Finden Sie die geeignete Orchestrierung zur Vermeidung von Disharmonien! Was ist Datensicherheit und welche Instrumente sind dazu erforderlich? Dr. Thomas Petrik April 2017 Was ist Datensicherheit? Zugriffsschutz logisch physisch Integrität Verfügbarkeit High Availability Disaster Recovery www.sphinx.at 2 Wo muss/kann Datensicherheit greifen? organisatorische Maßnahmen DB/Filesystem Security Application/Filesystem Security Backend-Systeme DB /app/… Middle Tier (App. Server) Clients Network Security www.sphinx.at 3 Network Security / Firewall Client / Server Encryption VM/OS Security SQL Access Security (DAM) Filesystem Access (FAM) DBA Business User OS Admin /…/… Backup Security Storage/FS Encryption Hypervisor Security www.sphinx.at VM Admin 4 Der Dirigent weiß, wer was spielt. www.sphinx.at 5 Database Activity Monitoring (DAM) Wer, was, wann, wo? • Wer loggt sich wann auf welche DB ein? ▪ Connection Profiling ▪ White List ▪ Black List • Wer greift wann auf welche Tabellen zu? • Wer hat eine ungewöhnliche große Datenmenge abgezogen? • Wer hat wann schützenswerte Daten abgefragt? • Wer verändert wann welche Daten (DML)? • Wer hat die Struktur verändert (DDL)? ▪ Wer hat die Tabelle gelöscht? ▪ Wer hat den Index gelöscht? ▪ Wer hat die Spalte hinzugefügt? www.sphinx.at 6 Alles beginnt mit einem guten Audit … Was muss Audit gewährleisten? • Vollständigkeit • Unveränderlichkeit ▪ auch durch den DBA oder OS-admin • Verfügbarkeit ▪ jederzeit auf Anfrage ▪ aktuell und historisch • Auswertbarkeit ▪ periodisches Reporting ▪ ad-hoc Reporting ▪ Fuzzy Search Separation of Duties • minimaler Performance Impact • Support von verschlüsselter Client/Server Kommunikation www.sphinx.at 7 Welche Architektur ist die richtige? Audit mit Bordmitteln Anforderungen • Vollständigkeit ▪ Bordmittel ▪ meist synchron aus der DB ▪ aber aus Performancegründen meist eingeschränkter Umfang • Unveränderlichkeit SQL ▪ veränderbar durch OS-Admin / DBA • Auswertbarkeit Server ▪ lokal, verteilt über viele Server ▪ unterschiedliche Formate ▪ meist Plaintext Files • minimaler Performance Impact DB www.sphinx.at ▪ 50% und mehr Verlust • Support von verschlüsselter Client/Server Kommunikation 8 Welche Architektur ist die richtige? Audit am Kommunikationskanal Anforderungen • Vollständigkeit ▪ meist synchron am Kommunikationskanal ▪ aber aus Performancegründen meist eingeschränkter Umfang • Unveränderlichkeit ▪ meist veränderbar durch Audit-Admin SQL • Auswertbarkeit ▪ zentrales Audit-DWH • minimaler Performance Impact Server ▪ merkbarer Verlust • Support von verschlüsselter Client/Server Kommunikation DB www.sphinx.at ▪ muss meistens aufgebrochen werden 9 Welche Architektur ist die richtige? Mitschnitt im Kernel ("Tap") Anforderungen • Vollständigkeit ▪ synchron / asynchron buffered ▪ HA Appliance • Unveränderlichkeit SQL ▪ keine Eingriffsmöglichkeit f. DBA oder OS-admin closed Appliance Kernel Agent A SSL • Auswertbarkeit ▪ zentrales Audit-DWH ▪ BI-Oberfläche • minimaler Performance Impact ▪ durchschnittlich 2-3% • Support von verschlüsselter Client/Server Kommunikation DB Server www.sphinx.at 10 Der Grundstein für die Mauer ist gelegt … Blocking realtime Alerts Correlation Alerts Outlier Detection (KI / Forensik) Workflows Baselining Reporting Audit www.sphinx.at 11 audit Mauerbau für Datenbanken: DB-Firewall SQL blocking c www.sphinx.at alerting … 12 IBM Security Guardium DAM scp https … Archiving Web Reports Audit Workflow Aggregator Restore Regular Reporting ad-hoc Reporting Quick Search Qutlier Detection Workflows ssh Web Rules Collector Audit Sniffer Web Rules Collector Alerts Audit Sniffer mail snmp syslog custom SSL S-TAP www.sphinx.at 13 Der Dirigent lässt sich seine Ideen nicht klauen. www.sphinx.at 14 Schutzlose Files? Login OS rw------- Filesystem