世界对安全影响最大的,20,人之一，原,CheckPoint,创始人）,总部在美国，研发中心在以色列,在美国,欧洲,日本,中国,台湾分别设有分公司或办事处,Forrester,和,Gartner,均认定,Imperva,是,数据安全和合规产品领域的领导者,四千多个用户，其中很多客户为财富,500,公司,:,客户遍及银行,保险,各种,电信,分销,电子商务,电器制造,信息科技等多种行业,“Imperva is helping us protect the security and privacy of customer data,and gain unprecedented visibility into who is accessing this critical operational system.”,Imperva,被公认为行业的领导者,Imperva exceeds IDCs viability assessment,for strategic direction,growth and market potential,.(Feb 2010),Some DAM vendors take an,enterprise wide view of all data,structured and unstructured that exists in the core of the typical enterprise and addresses the protection of that data throughout its life,including identification,risk assessment,access controls and controls enforcement across all data storage platforms.This approach,is best characterized by Impervas offering,which considers DAM as a component of a data protection and risk management function.”,Jeff Wheatman,June 2010,“,The product set makes a strong case for itself as a leading contender in this market space.”,(April 2010),“Imperva is the leader in the stand alone WAF market.”,(,Feb 2010),Imperva SecureSphere,Data Security Suite,访问审计,访问控制,权限管理,攻击保护,名誉机制控制,虚拟补丁,Imperva,应用数据安全解决整体方案,Hackers,Insiders,6,Imperva SecureSphere,产品系列,相同的硬件平台,统一管理界面,统一分析引擎,统一报告系统,统一的报警机制,多种部署方案,硬件设备,虚拟设备,Agent,部署,7,Imperva,数据库安全解决方案,-CONFIDENTIAL-,8,Imperva,数据库安全解决方案,审计,对敏感数据的,所有访问,包括特权用户以及各种应用程序用户,上述需求在,PCI 10,SOX,HIPPA,等法案中都有明确的规定,实时警告或,拦截数据库攻击,和未授权的活动,包括协议层的攻击,检测并以,虚拟方式修补数据库漏洞,识别越权用户和休眠用户,，启动完整的权限审计周期,汇聚网络上所有的,DB,用户访问权限进行完整审计,减少对业务敏感数据层的访问,(PCI 7,要求,),利用,先进的分析功能,，加快事件响应和取证调查,9,-CONFIDENTIAL-,10,设定策,略和控,制,自动和快速的设定策略,灵活的根据应用变化而变化,根据实际情况进行配置策略和控制,监控,和执行,保证权限分离,保证最终用户的行为可被记录,记录所有的访问细节,提供各个层面的安全保护,实时的告警,/,阻塞,衡量报告,内置的合规性报告,方便的数据查找,安全事件的详细分析,现状评估,根据标准和最佳实践测试数据库是否合理配置,评估固有的安全隐患,发现谁在使用数据库、他们在,干什么,最佳数据库安全实践方法,IMPERVA,提供数据安全,整个生命周期,的完整解决方案,-CONFIDENTIAL-,现状评估,11,自动发现服务器和关系数据库,系统,(,RDBMS,）,:,是否有没有授权的服务器被临时被架设,在个人电脑上有复制的数据库系统,没有授权的服务,(Web,SOA),自动发现敏感数据,个人信息,(email,SSN),财务数据,(CC numbers),其他信息,(s,ystem userid,password.),分类和校验敏感数据,:,例如,:,并不是所有的,9,位数字,都是敏感的内容,:,Zip+4,SSN,Account number.,-CONFIDENTIAL-,现状评估：,服务器,数据库和数据的发现,12,-CONFIDENTIAL-,现状评估：服务器和数据库配置,降低因为不良的配置带来的风险,可鉴别潜在的威胁和漏洞,可进行风险管理和响应,漏洞评估,系统配置问题,软件缺陷,用户、角色、权限的问题,Application Defense