数据库安全防护
详细内容

     数据库安全是信息技术领域最具挑战性的课题之一。企业数据库中的信息作为一种战略资源,需要严格监控,缜密操作,同时也面临着各种各样的攻击的威胁。不断有来自企业内部和外部的数据库破坏、蠕虫感染和通过业务应用程序进行的攻击威胁着数据库。          
     在这种苛刻的环境中,IT 部门和安全组织需要一种能够支持对数据库使用情况进行评估、审计和保护的自动化解决方案。只有将所有这些问题全部纳入一个解决方案中,才能以较低的成本有效地降低风险,满足规范和法规的要求。   



Imperva SecureSphere? 数据库应用监控防护系统 


自动保护数据库安全的方法    


 SecureSphere® 数据库应用监控防护系统可为 Oracle、MS-SQL 、DB2(包括主机)和 Sybase 数据库提供自动化评估、审计和保护 功能。动态建模技术可自动创建数据库 使用业务模型,和细化到访问数据库的每个用户和应用程序的查询级别的安全策略。详细的数据库活动审计和报告功能使得满足审计规定要求更方便,且不会对数据库性能产生任何影响。独特的业务活动分析和相关性技术可将真正的攻击与无害的用户行为变化分离开来,从而提供实时保护。


自动化数据库安全 


 评估   

 要确保数据库的安全,首先要了解其使用情况。SecureSphere 的“动态建模”通过检测实时数据库网络通信来生成使用情况的基准模型,然后自动创建数据库安全策略。安全管理和合规性检测人员可通过检测这些业务模型来轻松获取对实际用户行为的全面理解,并参照最佳实施原则确定用户行为的基准。必要时,安全管理员可修改这些策略,以使其符合依照企业安全策略或法规要求。    SecureSphere 的“业务漏洞模型”提供潜在数据库漏洞的详细情况,只有在数据库投入使用后,通过观察实时数据库用户活动,这些漏洞才会显现出来。例如,我们的 SecureSphere 可以确定对默认存储过程、默认用户帐户和系统对象进行的非管理性访问,所有这些操作都与数据库安全的最佳实施原则相冲突。 基于用户的关联性审计 数据库安全的一个重要组成部分就是准确的提供用户的行为的信息,包括用户与数据库之间发生的每个交互活动(事务)的信息。例如,在符合塞班斯法案的审计机制中,必须记录财务报告数据的每一个变化以及相应的实行操作的人员的具体信息(真实姓名、用户 ID、或其他特定信息)。不幸的是,应用系统的用户在只是登录到应用系统,而不是数据库。而大量的数据库访问是通过一个、或少量数据库连接(连接池)完成的。这意味着,单个最终用户对数据库是不可见的,因此也不可能在数据库审计的报告中出现。SecureSphere 的全局用户跟踪技术使得基于单个用户的跟踪成为可能——即使他们是通过应用系统或 Web 应用来访问数据的。SecureSphere 提供了专用的监控功能来监视应用系统用户的活动,并且将其与数据库的每个交互活动(transaction)对应起来。在前文提到的塞班斯的例子中,全局用户跟踪可以支持将财务数据的变化与相应的最终用户(及其个人信息)以及使用的应用系统和 Web 应用关联起来。


 审计    

 SecureSphere 收集一系列极其丰富的审计数据并提供非常灵活的内置报告功能,可以满足所有内部或外部的合规性要求。作为网络设备,SecureSphere 审计数据可完全独立于所有数据库用户(包括数据库管理员和开发人员)进行收集。除了几种内置的专项报告,管理员还和以在系统中生成定制化的报告。以及通过第三方报告工具或ODBC兼容的数据库访问工具访问审计数据。 • 可以将“数据库活动审计”配置为对所有用户事务进行全面审计或基于一组属性进行有选择性的审计。可以存档活动审计日志,以满足将来的报告和审计要求。 • “实时警报审计”在视图中按照优先级显示所有潜在的危险用户活动(包括对数据库应用程序和数据库平台的攻击)。 • “用户业务模型审计”提供了一种用于了解实际用户行为并将其与最佳实施原则或合规性要求进行对比的强有力的工具。审计报告可以图示出当前的用户业务模型,并能记录对业务模型所做的在不同时间进行的更改。

 

保护

 数据库应用程序保护    

 SecureSphere 不断将实时用户交互活动与动态数据库业务模型加以比较。如果用户行为与业务模型有显著偏差,则会生成警报,并且可根据策略阻止恶意行为。独特的业务活动分析和相关性技术可将无害的用户行为变化与恶意行为区分开。    

 例如,某直销人员通常是从客户地址表单中提取信息,现在他试图访问信用卡表单,这很可能意味着恶意活动。SecureSphere 将这一改变视为违反了直销人员的正常业务动,从而发出警报并可以阻止该访问。 


