Imperva
产品系列
● Web 应用防护网关:业内唯一的自动化 Web 应用防护网关
通过向客户和合作伙伴展示企业的战略业务系统,Web 应用程序不但缩减了企业成本,还增加了企业收益。不过,Web 应用程序也使这些重要系统持续受到来自内部和外部的威胁。
保护 Web 应用程序是信息安全领域中最具挑战性的课题之一。为了满足业务需求,Web 应用程序需要不断进行更改,因此安全模型必须能够适应应用程序的更改。此外,由于数据中心进行了高度优化,部署应用程序安全解决方案需要对现有基础结构稍做改动。但是,第一代 Web应用程序防火墙在大多数用户环境中灵活性差,部署后使用起来非常麻烦,维护成本也相当高。
现在需要一种新型的 Web 应用程序防火墙,不但可以自动适应应用程序更改,而且可以在不破坏现有基础结构的情况下进行部署,能满足企业在安全性、性能、部署、操作以及合规性等方面的苛刻要求。
自动化的 Web 应用程序安全性
SecureSphere® Web应用程序防火墙是唯一可向Web和Web服务应用程序提供自动攻击防护的解决方案。Imperva的Dynamic Profiling技术可建立合法应用程序行为的模型,并随着应用程序的更改而逐步更改,这样就保证了SecureSpher的应用程序保护是最新的和准确的。SecureSphere 部署只需几分钟,且无需对数据中心体系结构进行更改,
从而可在不进行手动配置或优化的前提下进行准确的攻击防护。Dynamic Profiling是多层Imperva透明检查技术的基础,可提供千兆位性能、亚毫 秒延迟以及满足最苛刻的数据中心要求的高可用性选项。对于大范围部署,SecureSphere MX管理服务器可集中处理并简化配置、管理、监视和报告。由于SecureSphere支持大量网络部署选项,因此它可以部署到任何环境中,而无需进行网络更改。
● 数据库安全网关:企业数据库使用状况的评估、审计和保护
自动保护数据库安全的方法
SecureSphere® 数据库安全网关可为 Oracle、MS-SQL 、DB2(包括大型机)、和 Sybase、Informix 数据库提供自动化评估、审计和保护功能。动态配置文件技术可自动创建数据库使用配置文件,和细化到访问数据库的每个用户和应用程序的查询级别的安全策略。详细的数据库活动审计和报告功能使得满足审计规定要求更方便,且不会对数据库性能产生任何影响。独特的业务活动分析和相关性技术可将真正的攻击与无害的用户行为变化分离开来,从而提供实时保护。
● 数据库监视网关:自动、可扩展的数据库活动审计和报告SecureSphere 数据库监视网关SecureSphere 数据库监视网关是一系列数据库自动审计设备,适用于 MS-SQL、Oracle、DB2、Informix 和 Sybase 环境。SecureSphere 网关部署为非在线网络监控器,可为应用程序包(如 Oracle E-Business Suite、SAP、PeopleSoft 和自定义 Web 应用程序)建立独立而且详细数据库活动记录。此外还提供有一个专用的主机代理,用于监视数据库管理员的本地(如控制台、telnet、ssh)活动。中心管理服务器可对多个分布式网关和代理进行统一管理。
SECURESPHERE® 网络体系结构
SecureSphere 数据库监视网关
SecureSphere 数据库监视网关是一系列数据库自动审计设备,适用于 MS-SQL、Oracle、DB2、Informix 和 Sybase 环境。SecureSphere 网关部署为非在线网络监控器,可为应用程序包(如 Oracle E-Business Suite、SAP、PeopleSoft 和自定义 Web 应用程序)建立独立而且详细的数据库活动记录。此外还提供有一个专用的主机代理,用于监视数据库管理员的本地(如控制台、telnet、ssh)活动。中心管理服务器可对多个分布式网关和代理进行统一管理。
SecureSphere Web 应用防火墙WAF——行业内唯一的自动化 Web 应用防火墙
行业内唯一的自动化 Web 应用防火墙。含 G4、G8、G16 FTL。具体规格型号请联系我们!
您的 Web 应用安全吗?