Center(ADC),行业中知名的安全研究团队,一直确保,Imperva,产品的安全信息最新,13,现状评估：,为什么评估行为很困难,?,Regulations,(Few),Databases,(Tens),Applications,(Hundreds),Users,(Hundreds To Thousands),TablesObjects,(Thousands),Constant Changes!,一个精确的使用模型必须研究,成千上万个动态元素,用户元素,源应用，工作计划，,IP,地址,行为方式,SQL,查询，,SQL,表，存储过程，等等,如果是手工来建模,太复杂了,一个基于行为模型的解决方案必须可以,持续的创建和更新,用户的行为模型，而无需人工干预,!,动态建模,Dynamic,Profiling,14,-CONFIDENTIAL-,-CONFIDENTIAL-,现状评估：,SecureSphere,动态建模（,Dynamic Profiling,）,自动化的数据使用评估,动态建模创建了用户的使用模型,基于用户的使用模型基于每一个,DB,用户或者,DB,用户组来生成,DB&schemas,的访问情况,对象的查询,标亮敏感数据和黑名单对象的访问,DML,操作情况,用户模型将完整的反应用户的使用习惯,源,IP,地址和用户,使用的应用程序,操作系统的系统账号,15,Web,usage,profile,-CONFIDENTIAL-,设定策略和控制,Scope,16,-CONFIDENTIAL-,策略类型,OS,Level Protection,防火墙规则,网络协议签名,RDBMS,Level Protection,RDBMS,系统管理,操作,(DDL,DCL),审计特权账号活动,Data,Level Protection,应用签名,关联规则,动态建模 规则,用户活动审计,(DML),17,设定策略和控制,设定策略和控制：,精细的预置策略和自定义策略,提供丰富的预定义安全策略和审计策略列表,自定义策略，完全可满足用户的各种自定义需求,18,-CONFIDENTIAL-,Regulations,(Few),Databases,(Tens),Applications,(Hundreds),Users,(Hundreds To Thousands),TablesObjects,(Thousands),Constant Changes!,动态建模,Dynamic,Profiling,设定策略和控制：,持续更新的策略,Dynamic Profiling,策略,环境持续变化,提供,精准的用户模型策略,监控每一种元素的变化,:,网络、应用、,schemas,、对象、用户等等,无需人工创建,动态建模,Dynamic Profiling,持续,创建和更新，,无需人工干预,!,19,-CONFIDENTIAL-,设定策略和控制,动态建模,Dynamic Profiling,自动跟踪各种变更,为用户将部署策略时间从几个月缩短到几天,减轻了持续维护的负担,每周,5-15,个变更意味着,5-30,人小时的维护工作,DEPLOYMENT DAYS,PROFILE CHANGES,学习应用和数据的使用,适应应用的持续变化,20,-CONFIDENTIAL-,-CONFIDENTIAL-,监控和执行,Scope,Tamper-Proof Audit Trail,Real-Time Protection,Monitor,21,-CONFIDENTIAL-,Q,A,监控和执行：,SecureSphere,数据库监控方法,22,通过检查,网络上的实时数据流量,通过网关或者,agents,捕获,所有到达数据库的网络流量,(,每个网关最大可分析,2GBps,流量,!),可分析网络协议，获取,SQL,命令,:,DML,DDL,TCL,DCL,命令,存储过程调用,绑定参数等等,.,也可以通过分析,TCP,数据包，发现针对,OS,和,RDBMS,操作的攻击,s:,蠕虫,DoS,攻击，等等,.,-CONFIDENTIAL-,监控和执行：,全局用户跟踪（,Universal User Tracking,）,-,识别真实用户,直接用户追踪,DB Username+OS Username+Hostname+IP+Application,Web to DB User,追踪,SQL,连接用户追踪,无需重写应用程序或者数据库代码,!,No,real user,Knowledge,alex,W,End-to-end,real userKnowledge,alex,Limited,real user,Knowledge,alex,W,SELECT WHERE,ID=,alex,Shared&dedicated DB user connections,End-to-end,real userKnowledge,alex,SELECT WHERE,ID=,alex,23,监控和执行：,实时警告和策略阻止,实时监控和策略执行,识别超出基线的违规操作,基于策略违规情况智能警告,提供立即响应或者修复措施,24,-CONFIDENTIAL-,监控和执行：,实时阻止另一案例,25,-CONFIDENTIAL-,-CONFIDENTIAL-,监控和执行：,持续记录详细的审计信息,SecureSphere,可实现自动化的持续详细审计,可方便的识别,/,分类,DML/DDL,访问,/,变更,数据,标记敏感数据的访问,特殊的对象分组,审计完整的交易详细记录,26,What are the complete details?,详细的审计记录,SecureSphere,自动的将审计日志的各个要素关联在一起,CONFIDENTIAL-Imperva,When?,Where?,Who?,完整的审计记录,What,?,How?,Who?,捕捉最终的用户信息,Alex,通过,Web,表当获取用户信息,Alex,通过企业应用获取用户信息,(from SQL Stream),ID,=,Alex,Alex,ROOT,捕获共享账号后的真实用户信息,Mark,Mark,What?