 数据库平台保护    

 SecureSphere 的集成入侵防御系统 (IPS) 可使数据库体系结构免受以数据库平台和操作系统软件(如,Oracle、MS-SQL Server、Linux、Windows 2000)中的已知漏洞为目标的蠕虫和其他攻击的威胁。IPS 的功能包括来自应用程序防御中心 (ADC)(这是 Imperva 的国际安全研究组织)的、与 Snort® 兼容的全部特征词典和专有的关于 SQL 的特定特征库。SecureSphere 安全更新服务提供定期更新,以确保所实施的保护基于最新的信息。SecureSphere 的集成状态型网络防火墙可使用户免受未授权用户、危险协议、公共网络层攻击以及蠕虫感染的威胁。访问控制策略支持协议/IP 地址组合的黑名单和白名单,以消除数据中心暴露给非必要或危险协议(如 Telnet 或 pcAnywhere)的风险。 

 

识别复杂攻击    

 SecureSphere 合并了两种安全模型:动态正向(白名单)和动态反向(黑名单)模型。“即时攻击验证 (IAV)”根据这两种模型立即验证并阻止明显的违规行为。对于不明显的复杂攻击行为,Imperva 使用独特的相关性攻击验证 (CAV) 技术将多个违规行为关联在一起,验证活动是攻击,还是合法用户活动中的正常变化。CAV 将各个安全层上来自同一用户的安全违规行为关联在一起,这些行为包括:与业务模型冲突、DoS 攻击以及 IPS 特征匹配。例如,新查询本身不意味着攻击,请求访问具有已知漏洞的存储过程也不意味着攻击。但如果这两个事件发生在同一请求中,则 CAV 会将其视为攻击行为。SecureSphere 将发出警报并可阻止这样的请求。 


部署 

 对数据库的性能、稳定性,或管理无影响    SecureSphere 可提供全面的安全保障,而不会在任何方面影响数据库的性能和稳定性。作为独立的网络设备,SecureSphere 并不占用数据库服务器的处理资源、内存资源和磁盘资源。SecureSphere 的“透明检测”处理体系结构支持亚毫秒级延迟的千兆位级事务吞吐量。而且SecureSphere 部署与数据库管理完全分离。不更改现有体系结构。

 SecureSphere 可作为透明在线网桥、在线路由器或非在线网络监视器等灵活地部署到网络中。作为独立的网络设备,SecureSphere 不需要管理权限,也不需要对数据库软件进行更改,其部署不会对周围的网络、服务器或应用程序体系结构产生任何影响。 


高可用性   

 SecureSphere 支持很多可用性选项,能够确保出色的正常运行时间和应用程序可用性。 

• Imperva 高可用性 (IMPVHA) 协议,将该协议用于以桥接模式部署的两个或更多个 SecureSphere 网关时,其故障切换时间不到一秒。 • 虚拟路由器冗余协议 (VRRP),当 SecureSphere 配置为路由器时,由该协议提供故障切换。 

• 冗余网关,可以将冗余网关部署到具有冗余系统体系结构的环境中。SecureSphere 的透明部署模式,当使用外部 HA 机制时,这种模式支持主动-主动和主动-被动故障切换配置。 

• 在线应急打开网络接口,在软件、硬件或电源发生故障时,该接口可确保系统的可用性。 

• 非在线监视配置,它提供的透明部署没有单点故障。


 操作 

 自动化的安全策略    

 SecureSphere 提供全面的数据库安全保障,而不需要其他方法所必需的复杂的手动调整过程。所有动态建模都是自动形成的,数据库使用需求随时间不断变化,适应性的学习算法可自动调整业务模型。但是,管理员享有查看和修改业务模型信息的全部权限,此外还可以根据需要创建自定义策略规则。其最终结果是在安全方面的投资既能最大限度地降低业务风险,又能降低总使用成本。 


 支持责任划分    

SecureSphere 提供的数据库使用情况的信息对于不太了解数据库技术的人员都能够理解。因此,SecureSphere 的安全和审计功能可由安全人员或合规性检测人员管理,以便在安全、审计和数据库管理之间维持适当的责任划分和隔离。  


 集中管理。

  SecureSphere G4 和 G8 设备可以部署为独立配置模式,包含管理部署所需的所有管理和报告功能。对于需要部署多台设备的大型数据库应用环境,SecureSphere MX 管理服务器可提供集中的管理功能。MX 管理服务器提供管理多网关环境所需的所有业务模型管理、状态监视、警报发送、日志记录和报告等活动。 


 合规性报告    

 由于集成了 Crystal Reports™ 的所有功能,或使用了任何符合 ODBC 的数据库报告工具,因此支持预配置的和自定义的报告。使用预配置的报告无需自己定义即可立即查看合规性,还可以查看性能、安全警报、应用程序变化和应用程序更改。SecureSphere 是唯一一个通过合并策略审计和策略实施功能来满足合规性要求的解决方案。


 监视地数据库访问     

对于数据库操作在服务器本地执行的情况,SecureSphere 通过 SecureSphere DBA 安全监视安全代理对这些本地数据库活动进行监视。  


 将前台Web 应用程序与后台数据库保护相结合    

 使用 SecureSphere Web 应用监控网关可以将前台 Web 应用系统和后台数据库系统的监控及保护结合起来。一方面极大的提高了潜在攻击事件的发现能力,另一方面可以为审计提供攻击来源的精确定位。MX 管理服务器统一对将 Web 和数据库应用监控防护系统混合部署的管理。


典型客户

通用电气.jpg

分享到