Imperva数据库安全解决方案应用场景

1、Imperva SecureSphere数据库安全应用场景数据库安全应用场景 Copyright 2012 Imperva, Inc. All rights reserved. Imperva, the Imperva logo and SecureSphere are trademarks of Imperva, Inc. All other brand or product names are trademarks or registered trademarks of their respective holders. Copyright 2012 Imperva, Inc. All r

2、ights reserved. 数据库安全应用场景CONFIDENTIAL2敏感数据审计防数据窃取数据访问边界控制法规遵从法规遵从数据库虚拟补丁变更核对VIP数据隐私保护信息隔离墙业务相关业务相关IT 运维运维CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 敏感数据审计3 Copyright 2012 Imperva, Inc. All rights reserved. Copyright 2012 Imperva, Inc. All rights reserved. 敏感数据审计!SIEM数据库用户数据库用户审计报

3、告审计报告审计日志审计日志某跨国石油公司某跨国石油公司需求需求: 不间断的数据库审计，以满足 PCI 和 SOX法规要求 避免收集归并系统自身审计日志出现的错误和缩短收集时间 发送告警信息到安全信息事件平台 (SIEM)SecureSphere DAM: 自动化集中审计所有数据库并生成法规遵从报告 统一设备发送告警和审计日志到 SIEM 平台 Copyright 2012 Imperva, Inc. All rights reserved. 敏感数据审计 主要功能CONFIDENTIAL5收集和记录数据库收集和记录数据库所有访问行为所有访问行为满足法规要求满足取证调查需要 数据库数据库用户用户

4、SecureSphereDAM审计详细记录审计详细记录审计策略监控特权用户或者监控特权用户或者“超级超级”用户用户实现权责分离监控特权用户所有访问行为，包括本地访问行为可进行阻断设置数据库代理数据库代理网关设备网关设备特权用户特权用户审计策略 Copyright 2012 Imperva, Inc. All rights reserved. 敏感数据审计 主要功能CONFIDENTIAL6企业级报告工具企业级报告工具主动分析潜在威胁遵从法规需求PCI, HIPAA, SOX法规遵从报告法规遵从报告自定义报告自定义报告对可疑行为进行实对可疑行为进行实时警告时警告快速定位攻击行为防止数据被盗窃Em

5、ailSYSLOGDashboardSIEM Copyright 2012 Imperva, Inc. All rights reserved. 敏感数据审计 主要功能CONFIDENTIAL7发现数据库分布及发现数据库分布及敏感数据分类敏感数据分类发现网络中存在的数据库服务发现网络中不符合补丁的数据库帮助确定需要监控的数据范围SecureSphere DAS不符合规定不符合规定的的数据库数据库社保信息社保信息信用卡数据信用卡数据个人信息个人信息 Copyright 2012 Imperva, Inc. All rights reserved. 对持卡人信息表的对持卡人信息表的SELECT行为

6、进行审计行为进行审计预定义的预定义的 PCI 审计规则审计规则审计访问持卡人信息的行为 Copyright 2012 Imperva, Inc. All rights reserved. 详细的审计日志审计日志审计日志Who?Where?How?What?When? Copyright 2012 Imperva, Inc. All rights reserved. 创建一个动作集，并应用为后续动作ArcSight SIEM Action Set设置为后续动作设置为后续动作CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved.

7、 防数据窃取11 Copyright 2012 Imperva, Inc. All rights reserved. 防数据窃取某支付卡信息处理公司已经使某支付卡信息处理公司已经使用了用了Imperva数据库审计方数据库审计方案以遵从案以遵从PCI 10要求要求 发现了可疑的数据库访问行为 ATM卡号 和 PIN 信息被窃取SecureSphere DAM 对于异常的访问行为生成了告警 通过访问审计日志，并完成了取证分析PCI 数据数据PCI 报告报告ATM & PIN黑客黑客数据库数据库用户用户PCI 策略安全策略审计日志审计日志 Copyright 2012 Imperva, In

8、c. All rights reserved. 防数据窃取 主要功能CONFIDENTIAL13收集和记录所有数收集和记录所有数据库访问行为据库访问行为满足法规遵从要求进行取证分析 生成告警信息Databases用户用户SecureSphereDAMPCI 审计日志审计日志PCI 策略对异常行为进行实对异常行为进行实时警告时警告快速识别攻击行为防止数据窃取EmailSYSLOGDashboardSIEM Copyright 2012 Imperva, Inc. All rights reserved. 防数据窃取 主要功能CONFIDENTIAL14提供详细的审计日提供详细的审计日志以及交互式