-,完整的审计记录,用户最终看到了什么,?,审计数据库的响应内容,-CONFIDENTIAL-,29,数据库相应内容,Mark,Mark,监控和执行：,查询响应的完整审计,审计数据库查询的返回响应信息,例如,:,用户在调用存储过程“,sp_Get_Products_By_Deps,”后得到的结果是什么,?,-CONFIDENTIAL-,30,Order in response,Response Data,监控和执行：,审计独立性,审计的独立性,SecureSphere,管理系统是和数据库以及服务器的管理系统独立的,:,SecureSphere,是独立的网关设备,或者是基于主机,Agent,采用远程无代理方式监视,审计日志可防止篡改,可基于角色进行系统访问控制,签名加密方式保存,可方便的生成各种报告,31,-CONFIDENTIAL-,-CONFIDENTIAL-,衡量报告,32,-CONFIDENTIAL-,33,衡量报告：,内建报告模板,More examples,衡量报告：,动态审计分析,-CONFIDENTIAL-,提供实时审计数据的全面分析功能,提供了最终审计数据的分布和趋势情况分析视图,帮助用户分析审计结果,系统管理视图和统计信息,34,-CONFIDENTIAL-,衡量报告：,审计后续管理流程,实施签收流程,修正管理流程,复查,DB&OS,完整性,SQL,异常和其他错误处理,角色,/,职责管理,公司内,/,公司外业务流程,任何新的访问,修改访问方式,基于任务的工作流,incidents,事件分配,设定所有者、有效期、状态,可将报告附加到任务上,邮件通知事件状态变更情况,35,衡量报告：,广泛的安全合作伙伴,-CONFIDENTIAL-,36,SIEM,系统集成,:,可将数据库安全事件、告警、审计日志发送到,SIEM,系统中,(,例如，,ArcSight,等,),增强了,SIEM,系统对数据库安全信息的感知，集中在统一界面中，并可和其他安全事件相关联。,变更系统和事件管理系统集成,:,将告警信息发送到第三方系统,例如：在变更系统中自动创建一个修复任务,双向扫描系统集成,More details,SecureSphere,可集成多种第三方安全解决方案，构成更为有效的安全生态环境,-CONFIDENTIAL-,37,设定策,略和控,制,自动和快速的设定策略,灵活的根据应用变化而变化,根据实际情况进行配置策略和控制,监控,和执行,保证权限分离,保证最终用户的行为可被记录,记录所有的访问细节,提供各个层面的安全保护,实时的告警,/,阻塞,衡量报告,内置的合规性报告,方便的数据查找,安全事件的详细分析,现状评估,根据标准和最佳实践测试数据库是否合理配置,评估固有的安全隐患,发现谁在使用数据库、他们在,干什么,最佳数据库安全实践方法,IMPERVA,提供数据安全,整个生命周期,的完整解决方案,部署方案,Light host-based agents,灵活的部署方式,透明桥接,可支持阻断,高性能，低延迟,Fail-open,网卡,旁路监听,采用流量镜像方式，零延迟,轻量级主机,agents,本地模式,:,监控本地特权访问,全局模式,:,监控所有,Switch,SecureSphere,Data Center,SecureSphere,INTERNET,Inline deployment,Sniffing mode deployment,39,-CONFIDENTIAL-,WAF deployment,企业级的覆盖和扩展性,SecureSphere,数据库审计架构,Centralised object-based management with RBACs,Flexible online/offline data retention,No batched replication,Distributed data query&storage,Best-in-class TPS analysis for major commercial DBs,SPAN,TAP or Bridge for network coverage,Low impact DB Agents for local or remote DB access,E-Business Suite,Imperva SecureSphere,产品线,产品型号,X2500,X4500,X6500,吞吐量,500Mb/Sec,1Gb/Sec,2Gb/Sec,硬盘,2*500MB,2*1TB,2*1TB,尺寸,2U,2U,2U,部署模式,旁路，桥接,旁路，桥接,旁路，桥接,最大侦听接口数,5,9,9,最大桥接网段数,2,4,4,管理接口,1,1,1,高可靠性,故障短接,(Fail