Web 应用是攻击的主要目标;根据 FBI 在 2006 年的调查,过去十二个月中,92% 的企业都受到过成功的 Web 应用攻击。这些攻击能够导致从配置文件数据严重损坏到品牌破坏、法律诉讼和罚款的巨大破坏性结果。
安全管理员和管理机构都已经注意到这个事实。由于传统安全产品不能阻止Web 应用攻击,因此,现在的新符合性法规强制要求实施应用层保护。对于许多企业而言,满足现在的安全和符合性要求是一个棘手的难题。
使用 Imperva 保护您的应用和业务
Imperva 的 SecureSphere.Web 应用防火墙能够保护 Web 应用和敏感数据。而且,该防火墙还具有部署简单、自动化、安全性可调整、运行费用低等特点。SecureSphere 为您的企业提供了一套切实可行且高度安全的解决方案,确保企业能够解决与事务处理数据安全和符合性相关的最新难题。
自动化 Web 应用安全
SecureSphere® Web 应用防火墙实现了自动化的 Web 攻击防护,因此改变了企业保护应用和敏感数据的方法。Imperva 的动态建模技术自动构建合法行为模型,并在以后自动根据应用变化进行调整,从而保持 SecureSphere 的应用防护总是最新的、准确的,不需要手动配置或调整。 SecureSphere 的部署几分钟内即可完成,不需要修改原有基础架构,能够保护从个别应用到服务器和网络的整个应用体系。Imperva 的透明检查技术具有数千兆比特的吞吐能力,等待时间短至亚毫秒级,还提供了多种高可用性选项,能够满足最苛刻的数据中心要求。对于大规模部 署,SecureSphere MX 管理服务器可以集中并简化配置、监视和报表工作。
全面的攻击防护
SecureSphere Web 应用防火墙采用多重安全防护提供最高级别的保护。这些防护包括动态配置文件、HTTP 协议验证、平台攻击安全和关联攻击确认。
自动应用学习 – Imperva 的动态建模
SecureSphere 的独特动态建模技术可自动学习被保护 Web 应用的结构、要素和预期使用模式。动态模型持续自动检测有效的应用修改并将其纳入到应用规则文件中。通过对比 Web 请求与模型规则,SecureSphere 能够以高精度检测不可接受的行为并防止恶意活动。
动态配置文件克服了绝对安全模型相关的最大缺陷:需要手动创建和更新一个可能包含几百甚至几千个 URL、表单字段、参数和 cookies 的巨大白名单。动态配置文件技术可自动构建精确的配置文件,不需要手动配置或调整。
来自 Imperva ADC 的最新安全解决方案
Imperva 应用防护中心 (ADC) 是一个国际知名的安全研究机构,他们持续调查全球各地报告的新漏洞,分析来自各种真实 Web 站点的滥用流量,并进行初步漏洞研究来识别最新威胁。这项研究的结果就是 SecureSphere 内各个层上的最新防护措施,包括签名更新、协议验证规则和关联规则。
除了最新的攻击防护外,ADC 还提供了可选的 ADC 知识服务。ADC 知识提供深入的商业应用程序知识、预构建的符合性报表和来自符合性与安全专家的最佳做法。
HTTP 协议验证
HTTP 协议验证可以防止包括缓冲区溢出、恶意编码、HTTP 走私以及非法服务器操作在内的巨量协议滥用。灵活的规则使用户可以严格遵守 RFC 标准,或者允许具体应用的微小偏差。
平台和网络攻击防护
SecureSphere 阻止瞄准已知的 Web 服务器漏洞、中间件漏洞和平台漏洞的攻击。来自 Bugtraq、CVE.、Snort.、Imperva ADC 等来源的 4,000 多个签名为防止这类攻击提供了全面保护。除了识别已知的蠕虫外,SecureSphere 还通过检测具备 Web 蠕虫攻击特征的独特属性组合来识别刚出现的新 Web 蠕虫。
SecureSphere 集成了状态网络防火墙, 能够抵御来自内部和外部来源的非法用户、协议和网络攻击。它符合强制性最佳做法安全要求,可以防止非必需协议使用敏感 Web 应用。
Web 服务保护
利用其动态配置文件技术, SecureSphere 还能够创建包括 XML 文件、要素、属性、模式、变量和 SOAP 操作在内的合法 Web 服务行为模型。任何篡改正常 Web 服务行为的企图都会被发现并阻止。
