Dr Petrik Vortrag

Werbung
Finden Sie die geeignete Orchestrierung zur
Vermeidung von Disharmonien!
Was ist Datensicherheit und welche Instrumente sind dazu
erforderlich?
Dr. Thomas Petrik
April 2017
Was ist Datensicherheit?
Zugriffsschutz
logisch
physisch
Integrität
Verfügbarkeit
High Availability
Disaster Recovery
www.sphinx.at
2
Wo muss/kann Datensicherheit greifen?
organisatorische
Maßnahmen
DB/Filesystem Security
Application/Filesystem Security
Backend-Systeme
DB
/app/…
Middle Tier
(App. Server)
Clients
Network Security
www.sphinx.at
3
Network Security / Firewall
Client / Server Encryption
VM/OS Security
SQL Access Security (DAM)
Filesystem Access (FAM)
DBA
Business
User
OS Admin
/…/…
Backup Security
Storage/FS Encryption
Hypervisor Security
www.sphinx.at
VM Admin
4
Der Dirigent weiß, wer was spielt.
www.sphinx.at
5
Database Activity Monitoring (DAM)
Wer, was, wann, wo?
• Wer loggt sich wann auf welche DB ein?
▪ Connection Profiling
▪ White List
▪ Black List
• Wer greift wann auf welche Tabellen zu?
• Wer hat eine ungewöhnliche große Datenmenge
abgezogen?
• Wer hat wann schützenswerte Daten abgefragt?
• Wer verändert wann welche Daten (DML)?
• Wer hat die Struktur verändert (DDL)?
▪ Wer hat die Tabelle gelöscht?
▪ Wer hat den Index gelöscht?
▪ Wer hat die Spalte hinzugefügt?
www.sphinx.at
6
Alles beginnt mit einem guten Audit …
Was muss Audit gewährleisten?
• Vollständigkeit
• Unveränderlichkeit
▪ auch durch den DBA oder OS-admin
• Verfügbarkeit
▪ jederzeit auf Anfrage
▪ aktuell und historisch
• Auswertbarkeit
▪ periodisches Reporting
▪ ad-hoc Reporting
▪ Fuzzy Search
Separation of
Duties
• minimaler Performance Impact
• Support von verschlüsselter Client/Server Kommunikation
www.sphinx.at
7
Welche Architektur ist die richtige?
Audit mit Bordmitteln
Anforderungen
• Vollständigkeit
▪ Bordmittel
▪ meist synchron aus der DB
▪ aber aus Performancegründen meist eingeschränkter Umfang
• Unveränderlichkeit
SQL
▪ veränderbar durch OS-Admin / DBA
• Auswertbarkeit
Server
▪ lokal, verteilt über viele Server
▪ unterschiedliche Formate
▪ meist Plaintext Files
• minimaler Performance Impact
DB
www.sphinx.at
▪ 50% und mehr Verlust
• Support von verschlüsselter Client/Server
Kommunikation
8
Welche Architektur ist die richtige?
Audit am Kommunikationskanal
Anforderungen
• Vollständigkeit
▪ meist synchron am Kommunikationskanal
▪ aber aus Performancegründen meist eingeschränkter Umfang
• Unveränderlichkeit
▪ meist veränderbar durch Audit-Admin
SQL
• Auswertbarkeit
▪ zentrales Audit-DWH
• minimaler Performance Impact
Server
▪ merkbarer Verlust
• Support von verschlüsselter Client/Server
Kommunikation
DB
www.sphinx.at
▪ muss meistens aufgebrochen werden
9
Welche Architektur ist die richtige?
Mitschnitt im Kernel ("Tap")
Anforderungen
• Vollständigkeit
▪ synchron / asynchron buffered
▪ HA Appliance
• Unveränderlichkeit
SQL
▪ keine Eingriffsmöglichkeit f. DBA oder OS-admin
closed
Appliance
Kernel Agent
A
SSL
• Auswertbarkeit
▪ zentrales Audit-DWH
▪ BI-Oberfläche
• minimaler Performance Impact
▪ durchschnittlich 2-3%
• Support von verschlüsselter Client/Server
Kommunikation
DB
Server
www.sphinx.at
10
Der Grundstein für die Mauer ist gelegt …
Blocking
realtime
Alerts
Correlation Alerts
Outlier Detection
(KI / Forensik)
Workflows
Baselining
Reporting
Audit
www.sphinx.at
11
audit
Mauerbau für Datenbanken: DB-Firewall
SQL
blocking
c
www.sphinx.at
alerting
…
12
IBM Security Guardium DAM
scp
https
…
Archiving
Web
Reports
Audit
Workflow
Aggregator
Restore
Regular Reporting
ad-hoc Reporting
Quick Search
Qutlier Detection
Workflows
ssh
Web
Rules
Collector
Audit
Sniffer
Web
Rules
Collector
Alerts
Audit
Sniffer
mail
snmp
syslog
custom
SSL
S-TAP
www.sphinx.at
13
Der Dirigent lässt sich seine Ideen nicht
klauen.
www.sphinx.at
14
Schutzlose Files?
