Guardium培训

1、 Information Management Guardium数据监控和审计数据监控和审计 Information Management Guardium简介 Guardium监控和审计架构实现 Guardium安装和配置 Guardium策略、警报和审计报告 Guardium审计监控典型应用讲解 Guardium服务器容量评估和扩展架构 Guardium日常运行维护 Agenda Information Management Guardium是什么 是一个打包了软件、操作系统和硬件的解决方案 从硬件的角度来说就是个PC Server 软件是Tomcat + MySQL及探针 操作系统是Re

2、dhat内核，经过封装，提供了一些用户接口 Information Management 硬件配置 两块300G1T的盘做RAID1 CPU 建议8core以上 内存 Guardium8.1的最佳配置是16G，9.1版本建议32G 网卡 如果有万兆网卡最好，如果没有也可以用千兆 Information Management 软件 Guardium可以看做是一个报表系统 是Tomcat + MySQL组成的一个报表平台，Tomcat提供应用服务，MySQL提 供数据存储；同时提供了警报、工作流等功能 主要是对收集的数据包进行拆分、解析，按条件存储，提供查询。 探针 Information Man

3、agement 操作系统 Redhat内核 在Guardium8.1是Redhat4.x的内核，只有32位 现在Guardium9.1是Redhat5.x的内核，支持64位，性能上更强 Information Management 为什么需要Guardium？ Information Management 2010 Verizon数据泄漏评估报告 http:/ 数据泄漏在各行业的分布 数据库服务器 占受损失记录的 92% Information Management 70%70%以上以上ITIT风险属操作风险，该风险的最大漏洞在数据库风险属操作风险，该风险的最大漏洞在数据库 随着企业业务对IT

4、系统的依赖程度越来越高，IT风险对业务风险的影响也越 来越大。而IT风险中70%以上属于操作风险，即由人工操作不当（无意或 故意）引起的风险。因此，有效地控制IT风险，尤其是操作风险，对企业的 安全运营至关重要。 3/4的企业不清楚特权用户(DBA等)对数据库进行过何种操作 2/3的企业不能有效防止特权用户对数据库的非授权访问 85%的成员将真实数据不加防范地交与开发人员或第三方人员 将近一半的成员对其非特权用户访问敏感数据毫无措施 Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on

5、survey of 430 members. http:/ Information Management 数据库监控数据库监控及及审计市场领导地位审计市场领导地位-Guardium-Guardium Information Management Guardium简介 Guardium监控和审计架构实现 Guardium安装和配置 Guardium策略、警报和审计报告 Guardium审计监控典型应用讲解 Guardium服务器容量评估和扩展架构 Guardium日常运行维护 Agenda Information Management Information Management Informa

6、tion Management Information Management Guardium简介 Guardium监控和审计架构实现 Guardium安装和配置 Guardium策略构建及监视器警报配置 Guardium审计监控典型应用讲解 Guardium服务器容量评估和扩展架构 Guardium日常运行维护 Agenda Information Management Information Management 安装后基础配置 端口镜像及管理IP 网络设置 系统日期时间设置 配置NTP Server 等等，查看安装配置文档 Information Management 用户在虚拟机上进行

7、安装配置练习 安装后基础配置 Information Management Guardium简介 Guardium监控和审计架构实现 Guardium安装和配置 Guardium策略、警报和审计报告 Guardium审计监控典型应用讲解 Guardium服务器容量评估和扩展架构 Guardium日常运行维护 Agenda Information Management 数据流入 对于SPANPORT模式，数据包的流入是无条件的，不可筛选 数据从交换机端口镜像至Guardium的网络接口，无条件流入Guardium服 务器，在Guardium内部进行过滤、解析、分流、筛选、整理，存储 ；初步 过滤

8、由Inspection Engine控制；对于关注的数据内容，并作出对应的反应 由策略来管理 对于STAP模式，可以选择从源端（被监控库）收集或抛弃哪些数据包；数 据流入Guardium服务器后的处理方式，与SPANPORT模式相同 Information Management Information Management Inspection Engine Information Management Policy Inspection Engine经过初步过滤的数据包，下一步如何处理 构建策略 GUI界面策略配置入口： Monitor/Audit - Build Audit Policie

9、s 或是， Tools - Policy Builder Information Management Policy - Rule Information Management Policy - Rule Information Management 配置完成的Rule Information Management Rule展开 Rule - Actions Information Management 用户进行Policy和Rule配置练习 Policy - Rule Information Management 29 一系列反映“最佳做法”的合规报表 数百个预先配置的关于数据隐私、SOX和