无与伦比的准确度
Imperva 独有的关联攻击确认技术把跨安全层的、长期时间内的违规行为关联起来,以准确识别最复杂的攻击。个别违规可能无法确切地指明攻击,但是, 通过关联独特的违规组合就可以毫无疑问地确认攻击。没有任何其他解决方案的准确度能够与通过关联攻击确认实现的准确度相提并论。
透明的部署
不需要修改应用程序或网络
透明检查技术独特地使 SecureSphere 能够在不修改原有应用程序、服务器或网络的条件下部署在任何环境内。SecureSphere 提供了全面、准确的应用安全,而且还不要求企业重新设计 Web 应用、修改 IP 或 DNS 设置,也不必更新身份验证方案。
基于内核的透明检查将安全性与部署模式分离开来,从而使 SecureSphere 能够支持如下操作模式:
. 透明桥接器 – 部署简单,能够提供行业最佳的性能
. 路由器 – 用于网络分段、路由安排和网络地址转换
. 逆向代理 – 用于内容修改,例如 cookie 签名、URL 改写
. 透明代理 – 用于快速部署内容修改,不必更改网络
. 非在线式监视程序 – 零风险监视和分析。
千兆比特的性能
SecureSphere 提供每秒数千兆比特的吞吐量、数万次的事务处理量,同时还能将等待时间保持在亚毫秒级。这种性能水平比竞争对手的方法高一个数量级, 保证了完全透明的部署。使用 SecureSphere 后,安全性将永远不会影响数据中心服务水平协议或者应用程序性能。
高可用性
SecureSphere 支持很多种高可用性选项,这使其可以部署在一些全球最大的网络中。可用性选项包括:
. Imperva 高可用性 (IMPVHA),提供亚秒级故障转移
. 虚拟路由器冗余协议 (VRRP),用于路由器或代理部署
. 主动-主动和主动-被动冗余,用于外部可用性机制
. 故障短接的接口,用于保证单网关可用性
. 非在线式部署,用于零风险监视和评估
操作
自动化规则维护
传统白名单安全模型的实现需要持续的手动调整。Web 应用出现修改时就必须更新应用防火墙的白名单。自动建模技术可自动建立 Web 应用的模型并自动根据应用修改调整该模型,因而不再需要手动调整。SecureSphere 管理员仍然完全可以修改应用规则模型和创建定制的规则。
集中管理
SecureSphere 可以作为独立设备进行部署,也可以进行扩展以保护分布式数据中心。对于包括 Web 与数据库混合部署在内的大型环境,SecureSphere MX 管理服务器可以提供集中配置、监视和报表。该管理服务器通过分层的组织分组、粒状管理权限和独特的面向任务的工作流程简化了大型企业环境和 ASP 环境的管理。
企业级报表
SecureSphere 提供了丰富的图形报表功能,使客户能够很轻松地了解安全状态和满足法规符合性要求。SecureSphere 既提供了预定义的也提供了全面可定制的基于 Web 的报表。可以按需查看报表,也可以每日、每周或每月通过电子邮件发送报表。SecureSphere 的报表平台提供了即时全面地了解安全性、符合性和内容提供问题的途径。
监视和报警
实时仪表盘提供了一个高层系统状态与安全事件视图。可以很方便地对报警进行搜索、排序,还可以直接将其链接到相应安全规则。为了灵活地与安全事件管理产品集成,SecureSphere 支持 syslog、SNMP 和直接 ODBC 存取。
应用用户跟踪
SecureSphere 的动态建模技术自动获取 Web 应用用户的名称并把所有后续会话活动与这个具体用户名称关联在一起。因此,SecureSphere 能够独一无二地按用户监视、实行和审计规则。
可选的数据库保护
SecureSphere Web 应用防火墙经过扩展可以监视并保护 Oracle、MS-SQL Server、DB2、Sybase 和 Informix 数据库。SecureSphere 数据库安全网关能够防止外部攻击和内部人员滥用,从而为数据中心提供端到端的安全性。另外, 它还可以利用 SecureSphere 的应用用户跟踪将个别 SQL 查询追溯到 Web 用户。这种通用用户跟踪能力提供了对数据库请求、修改和违规情况的无与伦比的了解。
SecureSphere产品介绍--数据库应用监控防护系统.