Open),IMPVHA,VRRP,故障短接,(Fail Open),IMPVHA,VRRP,故障短接,(Fail Open),IMPVHA,VRRP,集成管理模块,有,有,无,硬件冗余,可选,可选,有,案例分享,-CONFIDENTIAL-,42,Imperva SecureSphere,荣誉,43,SQL Server Magazine Editors Best Award,“SecureSphere gives you complete visibility and control over your database applications”,Techworld 2008 Network Application Product of the Year,“SecureSphere has been named winner for Network Application Product of the Year”,Editors Choice:Database Extrusion Prevention,“Right from the start,Imperva impressed us with its plethora of features”,Imperva Wins eWEEK Excellence Award,“Imperva SecureSpheres in-line protection for both Web applications and communications with back-end databases is simply unmatched.”,Imperva Wins WAF Shoot-Out,“Imperva is the closest thing to a silver bullet for application security”,Editors Choice,Web Application Firewalls,“From beginning to end,Imperva SecureSphere is our kind of WAF”,Rolling Review:Well-Rounded Data Protection,“SecureSphere is a solid product.It is quick to learn user behavior,and it handily blocks known attacks”,Security Magazine Readers Choice Award,“SecureSphere scored well in every criteria:granularity of access controls scalability and management.”,-CONFIDENTIAL-,44,-CONFIDENTIAL-,44,成功案例,Finance,Media/Telco,Healthcare/Insurance,Credit Card,-CONFIDENTIAL-,45,-CONFIDENTIAL-,45,成功案例,Government,eCommerce/Retail,Technology,Other,北京电信,北京移动,黑龙江移动,上海移动,青海电信,新疆电信,江苏电信,江苏,移动,广东移动南方基地,天津电信,-CONFIDENTIAL-,46,Imperva,公司数据安全国内运营商案例,中国电信总部,四川电信,Imperva,公司数据安全国内银行部分案例,招商银行,华夏银行,民生银行,浙商银行,民泰银行,宁波银行,廊坊银行,包商银行,吉林银行,锦州银行,农信银资金清算中心,深圳农商行,通商银行,大连银行,张江港农商行,Imperva,公司数据安全国内证券案例,中信证券,中金证券,上海证券,财富证券,上海证券报,上海证券交易所,中国银河证券股份有限公司,海通证券股份有限公司,申银万国证券股份有限公司,首创证券有限责任公司,华泰证券,国信证券,东吴证券有限责任公司,中银国际证券有限公司,东方证券,国泰君安证券,国信证券,光大证券,民族证券,Imperva,公司数据安全国内基金保险案例,太平洋保险,国泰人寿,上投摩根基金管理有限公司,泰达荷银基金管理有限公司,银河基金,泰达荷银基金管理有限公司,天相投资顾问有限公司,信诚基金管理公司,湘财期货,银联商务,银联支付,奇诺付,Imperva,公司数据安全国内部分案例,中国远洋,中国五矿集团,浙江药监局,中国水力电力科学研究院,深圳国税局,济南国税局,上海房地局,镇海炼化,北京阜外医院,汇丰汇通技术有限公司,智控国际,易贸咨询,展讯科技,-CONFIDENTIAL-,50,中国普天,携城旅行网,易才网,7,天酒店集团,北京考试院,清华大学,北京大学,天津科技大学,中国人民大学,北京语言大学,上海远程大学,Imperva,公司数据安全国内部分案例,上海糖烟酒,上海烟草,上海财政局,上海市卫生局,温州第三人民医院,奥克之家,南方李锦记,北京现代集团,江苏省公安厅,丽水交警,宁波公安,南方电网公司,四川省电网公司,中烟电子商务公司,中国国际电子商务中心,黑龙江社保,国美电器,金蝶软件,固安捷,美特斯邦威,Sony,中国,首秦钢铁公司,杭州钢铁公司,东方钢铁,Thank You,Imperva,Inc.,