10、PCI的报表 基于行业的最佳做法 简便的自定义报表 ( 提供智能钻取分析功能) 识别异常活动的阀值 可以由没有DBA经验的负责安全的人员管理 客户端客户端IP服务器服务器IP 数据库类型数据库类型 执行的命令执行的命令总执行次数总执行次数 审计监控典型应用审计监控典型应用 审计报告审计报告 Information Management 集中展示企业内各异构数据库的授权变更报告集中展示企业内各异构数据库的授权变更报告 了解DBA过去一 周给哪些用户赋 了哪些权限， 是否合规？ 各数据库各数据库 一网打尽一网打尽 Information Management 关键点：关键点： 审计报告的可理解性审

11、计报告的可理解性 Information Management 审计监控典型应用审计监控典型应用 日常审计报告日常审计报告 Information Management 输出报告样例输出报告样例: 图表图表 Information Management 输出报告样例输出报告样例: Excel Information Management 报告输出样例：报告输出样例： PDF格式格式 Information Management Alert Information Management Alert 通过SMTP发警报邮件 Information Management 实时警告 很多组织机构都禁止

12、其员工（以及黑客）检索过多的潜在敏感数据，如 果出现这种情况，则会发出警告，以便他们可以快速地调查和确定是否发 生了严重的违规行为。 执行该操作的一个方法是根据 “受影响的记录” 策略的访问规则中创建一 个阈值。 先决条件：先决条件： 创建一组您要对其发出警告的敏感数据对象。 审计监控典型应用审计监控典型应用 实时警告实时警告 Information Management 审计监控典型应用审计监控典型应用 实时警告实时警告 确保您的系统配置针对所有检查引擎启用了 Inspect Returned Data 和 Log Records Affected。 Information Manageme

13、nt 在任何数据库用户对敏感数据对象的读取记录的数量超过 200 时发出警告 审计监控典型应用审计监控典型应用 实时警告实时警告 Information Management 有人从应用服务器以外的地方使用专用口令 访问数据库! Application Server 44 Database Server 6 App User 服务器服务器IP 用户用户 客户端客户端IP 审计监控典型应用审计监控典型应用 实时警告实时警告 Information Management 审计监控典型应用审计监控典型应用 特权用户行为监控特权用户行为监控 特权用户行为监控特权用户

14、行为监控 因为特权用户拥有对数据库的较大访问权限，一些组织机构要求详细监视 管理用户（特权用户）的任何活动 先决条件：先决条件： （1）创建如上所述的一个 特权用户组（其中包括您认为是 “特权用户” 的 任何人）。 （2）创建一个敏感对象组 （3）创建一个敏感操作命令组 建立策略，当特权用户用敏感操作命令访问敏感对象组时，记录详细信 息并发出警报 Information Management “监视/审计”-“报告构建”-“组构建器” 构建敏感对象组，如XXXX_Sensitive_Tables 审计监控典型应用审计监控典型应用 特权用户行为监控特权用户行为监控 Information Man

15、agement 用户进行配置练习 审计监控典型应用审计监控典型应用 特权用户行为监控和报警特权用户行为监控和报警 Information Management 终止对敏感对象的非法访问 阻断！阻断！ 敏感数据组敏感数据组 其他功能其他功能 通过通过S-TAP实现实时阻断实现实时阻断 Information Management Noel Yuhanna, Forrester, “Database Security: Market Overview,” Feb. 09 Session Terminated Hold SQL Connection terminated Policy Violati

16、on: Drop Connection Issue SQL Check Policy On Appliance 46 Oracle, DB2, MySQL, Sybase, etc. SQL Application Servers S-GATE Privilege d Users 其他功能其他功能 通过通过S-TAP实现实时阻断实现实时阻断 Information Management 两种阻断方式两种阻断方式 S-TAP SQL Check Policy On Collector Partial results set Policy Violation Drop Connection No

17、latency Connection Terminated Critical business Application servers S-TAP Terminate No Latency, limits risk Database Server Database SQL Hold SQL Check Policy On Collector Policy Violation Drop Connection Connection terminated Prevent DBAs from accessing sensitive data S-GATE Terminate High security

18、, some latency Information Management Guardium简介 Guardium监控和审计架构实现 Guardium安装和配置 Guardium策略、警报和审计报告 Guardium审计监控典型应用讲解 Guardium服务器容量评估和扩展架构 Guardium日常运行维护 Agenda Information Management Guardium的高可用架构 SPANPORT模式需要通过F5设备进行数据包在不同 Guardium服务器之间的分发 Information Management Guardium容量估计 Information Manageme

19、nt Guardium容量估计 Information Management Information Management 可扩展的企业级多层架构可扩展的企业级多层架构 集中管理 Policies pushed to collectors from central manager 企业级汇总分析 Collectors aggregate data to central audit repository 分布式平台和system Z 统一的数据收集结构 强行阻断(S-Gate) 阻止特权用户访问敏感信息 异构的数据库支持 Oracle, DB2, SQL Server, Sybase, etc.