数据库安全是信息技术领域最具挑战性的课题之一。企业数据库中的信息作为一种战略资源,需要严格监控,缜密操作,同时也面临着各种各样的攻击的威胁。不断有来自企业内部和外部的数据库破坏、蠕虫感染和通过业务应用程序进行的攻击威胁着数据库。
在这种苛刻的环境中,IT 部门和安全组织需要一种能够支持对数据库使用情况进行评估、审计和保护的自动化解决方案。只有将所有这些问题全部纳入一个解决方案中,才能以较低的成本有效地降低风险,满足规范和法规的要求。
SecureSphere 是唯一可进行实时的数据库使用情况评估、审计和保护,而不需要其他方法所必需的大量手动管理,同时也没有性能限制的新型解决方案。
自动保护数据库安全的方法
SecureSphere® 数据库应用监控防护系统可为 Oracle、MS-SQL 、DB2(包括主机)和 Sybase 数据库提供自动化评估、审计和保护 功能。动态建模技术可自动创建数据库 使用业务模型,和细化到访问数据库的每个用户和应用程序的查询级别的安全策略。详细的数据库活动审计和报告功能使得满足审计规定要求更方便,且不会对数据库性能产生任何影响。独特的业务活动分析和相关性技术可将真正的攻击与无害的用户行为变化分离开来,从而提供实时保护。
自动化数据库安全
评估
要确保数据库的安全,首先要了解其使用情况。SecureSphere 的“动态建模”通过检测实时数据库网络通信来生成使用情况的基准模型,然后自动创建数据库安全策略。安全管理和合规性检测人员可通过检测这些业务模型来轻松获取对实际用户行为的全面理解,并参照最佳实施原则确定用户行为的基准。必要时,安全管理员可修改这些策略,以使其符合依照企业安全策略或法规要求。
SecureSphere 的“业务漏洞模型”提供潜在数据库漏洞的详细情况,只有在数据库投入使用后,通过观察实时数据库用户活动,这些漏洞才会显现出来。例如,我们的 SecureSphere 可以确定对默认存储过程、默认用户帐户和系统对象进行的非管理性访问,所有这些操作都与数据库安全的最佳实施原则相冲突。 基于用户的关联性审计
数据库安全的一个重要组成部分就是准确的提供用户的行为的信息,包括用户与数据库之间发生的每个交互活动(事务)的信息。例如,在符合塞班斯法案的审计机制中,必须记录财务报告数据的每一个变化以及相应的实行操作的人员的具体信息(真实姓名、用户 ID、或其他特定信息)。不幸的是,应用系统的用户在只是登录到应用系统,而不是数据库。而大量的数据库访问是通过一个、或少量数据库连接(连接池)完成的。这意味着,单个最终用户对数据库是不可见的,因此也不可能在数据库审计的报告中出现。SecureSphere 的全局用户跟踪技术使得基于单个用户的跟踪成为可能——即使他们是通过应用系统或 Web 应用来访问数据的。SecureSphere 提供了专用的监控功能来监视应用系统用户的活动,并且将其与数据库的每个交互活动(transaction)对应起来。在前文提到的塞班斯的例子中,全局用户跟踪可以支持将财务数据的变化与相应的最终用户(及其个人信息)以及使用的应用系统和 Web 应用关联起来。
审计
SecureSphere 收集一系列极其丰富的审计数据并提供非常灵活的内置报告功能,可以满足所有内部或外部的合规性要求。作为网络设备,SecureSphere 审计数据可完全独立于所有数据库用户(包括数据库管理员和开发人员)进行收集。除了几种内置的专项报告,管理员还和以在系统中生成定制化的报告。以及通过第三方报告工具或ODBC兼容的数据库访问工具访问审计数据。
• 可以将“数据库活动审计”配置为对所有用户事务进行全面审计或基于一组属性进行有选择性的审计。可以存档活动审计日志,以满足将来的报告和审计要求。
• “实时警报审计”在视图中按照优先级显示所有潜在的危险用户活动(包括对数据库应用程序和数据库平台的攻击)。
• “用户业务模型审计”提供了一种用于了解实际用户行为并将其与最佳实施原则或合规性要求进行对比的强有力的工具。审计报告可以图示出当前的用户业务模型,并能记录对业务模型所做的在不同时间进行的更改。