Login
OS
rw-------
Filesystem
Disk
copy
www.sphinx.at
15
File Access Security
File Activity Monitoring (FAM)
Encryption
• überwacht Zugriffe im OS
• schützt vor unauthorisiertem Zugriff in
der Maschine
• Audit von Files / Directories
▪ Read Access
▪ Write Access
• Alerting
• Blocking
• begrenzte Granularität
▪ File ist die kleinste Einheit
www.sphinx.at
▪ Decryption nur durch authorisierte …
▪ User
▪ Prozesse
• Schützt vor Diebstahl der Disk
▪ physische Disken
▪ virtuelle Disken
• Separation of Duties
▪ Einschränkung des OS-Admin
▪ zusätzlich zu Permissions / ACLs
16
IBM Security Guardium DAM / FAM
scp
https
…
Archiving
Web
Reports
Audit
Workflow
Aggregator
Restore
Regular Reporting
ad-hoc Reporting
Quick Search
Qutlier Detection
Workflows
ssh
Web
Rules
Web
Collector
Audit
Rules
Collector
Sniffer
Alerts
Audit
Sniffer
mail
snmp
syslog
custom
SSL
S-TAP
/app/…
www.sphinx.at
17
Anforderungen an Encryption
Transparenz
•
•
•
für alle Applikationen und DBs
keine Applikationsänderung
im heterogenen Umfeld
nutzbar
Betriebstauglichkeit
•
keine manuellen Interaktionen
bei Restart / Reboot
Universalität
•
•
•
Performance
•
•
www.sphinx.at
für alle Betriebssysteme
für DBs und Files aller Art
für physische und virtuelle Disken
Nutzung der HW: AES-NI
kein Thema mehr bei aktuellen CPUs
Key Management
•
•
•
•
Key-Rotation
Multitenancy: Mandanten-Keys
Secure Key Backup/Restore
Separation of Duties:
Key-Officers / DBA / OS-Admin
18
Encryption: unterschiedliche Ansätze
Application Level Encryption
•
•
•
Application
Transparent Data Encryption (TDE)
•
•
TDE
Filesystem
LVM
Disk
Individualentwicklung
nur für die Applikation nutzbar
auf Spaltenebene
DB-spezifisch (z.B. Oracle, Microsoft)
nur für DB-Files
File Level Encryption
•
•
universell – fein granuliert
transparent für Applikationen
LVM Encryption
•
•
universell - für viele OS verfügbar
transparent für Applikationen
Storage Level Encryption
•
•
www.sphinx.at
schützt nur physische Disken
transparent für Applikationen
19
IBM Security Guardium Data Encryption (GDE)
Policies
Key Management
https
DSM
primary
Web
Policies
Audit
Keys
DSM
secondary
SSL
Web
Policies
Audit
Keys
Audit via syslog
VMD
/app/…
www.sphinx.at
20
GDE Key Management
2-Tier Ansatz
• DEK: Data Encryption Key
Data
• KEK: Key Encryption Key
DEK
• eDEK: encrypted Data Encryption Key
• einfache Key Rotation
Encrypted
Data
▪ DEK bleibt
▪ keine Neuverschlüsselung der Daten
▪ KEK wird erneuert
▪ eDEK ändert sich
• kryptographisches Löschen
E
KEK
E
eDEK
▪ Vernichtung des KEK
www.sphinx.at
21
Encryption: Methodenvergleich
Storage
LVM
File / GDE
TDE
Application
Transparenz
+
+
+
+
̶
Betriebstauglichkeit
+
̶
+
̶
+
Universalität
̶
+
+
̶
̶
depends
o
+
o
depends
+
+
+
+
+
Key Management
Performance
www.sphinx.at
22
Der Dirigent verschafft sich Überblick.
www.sphinx.at
23
SIEM: Security Information & Event Management
SIM: Security Information Management
•
•
•
•
•
Log-Management
Netzwerk
Betriebssystem
Datenbank
Applikation
Proaktive Funktionen
•
•
Asset Management
Vulnerability Assessment
SEM: Security Event Management
•
•
•
•
www.sphinx.at
Korrelation
Forensik
Alerting
Reporting / Dashboards
24
IBM QRadar
Layer 2
Layer 7
Flow
Collector
Network
Activity
Packet
Capture
Incident
Forensics
Asset
Discovery
Events
Category
Offenses
Assets
Rules
Risks
Normalisierung
Datenbank
syslog
Applikation
www.sphinx.at
Device
Specific
Modules
(DSM)
Log
Activity
Vulnerabilities
25
Das Orchester spielt groß auf.
www.sphinx.at
26
IBM Security Enterprise Architecture
Guardium
Aggregator
Reporting
Guardium
Collector
Guardium
Collector
QRadar
GDE / DSM
primary
www.sphinx.at
S-TAP
S-TAP
VMD
VMD
GDE / DSM
secondary
27
?
Dr. Thomas Petrik
E [email protected]
M +43 664 155 8304
T +43 1 599 31- 0
Sphinx IT Consulting GmbH
Aspernbrückengasse 2
1020 Wien
www.sphinx.at
www.blueboxx.at
Herunterladen