Disk copy www.sphinx.at 15 File Access Security File Activity Monitoring (FAM) Encryption • überwacht Zugriffe im OS • schützt vor unauthorisiertem Zugriff in der Maschine • Audit von Files / Directories ▪ Read Access ▪ Write Access • Alerting • Blocking • begrenzte Granularität ▪ File ist die kleinste Einheit www.sphinx.at ▪ Decryption nur durch authorisierte … ▪ User ▪ Prozesse • Schützt vor Diebstahl der Disk ▪ physische Disken ▪ virtuelle Disken • Separation of Duties ▪ Einschränkung des OS-Admin ▪ zusätzlich zu Permissions / ACLs 16 IBM Security Guardium DAM / FAM scp https … Archiving Web Reports Audit Workflow Aggregator Restore Regular Reporting ad-hoc Reporting Quick Search Qutlier Detection Workflows ssh Web Rules Web Collector Audit Rules Collector Sniffer Alerts Audit Sniffer mail snmp syslog custom SSL S-TAP /app/… www.sphinx.at 17 Anforderungen an Encryption Transparenz • • • für alle Applikationen und DBs keine Applikationsänderung im heterogenen Umfeld nutzbar Betriebstauglichkeit • keine manuellen Interaktionen bei Restart / Reboot Universalität • • • Performance • • www.sphinx.at für alle Betriebssysteme für DBs und Files aller Art für physische und virtuelle Disken Nutzung der HW: AES-NI kein Thema mehr bei aktuellen CPUs Key Management • • • • Key-Rotation Multitenancy: Mandanten-Keys Secure Key Backup/Restore Separation of Duties: Key-Officers / DBA / OS-Admin 18 Encryption: unterschiedliche Ansätze Application Level Encryption • • • Application Transparent Data Encryption (TDE) • • TDE Filesystem LVM Disk Individualentwicklung nur für die Applikation nutzbar auf Spaltenebene DB-spezifisch (z.B. Oracle, Microsoft) nur für DB-Files File Level Encryption • • universell – fein granuliert transparent für Applikationen LVM Encryption • • universell - für viele OS verfügbar transparent für Applikationen Storage Level Encryption • • www.sphinx.at schützt nur physische Disken transparent für Applikationen 19 IBM Security Guardium Data Encryption (GDE) Policies Key Management https DSM primary Web Policies Audit Keys DSM secondary SSL Web Policies Audit Keys Audit via syslog VMD /app/… www.sphinx.at 20 GDE Key Management 2-Tier Ansatz • DEK: Data Encryption Key Data • KEK: Key Encryption Key DEK • eDEK: encrypted Data Encryption Key • einfache Key Rotation Encrypted Data ▪ DEK bleibt ▪ keine Neuverschlüsselung der Daten ▪ KEK wird erneuert ▪ eDEK ändert sich • kryptographisches Löschen E KEK E eDEK ▪ Vernichtung des KEK www.sphinx.at 21 Encryption: Methodenvergleich Storage LVM File / GDE TDE Application Transparenz + + + + ̶ Betriebstauglichkeit + ̶ + ̶ + Universalität ̶ + + ̶ ̶ depends o + o depends + + + + + Key Management Performance www.sphinx.at 22 Der Dirigent verschafft sich Überblick. www.sphinx.at 23 SIEM: Security Information & Event Management SIM: Security Information Management • • • • • Log-Management Netzwerk Betriebssystem Datenbank Applikation Proaktive Funktionen • • Asset Management Vulnerability Assessment SEM: Security Event Management • • • • www.sphinx.at Korrelation Forensik Alerting Reporting / Dashboards 24 IBM QRadar Layer 2 Layer 7 Flow Collector Network Activity Packet Capture Incident Forensics Asset Discovery Events Category Offenses Assets Rules Risks Normalisierung Datenbank syslog Applikation www.sphinx.at Device Specific Modules (DSM) Log Activity Vulnerabilities 25 Das Orchester spielt groß auf. www.sphinx.at 26 IBM Security Enterprise Architecture Guardium Aggregator Reporting Guardium Collector Guardium Collector QRadar GDE / DSM primary www.sphinx.at S-TAP S-TAP VMD VMD GDE / DSM secondary 27 ? Dr. Thomas Petrik E [email protected] M +43 664 155 8304 T +43 1 599 31- 0 Sphinx IT Consulting GmbH Aspernbrückengasse 2 1020 Wien www.sphinx.at www.blueboxx.at