保护
数据库应用程序保护
SecureSphere 不断将实时用户交互活动与动态数据库业务模型加以比较。如果用户行为与业务模型有显著偏差,则会生成警报,并且可根据策略阻止恶意行为。独特的业务活动分析和相关性技术可将无害的用户行为变化与恶意行为区分开。
例如,某直销人员通常是从客户地址表单中提取信息,现在他试图访问信用卡表单,这很可能意味着恶意活动。SecureSphere 将这一改变视为违反了直销人员的正常业务动,从而发出警报并可以阻止该访问。
数据库平台保护
SecureSphere 的集成入侵防御系统 (IPS) 可使数据库体系结构免受以数据库平台和操作系统软件(如,Oracle、MS-SQL Server、Linux、Windows 2000)中的已知漏洞为目标的蠕虫和其他攻击的威胁。IPS 的功能包括来自应用程序防御中心 (ADC)(这是 Imperva 的国际安全研究组织)的、与 Snort® 兼容的全部特征词典和专有的关于 SQL 的特定特征库。SecureSphere 安全更新服务提供定期更新,以确保所实施的保护基于最新的信息。SecureSphere 的集成状态型网络防火墙可使用户免受未授权用户、危险协议、公共网络层攻击以及蠕虫感染的威胁。访问控制策略支持协议/IP 地址组合的黑名单和白名单,以消除数据中心暴露给非必要或危险协议(如 Telnet 或 pcAnywhere)的风险。
识别复杂攻击
SecureSphere 合并了两种安全模型:动态正向(白名单)和动态反向(黑名单)模型。“即时攻击验证 (IAV)”根据这两种模型立即验证并阻止明显的违规行为。对于不明显的复杂攻击行为,Imperva 使用独特的相关性攻击验证 (CAV) 技术将多个违规行为关联在一起,验证活动是攻击,还是合法用户活动中的正常变化。CAV 将各个安全层上来自同一用户的安全违规行为关联在一起,这些行为包括:与业务模型冲突、DoS 攻击以及 IPS 特征匹配。例如,新查询本身不意味着攻击,请求访问具有已知漏洞的存储过程也不意味着攻击。但如果这两个事件发生在同一请求中,则 CAV 会将其视为攻击行为。SecureSphere 将发出警报并可阻止这样的请求。
部署
对数据库的性能、稳定性,或管理无影响
SecureSphere 可提供全面的安全保障,而不会在任何方面影响数据库的性能和稳定性。作为独立的网络设备,SecureSphere 并不占用数据库服务器的处理资源、内存资源和磁盘资源。SecureSphere 的“透明检测”处理体系结构支持亚毫秒级延迟的千兆位级事务吞吐量。而且,SecureSphere 部署与数据库管理完全分离。
不更改现有体系结构
SecureSphere 可作为透明在线网桥、在线路由器或非在线网络监视器等灵活地部署到网络中。作为独立的网络设备,SecureSphere 不需要管理权限,也不需要对数据库软件进行更改,其部署不会对周围的网络、服务器或应用程序体系结构产生任何影响。
高可用性
SecureSphere 支持很多可用性选项,能够确保出色的正常运行时间和应用程序可用性。
• Imperva 高可用性 (IMPVHA) 协议,将该协议用于以桥接模式部署的两个或更多个 SecureSphere 网关时,其故障切换时间不到一秒。
• 虚拟路由器冗余协议 (VRRP),当 SecureSphere 配置为路由器时,由该协议提供故障切换。
• 冗余网关,可以将冗余网关部署到具有冗余系统体系结构的环境中。SecureSphere 的透明部署模式,当使用外部 HA 机制时,这种模式支持主动-主动和主动-被动故障切换配置。
• 在线应急打开网络接口,在软件、硬件或电源发生故障时,该接口可确保系统的可用性。
• 非在线监视配置,它提供的透明部署没有单点故障。
操作
自动化的安全策略
