17 Сентября, 2012

СОИБ. Проектирование. Защита баз данных

Сергей Борисов

В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите баз данных.

Для каких организация и систем наиболее актуальны решения по защите БД:
·        для организаций в которых наиболее ценная информация хранится в БД (в других видах хранится менее ценная информация);
·        для организаций которых ценная информация хранится в БД разных производителей, имеющих разные встроенные возможности безопасности.

Примерами таких организаций являются:
·        кредитные организации;
·        платежные агенты или системы;
·        транспортные компании, например авиакомпании;
·        операторы связи (проводной и мобильной);
·        крупные оптовые и розничные продажи;
·        другие крупные операторы персональных данных;
·        информационные системы критически важных объектов.

Рассмотрим для примера экспресс анализ рисков активов связанных с БД.


Рассмотрим контрмеры, которые можно использовать для нейтрализации угроз по неприемлемым рискам:
·        Существенно ограничить доступ мы не можем – ведь к нашим приложениям и серверам БД обращается широкий круг пользователей;
·        Межсетевой экран частично может использоваться для нейтрализации 1, 3 угрозы (неактуальных). Но не поможет нам с угрозами 2, 4, 5 и 6 (так как не защищает на уровне приложений);
·        Локальная система предотвращения вторжений совсем слабо поможет с угрозой 2 и 4 и абсолютно не поможет с 5, 6 (так как не разбирает запросы пользователей и не понимает ответы приложений и СУБД)
·        Система DLPможет использоваться для нейтрализации угрозы 5, но не поможет с остальными.
В данном случае, единственным средством, понижающим риски до приемлемого уровня является специализированное средство защиты баз данных.

Наиболее эффективными примерами таких решений являются: Imperva, IBM Guardium и McAfee Sentrigo (по моему мнению и исследованию Forrester wave: Database auditing and Real-Time Protection Q2’11)

Основные функции таких решений:
·        Оценка уязвимостей СУБД - типы патчей, стойкость паролей, ошибки в конфигурациях, обнаружение проникновений в систему обходными путями, уязвимости кода PL/SQL, неиспользуемые функции;
·        Возможность поиска  и классифицировать различных типов конфиденциальной информации хранящейся в СУБД;
·        Инспекция трафика на сетевом, сервисном и прикладном уровне;
·        Нормализация SQL трафика;
·        Контроль потока SQL-запросов и управление доступом к СУБД на уровне сети;
·        Контроль действий локальных администраторов СУБД;
·        Динамическое профилирование  – создание поведенческого профиля (кто, когда, как, в какое время обращается к данным).  Возможность блокировать трафик, который не укладывается в предварительно настроенный профиль поведения группы пользователей;
·        Отслеживание и корреляция трафика по пользователям, отчеты о действиях пользователей с БД;
·        Блокирование утечки данных через SQL;
·        Автоматическое блокирование трафика атак  (в том числе отдельных сессий);
·        Применение виртуальных патчей;
·        Возможность интеграция со средствами защиты web приложений.

Типовые схемы реализации решений по защите баз данных на примере IMPERVA.
1. Установка inline

2. Установка inline или мониторинг

3. Установка inline, proxy или мониторинг