понедельник, 17 сентября 2012 г.

СОИБ. Проектирование. Защита баз данных


В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите баз данных.

Для каких организация и систем наиболее актуальны решения по защите БД:
·        для организаций в которых наиболее ценная информация хранится в БД (в других видах хранится менее ценная информация);
·        для организаций которых ценная информация хранится в БД разных производителей, имеющих разные встроенные возможности безопасности.

Примерами таких организаций являются:
·        кредитные организации;
·        платежные агенты или системы;
·        транспортные компании, например авиакомпании;
·        операторы связи (проводной и мобильной);
·        крупные оптовые и розничные продажи;
·        другие крупные операторы персональных данных;
·        информационные системы критически важных объектов.

Рассмотрим для примера экспресс анализ рисков активов связанных с БД.




Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:
·        Существенно ограничить доступ мы не можем – ведь к нашим приложениям и серверам БД обращается широкий круг пользователей;
·        Межсетевой экран частично может использоваться для нейтрализации 1, 3 угрозы (неактуальных). Но не поможет нам с угрозами 2, 4, 5 и 6 (так как не защищает на уровне приложений);
·        Cистема предотвращения вторжений слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 5, 6 (так как не разбирает запросы пользователей и не понимает ответы приложений и СУБД)
·        Встроенные средства защиты СУБД частично помогут с 4 угрозой . Для 5 и 6 угрозы можно включить детальный аудит событий, но нет встроенных возможностей для их анализа. В разных СУБД возможности могут существенно отличаться – от нулевых и бесплатных до расширенных, но дорогих.
·        Система DLP может использоваться для нейтрализации угрозы 5, но не поможет с остальными.

В данном случае, единственным средством, понижающим риски до приемлемого уровня является специализированное средство защиты баз данных.

Наиболее эффективными примерами таких решений являются: Imperva, IBM Guardium и McAfee Sentrigo (по моему мнению и исследованию Forrester wave: Database auditing and Real-Time Protection Q2’11)

Основные функции таких решений:
·        Оценка уязвимостей СУБД - типы патчей, стойкость паролей, ошибки в конфигурациях, обнаружение проникновений в систему обходными путями, уязвимости кода PL/SQL, неиспользуемые функции;
·        Возможность поиска  и классифицировать различных типов конфиденциальной информации хранящейся в СУБД;
·        Инспекция трафика на сетевом, сервисном и прикладном уровне;
·        Нормализация SQL трафика;
·        Контроль потока SQL-запросов и управление доступом к СУБД на уровне сети;
·        Контроль действий локальных администраторов СУБД;
·        Динамическое профилирование  – создание поведенческого профиля (кто, когда, как, в какое время обращается к данным).  Возможность блокировать трафик, который не укладывается в предварительно настроенный профиль поведения группы пользователей;
·        Отслеживание и корреляция трафика по пользователям, отчеты о действиях пользователей с БД;
·        Блокирование утечки данных через SQL;
·        Автоматическое блокирование трафика атак  (в том числе отдельных сессий);
·        Применение виртуальных патчей;
·        Возможность интеграция со средствами защиты web приложений.

Типовые схемы реализации решений по защите баз данных на примере IMPERVA.
1. Установка inline

2. Установка inline или мониторинг

3. Установка inline, proxy или мониторинг






6 комментариев:

Артем Агеев комментирует...

Обычно такие решения расчитаны на узкий круг потребителей, и производители, чтобы отбить затраченные деньги, задирают цены на подобные девайсы.

может, стоит приводить стоимость в обзоре? .. если уж изучил вопрос ..

Vair комментирует...

По третье угрозе формулировка у тебя не совсем корректная.
В качестве возможных направлений защиты можно также рассматривать использование встроенных механизмов СУБД (или условно встроенных), н.р. представления, права на уровне строк/рядов, всякие Audit Vault'ы, ролевые модели и пр.

Сергей Борисов комментирует...

Ну я то уж давно в курсе цен, а Микротест так этой темой уже 3 года занимается.
Но, есть такая практика - если производитель не публикует цены на своем сайте, то интегратор тоже не публикует - поэтому подробно расписывать не буду.
Тем более что зависит от вида реализации.
Если кратко - могу сказать что одно из решений в виде аплаенсов стоит от 38000$
Другое решение в виде ПО стоит порядка 2000$ за процессор серверов БД.

В целом решения конечно не дешевые. Но и говорить что производители "задирают цены" тоже некоректно.

Это решения уже не из базового набора, а специализированные под конкретную задачу - защита ценных БД. Так как решение специализированное - производителями приходится много вкладываться в развитие и создание новых уникальных технологий под специальную задачу.

Сергей Борисов комментирует...

vair, справедливые замечания, спасибо.
По встроенным механизмам БД сам хотел их упомянуть но забыл.
В зависимости от СУБД встроенные возможности будут сильно различаться.
В случае с Oracle приобретение расширенных возможностей по безопасности может стоить дороже чем система защиты БД.

doom комментирует...

2 Артем Агеев

А вот не соглашусь. Эти решения достаточно массовые, просто в России не очень популярны - у нас же пока их не включили в "обязательную программу" в части защиты информации.
А вообще, межсетевые экраны для приложений уже достаточно развиты: решения есть для различного бюджета, в том числе, есть Open Source (всем известный mod_security для web и, например, GreenSQL для СУБД).

P.S. Сережа, поправь русский язык в таблице с экспресс-анализом рисков (пункты 5,6 и 7).

Сергей Борисов комментирует...

Коля, спасибо за замечания :) поправил

Наверное, пока российский производитель не сделает такого решения и не пролоббирует во ФСТЭК - они не появятся войдут в "обязательную программу".

Хотя без использования таких средств будет трудно выполнить
п. 15 ПП 781.