SecureSphere 提供全面的数据库安全保障,而不需要其他方法所必需的复杂的手动调整过程。所有动态建模都是自动形成的,数据库使用需求随时间不断变化,适应性的学习算法可自动调整业务模型。但是,管理员享有查看和修改业务模型信息的全部权限,此外还可以根据需要创建自定义策略规则。其最终结果是在安全方面的投资既能最大限度地降低业务风险,又能降低总使用成本。
支持责任划分
SecureSphere 提供的数据库使用情况的信息对于不太了解数据库技术的人员都能够理解。因此,SecureSphere 的安全和审计功能可由安全人员或合规性检测人员管理,以便在安全、审计和数据库管理之间维持适当的责任划分和隔离。
集中管理
SecureSphere G4 和 G8 设备可以部署为独立配置模式,包含管理部署所需的所有管理和报告功能。对于需要部署多台设备的大型数据库应用环境,SecureSphere MX 管理服务器可提供集中的管理功能。MX 管理服务器提供管理多网关环境所需的所有业务模型管理、状态监视、警报发送、日志记录和报告等活动。
合规性报告
由于集成了 Crystal Reports™ 的所有功能,或使用了任何符合 ODBC 的数据库报告工具,因此支持预配置的和自定义的报告。使用预配置的报告无需自己定义即可立即查看合规性,还可以查看性能、安全警报、应用程序变化和应用程序更改。SecureSphere 是唯一一个通过合并策略审计和策略实施功能来满足合规性要求的解决方案。
监视地数据库访问
对于数据库操作在服务器本地执行的情况,SecureSphere 通过 SecureSphere DBA 安全监视安全代理对这些本地数据库活动进行监视。
将前台Web 应用程序与后台数据库保护相结合
使用 SecureSphere Web 应用监控网关可以将前台 Web 应用系统和后台数据库系统的监控及保护结合起来。一方面极大的提高了潜在攻击事件的发现能力,另一方面可以为审计提供攻击来源的精确定位。MX 管理服务器统一对将 Web 和数据库应用监控防护系统混合部署的管理。
SecureSphere产品介绍-数据库监视网关
在政府条例和行业标准的驱动下,企业和组织不得不对其企业数据库中存储的敏感信息进行审计。审计人员和信息技术 (IT) 专业人士必须协同工作,共同证实 Oracle E-Business Suite、SAP、PeopleSoft 符合SOX和其他条例的管制要求。数据库管理员 (DBA) 的活动也必须受到监视,以保证其行为符合企业和组织策略和制度.
令人遗憾的是,对重要数据库系统进行审计是件非常复杂的任务。这些系统拥有大量的用户(每个用户具有不同的权限),而且还必须支持高事务率并满足苛刻的服务级别要求。商业数据库软件中内嵌的审计功能满足不了对独立性的基本要求,还会降低数据库性能和显著增加现行管理费用。虽然一些第三方审计产品试图解决这些问题,但它们都不能跟踪审计人员所要求的全部信息,所以不能达到既定要求。
SecureSphere 数据库监视网关
SecureSphere 数据库监视网关是一系列数据库自动审计设备,适用于 MS-SQL、Oracle、DB2 和 Sybase 环境。SecureSphere 网关部署为非在线网络监控器,可为应用以及数据库系统(如 Oracle E-Business Suite、SAP、PeopleSoft 和自定义 Web 应用程序)建立独立而且详细的数据库活动记录。此外还提供有一个专用的主机代理,用于监视数据库管理员的本地(如控制台、telnet、ssh)活动。中心管理服务器可对多个分布式网关和代理进行统一管理。
审计
用户责任
所有数据库审计都有一个主要目标,就是验 证是否为每一个数据库事务正确地建立了 用户的可审计性。例如,符合 SOX 的审计机制 必须将对财务报告数据的每一处更改与系统(如 Oracle E-Business Suite、SAP、PeopleSoft 或其他基于 Web 的应用程序)的最终用户的 名称一起记录到日志中。遗憾的是,应用程序用 户登录到应用程序而不是数据库。所有的数 据库访问都是通过一个数据库连接(连接 池)来完成的。这意味着数据库无法获得应 用程序用户名,因此现有数据库审计方案不 能记录用户名。 SecureSphere 的全局用户跟踪技术使各个 用户都必须为自己的行为负责,即使他们通 过软件包(Oracle、SAP、PeopleSoft 等) 或自定义 Web 应用程序访问数据。为了确 定用户名,SecureSphere 提供一个专用的 界面来监视应用程序用户的活动,并将其 与数据库事务关联起来。在上述 SOX 示例 中,SecureSphere 借助全局用户跟踪技术, 将财务记录更改与通过软件包或客户定制应用 程序中执行此更改的特定用户名关联起来。