9、的查志以及交互式的查询分析工具和报告询分析工具和报告强大的取证分析能力简化法规遵从监控所有数据库访监控所有数据库访问问阻止未授权的数据库访问保护敏感数据UPDATE orders set client firstUnusual ActivityX允许允许拒绝拒绝Network User, DBAs, Sys Admin Copyright 2012 Imperva, Inc. All rights reserved. 防数据窃取 主要功能15应用的数据库应用的数据库安全策略安全策略匹配条件匹配条件 Copyright 2012 Imperva, Inc. All rights reserved

10、. 防数据窃取 主要功能16实时告警实时告警CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 数据访问边界控制17 Copyright 2012 Imperva, Inc. All rights reserved. 数据访问边界控制全球运营的支付卡信息处理全球运营的支付卡信息处理公司公司: DBA分布在全球范围 新的数据中心位于德国 需要控制其他国家DBA对德国公民个人信息访问，以遵从德国的个人隐私保护法 需要对德国公民个人信息进行数据分布发现SecureSphere DAM/DBF: 阻止其他国家DBA对德国居民个人

11、信息访问SecureSphere DAS: 发现和分类德国居民个人信息CardholderCardIntellectualPropertyEmailFinancial PersonalInformation Copyright 2012 Imperva, Inc. All rights reserved. 数据访问边界控制 主要功能CONFIDENTIAL19监控所有数据库访监控所有数据库访问问阻止未授权的数据库访问保护敏感数据UPDATE orders set client firstUnusual ActivityX允许允许拒绝拒绝Network User, DBAs, Sys Admin

12、监控特权用户或者监控特权用户或者“超级超级”用户用户实现权责分离监控特权用户所有访问行为，包括本地访问行为可进行阻断设置数据库代理数据库代理网关设备网关设备特权用户特权用户审计策略 Copyright 2012 Imperva, Inc. All rights reserved. 数据访问边界控制 主要功能发现数据库分布及发现数据库分布及敏感数据分类敏感数据分类发现网络中存在的数据库服务发现网络中不符合补丁的数据库帮助确定需要监控的数据范围SecureSphere DAS不符合规定不符合规定的的数据库数据库社保信息社保信息信用卡数据信用卡数据个人信息个人信息 Copyright 2012 Im

13、perva, Inc. All rights reserved. Match criteria阻止德国DBA之外的访问21Security Policy Copyright 2012 Imperva, Inc. All rights reserved. 德国DBA名单设定22设置设置dba相关信息的查询组相关信息的查询组SQL 查询查询计划任务计划任务 Copyright 2012 Imperva, Inc. All rights reserved. 发现和分类个人信息23Select data typesReview results and apply tablesCONFIDENTIAL

14、Copyright 2012 Imperva, Inc. All rights reserved. 数据库虚拟补丁24 Copyright 2012 Imperva, Inc. All rights reserved. 数据库虚拟补丁F A I L E DF A I L E DF A I L E DF A I L E DF A I L E DF A I L E DPASSEDPASSEDPASSEDPASSEDPASSEDPASSED未安装的补丁PCI AuditVulnerabilityScan某在线电商没有通过某在线电商没有通过PCI认证认证和内部审计和内部审计: PCI 6.1 要求进行

15、季度审计 有300个数据库系统需要审计 补丁的安装不仅耗时还有可能会中断业务SecureSphere DAS: 可对数据库进行漏洞扫描 发现未安装的补丁 PCI审计小组认可虚拟补丁方法，例行审计频率下降为一年两次 Copyright 2012 Imperva, Inc. All rights reserved. 识别和修复安全漏识别和修复安全漏洞和配置缺陷洞和配置缺陷自动化的漏洞评估，修复，验证流程数据库虚拟补丁 主要功能SecureSphereDAS安全漏洞安全漏洞补丁缺失补丁缺失配置缺陷配置缺陷漏洞修复漏洞修复虚拟补丁虚拟补丁企业级的报告平台企业级的报告平台 分析潜在威胁 优化法规遵从PC

16、I, HIPAA, SOX自定义自定义 Copyright 2012 Imperva, Inc. All rights reserved. 数据库虚拟补丁 主要功能发现数据库分布及发现数据库分布及敏感数据分类敏感数据分类发现网络中存在的数据库服务发现网络中不符合补丁的数据库帮助确定需要监控的数据范围SecureSphere DAS不符合规定不符合规定的的数据库数据库社保信息社保信息信用卡数据信用卡数据个人信息个人信息 Copyright 2012 Imperva, Inc. All rights reserved. 通过 SecureSphere 进行虚拟补丁SecureSphere DAS

