InfoSphere ™ Guardium ®

Seguridad y Auditoría Para Bases De Datos

© 2013 IBM Corporation

InfoSphere™ Optim™ & Guardium ® Technology Ecosystem

TELCOWARE S.A. Av. Republica del Salvador n36-170 y NNUU - Edf La Fontana, mezanine oficina 2www.telcoware.netinfo@telcoware.net593-22264158 +593-2278384 +593-99704213

Information Management

S-TAP

S-TAP

S-TAP

• Colector No invasivo, equipo blindado para reforzar las políticas y registrar los

accesos

• S-TAP Liviano e independiente de la base de datos que monitorea la actividad de la

base de datos

Servidores de Aplicación

Entornos Complejos

Information Management

S-TAP

S-TAP

S-TAP

Usuarios Privilegiados

(Database Administrator)

Auditor Administrador

de Seguridad

Usuarios

de Aplicación

Servidores de Aplicación

Integración de los

procesos de

cumplimiento y el rol

de auditor

Separación de los

deberes de

administración de la

seguridad

Monitoreo y

prevención de los

accesos no

autorizados por

usuarios privilegiados

Identificación de los

usuarios y el fraude

potencial a nivel de

aplicación

Complejidad de Usuarios y Amenazas

Information Management

Evaluación de Vulnerabilidades (VA) y Configuraciones (CAS)

• Basada en los estándares de la industria (DISA STIG & CIS Benchmark)

• Personalizable a través de scripts personalizados, búsquedas SQL, variables de entorno, etc.

• La combinación de pruebas asegura una cobertura completa:

– Configuraciones en la Base de Datos

– Sistema Operativo

– Comportamiento registrado

Actividad Usuarios BD

Nivel OS(Windows, Solaris, AIX, HP-UX, Linux)

Pruebas• Permisos• Roles•Configuraciones• Versiones• Pruebas propias

• Archivos de configuración• Variables de entorno• Ajustes del registro• Pruebas propias

Nivel BD(Oracle, SQL Server,

DB2, Informix, Sybase, MySQL)

Information Management

Identificación: Quién, que, cuando, dónde, y cómo de cada transacción

• Quién: usuario de la base de datos, usuario del aplicativo, usuario del SO

• Qué: Base de datos, nombre del campo, objeto sensible

• Cuando: Periodo de tiempo, horas laborables, horas no laborables

• Dónde: IP cliente, IP servidor

• Cómo: Acceso, extrusión de data, excepción de SQL/login

Acción: Aplicar las reglas

• Loguear

• Alertar

• Control de acceso

Identificación + Acción = Regla de Seguridad → Política de seguridad con máximo

detalle

Políticas de Seguridad

Information Management

Logging• Reportes sobre la actividad crítica (accesos sobre objetos sensibles, acceso de

usuarios privilegiados• Establece un comportamiento base para conocer los patrones habituales (acceso

de los aplicativos durante el día)• Encuentra anomalías en la data colectada ( multiples fallos de login)

Alertar• Correos electrónicos enviados a los administradores de seguridad• Administradores de eventos (syslog, SNMP traps)

Control de acceso• Terminación (tipo FIREWALL finalizar la sesión cuando se accede a un objeto

sensible)• Cuarentena (Bloquear los accesos a la base de datos de un usuario específico por

un periodo de tiempo)• Redact (enmascarar datos sensibles cuando se accede de una IP desconocida)

Aplicar las políticas de Seguridad

Information Management

Los entornos empresariales requieren de gobernar la información basados en políticas

corporativas, regulaciones del gobierno y estándares de la industria

PCI-DSS Payment Card Industry Data Security Standard

SOX Sarbanes-Oxley Act

La mayoría de las soluciones dependen costosos y pesados procesos manuales

Existe un potencial conflicto de intereses cuando el administrador de la base de datos

maneja el cumplimiento de regulaciones

Reforzar la separación de tareas

Capacidad de reportar de forma fácil y comprensiva

Reducción de los costos operativos utilizando Compliance Workflow Automation

Simplificar el gobierno con políticas centralizadas para entornos heterogéneos

Cumplimiento y Governance

Information Management

Escalabilidad Empresarial e Integración

8

Red Corporativa

Internet

DB2

Core

S-TAP

Usuarios Privilegiados

Servidores de aplicaciones

Firewall

Agregador

Colector

Colector

Information Management

Identificación de fraude en la capa aplicación

9E-Business Suite

Application Server

Database Server

Joe

User

Marc

• Problema: El servidor de aplicaciones usa una cuenta genérica para acceder a la DB

– No se puede identificar quién inicio la transacción (pool de conexiones)

• Solución: Guardium sigue el rastro del acceso de la aplicación asociando el comando específico SQL con el usuario.

– Soporte adicional para la mayoría de la s aplicaciones empresariales (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos…) y aplicaciones propias (WebSphere….)

Information Management

Session Terminated

Bloquear Usuarios

www.guardium.com

S-GATESQL

en esperaConexión Terminada

Violación:Terminar conexión

Usuarios Privilegiados

SQL

Verificar políticas

Oracle, DB2, MySQL, Sybase,

etc.

SQLServidores de aplicación

DBA Outsorcing

Information Management

Sobrecarga del rendimiento

Usa valiosos ciclos del CPU

Requiere de almacenamiento masivo

Contención I/O

No hay separación de tareas

Puede ser fácilmente desactivado por el DBA

No provee seguridad en tiempo real

Sin reportes calendarizados y revisiones

Políticas inconsistentes en múltiples plataformas

Añade complejidad

No identifica usuarios a nivel de aplicativo en

conexiones pool

Brecha de seguridad para la fuga de datos

Necesita escribir scripts para filtrar la data, encontrar

anomalías y producir reportes

Consume tiempo de procesos manuales

Por qué los logs nativos no son prácticos

Information Management

Soporte a entornos heterogéneo

Impacto en el rendimiento mínimo

Monitoreo de usuarios privilegiados y de

aplicaciones

Verdadera separación de tareas

Políticas detalladas centralizadas

Reportar y auditar

Compliance Workflow Automation

Comprensivo y bien integrado

Guardium ® la solución correcta

Information Management

¿Qué incluye?

• Solución de Monitoreo

• Solución de Auditoría,

Reportes

• Alertas en tiempo real

• Aceleradores PCI, SOX, Data

Privacy, Basilea

• Workflow Automation

• Agentes S-TAP

• Soporte Multiplataforma

• Conexión LDAP, syslog, SNMP,

SMTP

• Advance Compliance Workflow

Automation

• Database Vulnerability

Assesment

• Database Protection Knowledge

Base

• Data-level Access Control

• Entitement Reports

• CAS

• Application End-User Identifier

• Enterprise Integrator

• IBM InfoSphere Guardium for

z/OS