对用户业务模型和异常行为进行核实
审计人员要求企业和组织跟踪高级权限操作中出现的异常活动。此任务通常无法完成,因为没有规定每个用户的使用要求的基准。
为了满足确定异常分析的需要,SecureSphere 的动态建模技术采用了复杂的学习算法,自动创建和维护代表每个用户的正常行为的基准业务模型。合规性检查人员因此可将此业务模型与规范或最佳实施原则的要求进行比较。业务模型可以被修改(可选)、审核或转换为策略,SecureSphere 应用这些策略,自动确定异常业务行为。
最佳安全实施原则的安全评估
除了评估访问权限和异常活动之外,审计人员还必须对底层数据库服务器的配置进行评估。安装的是什么级别的软件补丁?数据库是按最佳实施原则配置的吗?对以上问题以及其他问题的回答是否令人满意是评估是否合规的关键。对此 SecureSphere 提供了独一无二的主动和被动的数据库安全评估能力。
SecureSphere 的主动评估就是对照数以百计的配置漏洞(如数据库软件版本、操作系统版本、弱密码、过高的用户权限等)对数据库进行轮询探测。
SecureSphere 的被动评估则可以发现只有通过监视实际活动才能暴露的弱点。例如,多人共享登录账号/凭证以及允许数据库管理员之外的其他人访问敏感数据库元素(如默认存储过程、默认用户帐户和系统对象等)都属于被动评估。
“应用防御中心”是 Imperva 的国际安全研究机构,可定期提供评估更新程序,以确保所使用的最佳做法是最新的。
独立性和责任划分
数据库审计中常被忽略的一个方面是审计过程自身的完整性。为了确保完整性,审计应独立于数据库服务器进行,此外还应将审计责任与数据库管理分开。例如,当利用内嵌的数据库审计模块进行审计时,恶意的数据库管理员 (DBA) 可通过禁止审计功能,很容易就可以破坏审计过程。
作为独立设备,SecureSphere 可将数据库审计责任和数据库管理责任分开。部署 SecureSphere 无需数据库权限,也无需更改数据库配置。基于角色的管理可确保管理数据库的管理员和管理 SecureSphere 的审计人员或安全管理人员之间责任分明。 最后,为了防止用户利用服务器软件漏洞来禁用审计或逃避验证(这样就可逃避责任),SecureSphere 的数据库入侵防御系统 (IPS) 的功能模块所拥有的的 SQL 协议验证技术可将任何企图逃避审计机制的行为记录到日志中。使用 SecureSphere,合规性检查人员可对审计过程的完整性以及审计日志的全面性更有信心。
细节和可扩展性
合规性检查人员在审计过程时,经常会遇到一个棘手的难题,即要在日志详细程度和企业级可扩展性之间作出选择。如果要向审计人员提供所需的信息,则审计系统就必须详细记录数据库活动,直到实际查询和响应这一级别。另一方面,这种查询级别的日志记录会消耗大量的存储空间和 CPU 资源,这会使审计企业级应用程序(如 Oracle E-Business Suite 和 SAP)更加困难。
为了解决可扩展性问题,在小规模数据环境中,许多审计系统只记录实际查询和响应。在中等规模或大规模数据环境中,这些审计系统仅记录基本信息,如用户名称、数据库命令(如 SELECT)和表(如 CUSTOMER 和RECORDS)。更糟糕的是,一些系统不记录独立的事件,而仅对事件做整体记录(如 Joe 访问 CUSTOMER_RECORDS 10 次。)。这些系统忽略了重要的细节信息。查看了哪些客户记录?财务数据是否被更改了?信用卡信息是否遭到破坏?