17、默认提供大量漏扫规则专注在Oracle漏洞的规则设置实时告警或者阻断针对最新 CVE 漏洞的测试项目 漏扫发现的漏洞设置为虚拟补丁CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 变更核对29 Copyright 2012 Imperva, Inc. All rights reserved. 变更核对某医疗行业服务商需要某医疗行业服务商需要: 向他们的SOX审计员展示他们所有财务数据的变更是按照变更工单进行的SecureSphere DAM: 自动导入变更工单编号 提供DBA所有变更的详细审计日志SecureSpher

18、e DAMTicketCRQ00000000001SecureSphere DAM 获取工获取工单编号单编号详细的审计记录详细的审计记录TicketCRQ00000000001DBA变更工单记录变更工单记录 Copyright 2012 Imperva, Inc. All rights reserved. 变更核对 主要功能CONFIDENTIAL31SecureSphereDAM工单系统工单系统工单编号工单编号Audit Details Copyright 2012 Imperva, Inc. All rights reserved. 变更核对 主要功能收集和记录数据库收集和记录数据库所有访

19、问行为所有访问行为满足法规要求满足取证调查需要s 数据库数据库用户用户SecureSphereDAM审计详细记录审计详细记录审计策略企业级报告工具企业级报告工具主动分析潜在威胁遵从法规需求PCI, HIPAA, SOX法规遵从报告法规遵从报告自定义报告自定义报告 Copyright 2012 Imperva, Inc. All rights reserved. 通过SecureSphere核对变更管理员通过制定的工单号进行系统变更SecureSphere 提供详细的审计日志，并可以检查该操作对应的工单号是否正确SecureSphere 获取工单系统工单信息工单系统生成工单号CONFIDENTI

20、AL Copyright 2012 Imperva, Inc. All rights reserved. VIP数据隐私保护34 Copyright 2012 Imperva, Inc. All rights reserved. VIP数据隐私保护$PIIDBAObject 1Object 2Object 3Object 4Role 1Role 2Role 3SELECTUPDATEDELETESELECTSELECT某财经信息服务公司的某财经信息服务公司的DBA获获取了公司高层人员的薪资和个取了公司高层人员的薪资和个人信息人信息: 可能是为了某种目的错误的导出了这些数据 但是数据还是流传到了

21、所有员工SecureSphere DAM 监控所有数据库的特权访问 对于不符合业务习惯的行为进行实时告警User Rights Management 审核所有访问敏感HR数据的权限设定员工管理层 Copyright 2012 Imperva, Inc. All rights reserved. VIP数据隐私保护 主要功能CONFIDENTIAL36扫描用户赋权情况扫描用户赋权情况消除不合理的授权访问确保授权符合业务最小原则降低业务数据风险SELECTUPDATEDELETEINSERTUsersRolesPrivilegesObjects收集和记录数据库收集和记录数据库所有访问行为所有访问行

22、为满足法规要求满足取证调查需要s 数据库数据库用户用户SecureSphereDAM审计详细记录审计详细记录审计策略 Copyright 2012 Imperva, Inc. All rights reserved. VIP数据隐私保护 主要功能CONFIDENTIAL37对可疑行为进行实对可疑行为进行实时警告时警告快速定位攻击行为防止数据被盗窃EmailSYSLOGDashboardSIEMCONFIDENTIAL监控所有数据库访监控所有数据库访问问阻止未授权的数据库访问保护敏感数据UPDATE orders set client firstUnusual ActivityX允许允许拒绝拒绝

23、Network User, DBAs, Sys Admin Copyright 2012 Imperva, Inc. All rights reserved. 保护VIP隐私数据 Copyright 2012 Imperva, Inc. All rights reserved. 保护VIP隐私数据如果不是通过PeopleSoft应用访问访问HR数据生成告警CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 信息隔离墙40 Copyright 2012 Imperva, Inc. All rights reserved.

24、信息隔离墙某饮料生产商正在划分不同的业务部门某饮料生产商正在划分不同的业务部门: 需要根据不同的业务产品线划分不同的业务职责和范围SecureSphere DAS 基于业务部门来分类业务数据SecureSphere DAM/DBF 提供详细的访问审计日志 告警和阻断未授权的访问CardholderCardIntellectualPropertyEmailFinancialPersonalInformation数据分类UnauthorizedAlertAccessAccess LogsDivest Copyright 2012 Imperva, Inc. All rights reserved.