20、 Test and Development Integration with LDAP, IAM, IBM Tivoli, SIEM, IBM TSM, Remedy Information Management Guardium简介 Guardium监控和审计架构实现 Guardium安装和配置 Guardium策略、警报和审计报告 Guardium审计监控典型应用讲解 Guardium服务器容量评估和扩展架构 Guardium日常运行维护 Agenda Information Management 日常维护 基本命令 启动 重启Guardium 服务器 restart system 停止

21、stop system 重启GUI服务器 restart gui 重启Inspection Core restart inspection-core Information Management 日常维护 补丁维护 检查现有已安装补丁 show system patch installed P# Who Description Request Time Status 100 CLI Guardium Patch Update (GPU) for 2012-11-28 17:09:15 DONE: Patch installation Succeeded. 107 CLI Source Prog

22、ram Collapse functio 2012-11-28 17:24:14 DONE: Patch installation Succeeded. 121 CLI MySql performance fix 2012-11-28 17:29:59 DONE: Patch installation Succeeded. 123 CLI Sniffer stack and queue fixes 2012-12-07 11:37:27 DONE: Patch installation Succeeded. 在Guardium console界面输入fileserver 通过 http:/gu

23、ardium-ip 访问，可以Upload Patches 选择合适的补丁上传，待显示已上传成功，关闭页面，在console端Enter退出fileserver模式 安装补丁： show system patch available store system patch install sys now Information Management 健康状况查看 System View-System Monitor Information Management 健康状况查看 Guardium Monitor Information Management 系统修复系统修复 如果Guardium 的

24、System monitor没有数据，且buffer usage monitor也没有 数据，则尝试执行 restart sniffer_buffer_usage 如果仍没有数据，则执行 start inspection-core start / restart gui 如果gui界面无法访问，则执行 restart gui Information Management 系统修复系统修复 如果数据流入但是无法检索到，可执行 restart inspection-engine 最后，再执行一次restart stopped_services命令，以免有其他停掉的服务 没启动起来 Informat

25、ion Management 日常维护 排错 在console界面，输入diag，选择合适的选项收集数据 （在Trouble Shooting过程中，根据实验室Level 2支持工程师的要求收集数 据） Information Management 日常维护 其他调试工具 IPTRAF 可以给出某指定网络端口的网络流量 Information Management 日常维护 数据归档、备份和清理 Information Management 日常维护 数据归档、备份和清理 Information Management 用户练习熟悉日常维护命令 日常维护 日常维护命令 Information M

26、anagement STAP模式 AIX安装 AIX上S-TAP安装 以root用户按序执行下列命令 installp -aX -d /tmp/stap/Native_Installers/ guard-stap-v82_r33264_1-aix- 5.3-aix-powerpc.bff SqlGuardInstaller 然后，执行上述命令在 /usr/local/guardium 目录中生成的安装脚本。在安装 过程中，除了需要修改配置文件中如下几个选项以外，其他均采用默认设 置。 tap_ip= sqlguard_ip= ktap_installed=1 Information Manag

27、ement STAP模式 Linux安装 交互模式安装： ./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modules 非交互式安装 ./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modules /tmp/modules-guard-8.0.xx_r20992_1.tgz -ni -tls 1 -k -dir /usr/local -tapip 02 -sqlguardip 09 Informatio

28、n Management STAP模式 建议安装模式GIM Steps： 1、在Data Server上安装GIM（Guardium Installation Manager） 2、 Guardium GUI，Administration Console-Module Installation-Upload 3、将STAP包Upload，然后Import 4、 Administration Console-Module Installation-Setup By Client，输入 DataServer的IP（即安装了GIM的被监控库），Next，Next 5、左侧选择STAP包，Next 6

29、、 Information Management STAP模式 建议安装模式GIM Steps： 7、select Client Module Parameters, Apply to Selected 8、Apply to Clients，然后点击 Install /Update，Noew，Accept完成安装 9、Administration Console Module Installation Setup By Client, 选择Data ServerIP 点击information icon，显示已安装. Information Management Guardium STAP配置 Information Management Guardium STAP配置 Information Management S-TAP 启动停止 非GIM安装： root用户 /etc/inittab文件找到 utap:2345:respawn:/usr/local/guardium/guard_stap/guard_stap /usr/local/guardium/guard_stap/guard_tap.ini