SecureSphere 的分布式审计体系结构既可记录详细的日志,又可实现企业级可扩展性。这种结构可跨多个高性能 DMG 设备分发审计信息集合、数据存储和分析过程。SecureSphere 管理服务器通过一个统一的控制台显示高级审计视图。当合规性管理人员需要从高级视图深入查看详细的日志记录时,管理服务器会自动从分布式网关检索所需的信息。
为了处理大量数据集和满足长期保留数据的要求,审计信息可定期存档到外部设备上。为了保护数据的完整性和减少对存储空间的需求,存档数据可以加密、签名和压缩。安全管理人员和审计人员可通过审计查看界面控制对存档数据的访问。
灵活的审计策略定义
审计人员使用 SecureSphere 的审计策略向导只需花几分钟时间就可以指定自定义审计标准。审计人员可以指定一个规则,对所有涉及敏感数据的数据库活动进行全面跟踪,或者根据一组属性有选择地跟踪(请参阅 SecureSphere 审计信息表)。此外,还可以多个规则并行,从不同方面对数据访问进行跟踪。例如,一个规则用于跟踪对某一特定表的访问,而其他规则跟踪对表所做的更改。
报告
仅对数据库事务进行简单记录的审计解决方案无法回答审计人员提出的特定数据使用问题。审计信息必须汇总、过滤和分类,企业和组织成审计人员易于查看的格式,快速解决审计人员的问题。
SecureSphere 的集成图形报告功能可以为审计人员提供分析工具,审计人员可以迅速找到特定数据库使用问题的答案。SecureSphere 中已经预配置了大量报告,几乎在任何环境下都可找到适用的报告。另外,其中还包括遵从性报告包,以满足萨班斯-奥克斯利法案 (SOX)、健康保险流通与责任法案 (HIPAA) 和支付卡行业 (PCI) 标准的特定要求。SecureSphere 报告信息还可利用外部报告工具进行访问。
即时响应
大多数审计系统都局限于在事后对数据库事件进行分析。SecureSphere 的实时警报可即时对事件进行评估,这样您就可以即时采取补救措施。
部署
透明部署
部署 SecureSphere 不会对 IT 现有基础架构产生任何影响。作为网络监视器,SecureSphere 不引入任何故障点,也不要求对网络、应用程序或数据库进行任何更改,也不会对数据库性能产生任何影响。借助透明部署,可以快速施行审计,并且不会对接受审计的 SAP、Oracle 应用程序或其他任何关键任务系统的可用性和性能产生任何影响。
监视本地数据库访问
对于数据库操作在服务器本地执行的情况,SecureSphere 通过 SecureSphere DBA 安全监视安全代理对这些活动进行监视。SecureSphere DBA 监视器可以悄无声息地捕获基于控制台对数据库进行的访问。这些活动将被转发到 SecureSphere 网关进行处理和分析,据此来限制代理对数据库服务器性能产生的影响。
集中管理
SecureSphere 网关可部署为独立的审计设备,它具有集成的单设备管理功能。同时,MX 管理服务器可对多网关部署进行集中管理。MX 管理服务器统一了多网关环境中的策略管理、日志记录、报告和警报。此外,还可部署冗余管理服务器,以确保对审计过程进行连续的访问。
SecureSphere 优势亮点
• 全局用户跟踪功能可将数据库活动与 SAP、Oracle E-Business Suite 或其他基于 Web 的应用程序的最终用户关联起来。
• 动态建模可自动创建经过核对的用户活动基准,并确定异常活动
• 分布式审计机制可在适应大规模数据中心的可扩展性的同时收集详细的数据。
• 对 MS-SQL、Oracle、DB2 和 Sybase 混合环境中的日志进行统一的审计保证了审计策略的一致性,而且无需整合来自多个供应商的日志。
• 网络设备和本地主机代理部署确保所有数据库活动都受到监视。
• 透明部署确保快速实施,且不会对数据库性能或可用性产生任何影响。