25、 信息隔离墙 主要功能CONFIDENTIAL42发现数据库分布及发现数据库分布及敏感数据分类敏感数据分类发现网络中存在的数据库服务发现网络中不符合补丁的数据库帮助确定需要监控的数据范围SecureSphere DAS不符合规定不符合规定的的数据库数据库社保信息社保信息信用卡数据信用卡数据个人信息个人信息收集和记录数据库收集和记录数据库所有访问行为所有访问行为满足法规要求满足取证调查需要s 数据库数据库用户用户SecureSphereDAM审计详细记录审计详细记录审计策略 Copyright 2012 Imperva, Inc. All rights reserved. 信息隔离墙 主要功能C

26、ONFIDENTIAL43CONFIDENTIAL监控所有数据库访监控所有数据库访问问阻止未授权的数据库访问保护敏感数据UPDATE orders set client firstUnusual ActivityX允许允许拒绝拒绝Network User, DBAs, Sys Admin对可疑行为进行实对可疑行为进行实时警告时警告快速定位攻击行为防止数据被盗窃EmailSYSLOGDashboardSIEM Copyright 2012 Imperva, Inc. All rights reserved. 信息隔离墙 主要功能CONFIDENTIAL44扫描用户赋权情况扫描用户赋权情况消除不合

27、理的授权访问确保授权符合业务最小原则降低业务数据风险SELECTUPDATEDELETEINSERTUsersRolesPrivilegesObjects Copyright 2012 Imperva, Inc. All rights reserved. 信息隔离墙通过数据分类指定数据归属于哪个业务部门通过设置策略，对跨业务部门的访问进行告警CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 其他主要功能46 Copyright 2012 Imperva, Inc. All rights reserved. 其他主要功能

28、- CONFIDENTIAL -采用加密方式存档采用加密方式存档审计数据审计数据有效执行职责分离日志归档后无法进行修改FTP, SCP, NFSHTTP, HTTPSPackaging, Encrypt & Digitally Sign完整用户视图和审完整用户视图和审计计将应用用户信息和数据库访问关联起来User AUser BUser AUser B Copyright 2012 Imperva, Inc. All rights reserved. 其他主要功能- CONFIDENTIAL -敏感数据和漏洞风敏感数据和漏洞风险的综合分析视图险的综合分析视图基于数据类型和网络拓扑进行汇

29、聚显示挖掘方式显示风险细节Risk ExplorerServer drill-downVulnerability & Risk DetailsReportUserRightsAlertsVulnerability指派对应的任务到指派对应的任务到相关人员相关人员确保显示了对应的关键信息到了正确的责任人，并提示准确的可操作步骤CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 数据库安全解决方案49 Copyright 2012 Imperva, Inc. All rights reserved. 50Imperva

30、数据库安全解决方案Database Activity Monitoring对数据库访问提供完整全面的审计Database Firewall对关键数据库提供活动监控和实时保护功能Discovery & Assessment Server漏洞评估、配置管理、数据库发现和数据分类User Rights Management集中审核和管理数据库用户访问敏感数据权限ADC Insights专门针对SAP, OracleEBS以及Peoplesoft法规遵从和安全策略、报告、及其他知识包 Copyright 2012 Imperva, Inc. All rights reserved. 数据库覆盖

31、可同时支持各种不同类型数据库可同时支持各种不同类型数据库DB2DB2 z/OSDB2400InformixNetezzaCONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 部署和管理52 Copyright 2012 Imperva, Inc. All rights reserved. Users部署选项ManagementServer (MX)AgentAuditingData CenterEnterprise DatabasesAgentAuditingDatabase Activity MonitoringNetw

32、orkAuditingDatabaseFirewallNetworkAuditingDBA/Sys adminDBA/Sys admin Copyright 2012 Imperva, Inc. All rights reserved. 可扩展的集中管理MX ServerSecureSphere Operations ManagerMX ServerMX 管理服务器+针对Web、数据库、文件等所有解决方案 统一策略管理+统一的告警和报表功能精细的角色设定 访问控制+ 支持LDAP、RADIUS、证书等多种方式SecureSphere Operations Manager 集中管理所有MX管理服务器 全局系统监控CONFIDENTIAL Copyright 2012 Imperva, Inc. All rights reserved. 总结55 Copyright 2012 Imperva, Inc. All right