Bezpečnostní brána SecureSphere opevňuje databáze

Scénář je jednoduchý: Uživatel má oprávnění zadávat dotazy nad tabulkou zákazníků ve vaší databázi. Prostředn...


Scénář je jednoduchý: Uživatel má oprávnění zadávat dotazy nad tabulkou
zákazníků ve vaší databázi. Prostřednictvím rozhraní příslušné aplikace se
obvykle dotazuje na jednoho zákazníka v daném okamžiku, ale jednoho dne zůstane
v práci do večera, překlopí celou tabulku zákazníků do textového souboru a
vypálí si ji na DVD.
Tento typ aktivit je označován jako zneužití uživatelských práv a žádný z
výrobců databází proti němu nenabízí vestavěnou ochranu. Na rozdíl od síťových
administrátorů, kteří využívají firewally atd., byli správci databází ponecháni
svému osudu až dosud. Zařízení Imperva SecureSphere Database Security Gateway
(DSG) jim totiž poskytuje funkcionalitu, již potřebují k tomu, aby databáze
ochránili před nežádoucími aktivitami, ať už mají za cíl firmu poškodit, nebo
ne.
SecureSphere DSG chrání systémy tím, že omezuje typy dotazů, jež mohou být
prováděny, a klientských programů, jejichž prostřednictvím je lze vykonávat. V
jádru však DSG poskytuje ochranu před zneužitím práv, k němuž dochází v mnoha
formách zevnitř i zvnějšku sítě, například formou útoku SQL injection. Tuto
úlohu zvládá tak, že se naučí běžné vzory provozu. Poté, co definuje typické
aktivity, umožní administrátorovi, aby je schválil (samozřejmě za předpokladu,
že jde o povolené aktivity).
Při instalaci SecureSphere DSG je namístě pečlivé plánování zařízení musí být
umístěno ve správném místě v síti, aby mohlo zachytit provoz směřující na vaše
servery. Instalace je ale docela snadná a proces učení obranného mechanismu je
jen otázkou času. Správa je prováděna přes přehledné webové rozhraní.
Komplexní filtrování
SecureSphere DSG je schopné filtrovat dotazy ve třech různých režimech: v
režimu učení a ve statickém nebo dynamickém módu. V režimu učení DSG pouze
sbírá prováděné dotazy a nedělá nic pro to, aby jejich vykonání zabránilo.
Statický mód zastaví dotazy, které nepatří do množiny schválených profilů, a
nedovolí provádět žádné nové typy dotazů. Dynamický režim funguje podobně,
avšak některé nové typy dotazů provést umožní. Je vhodný pro použití v
dynamičtějším prostředí, kde je běžně používáno ad hoc dotazování podle
aktuální potřeby. I tak si ale nebudete přát, aby si někdo vyexportoval celou
tabulku zákazníků či pacientů, takže oceníte užitečný způsob, jak zabránit
nechtěným aktivitám, jež představuje substituce řetězců. DSG "čmuchá", zda v
dotazu nenalezne daný řetězec textu, a ten může nahradit, čímkoliv si zvolíte.
Podmínky pro vyhledávání mohou být složité, můžete jich ale zadat, kolik chcete.
Jediná aplikace
Jedním z vážnějších problémů, jimž správci čelí, je nalezení způsobu, jakým
omezit, aby mohli uživatelé k databázi přistupovat pouze z jediné front-endové
aplikace a nemohli ji obejít pomocí jiného dotazovacího nástroje. SecureSphere
DSG však umožňuje stanovit, které aplikace se mohou k dané databázi připojovat.
Samozřejmostí je, že uživatelům přiřadíte role, jež definují, ze kterých
aplikací se mohou k databázi připojit. SecureSphere lze nastavit tak, aby
určitým uživatelům povolila pouze určité typy dotazů a práci se serverem v
určitých hodinách. Tyto schopnosti poskytují nekonečné možnosti pro obranu před
čímkoliv od běžných omylů až po vážné zneužití práv. Pokud dojde k porušení
politiky, DSG může učinit různé akce. Může především zablokovat danou aktivitu
nebo zcela zablokovat i všechny další aktivity příslušného uživatele, poslat
e-mail nebo zablokovat IP adresu, z níž se daný proces snažil o připojení.
Proaktivní přístup umožňuje ihned prověřit podezřelou aktivitu a umožnit
uživateli pokračovat v práci teprve poté, co jej správce manuálně odblokuje.
Možnosti reportingu jsou sice užitečné, ale mají významná omezení, navíc lze k
reportům přistupovat jen z webové konzole bez možnosti exportu či zasílání
e-mailem. Podle výrobce by tato funkcionalita měla být rozšířena během léta.
SecureSphere DSG může být důležitou součástí celého modelu zabezpečení
databází. Nejenže vyplňuje prázdné místo, které za sebou nechávají dodavatelé
databází, ale navíc poskytuje prostředek prevence proti zneužití práv.(wep) 6
0991
Imperva SecureSphere Database Security Gateway 4.2
široká škála funkcí a možností ochrany
reporting, cena
Prodejce: Imperva, imperva.com
Cena*: začíná na 42 500 dolarech, zahrnuje neomezenou podporu pro databáze a
modul pro kontrolu shody
Platformy: Oracle 8.0 a novější, Microsoft SQL Server 7.0 a novější, Sybase
12.5.0 a 12.5.2; DB2 pro Unix, Linux, Windows a mainframy (zOS) 7.x, 8.1.3, 8.2
* Produkt v ČR nemá přímého distributora, proto je cena uvedena v dolarech

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.