Расширенный

Расширенный поиск

Автор

Статьи

Database Firewall

31.10.2016 13:39:29
В базах данных содержится большинство самой ценной для организаций информации, что делает их привлекательными для внешних и внутренних атак. Атаки на web-сервера и на сервера баз данных зачастую преследуют одни и те же цели, запускаются одними и теми же лицами, и имеют схожий характер. Поэтому и защита информации в базах данных строится на использовании решений, имеющих похожие принципы работы и архитектуру.

Содержание:

1. Введение

База данных (БД) является ключевым элементом информационной системы любого уровня и класса, в ней можно найти всю информацию, обрабатываемую системой. Базы данных окружают нас повсюду, например, в смартфоне, которым мы привыкли пользоваться каждый день, их несколько десятков, иногда сотни — и это далеко не предел. Список контактов, смс, игры и другие приложения хранят свои данные в базе. Крупные компании не могут обойтись без использования баз данных, для многих из них данные — это и есть бизнес.

В большинстве случаев данные нужно кому-то демонстрировать, но это не значит, что их должны видеть все. Защита базы данных является одной из самых важных и сложных задач в обеспечении безопасности любой информационной системы. Нарушения безопасности БД могут привести не только к утечке критически важных данных, таких как финансовая информация (счета, платежи), персональные данные (данные сотрудников, клиентов), но и к полному отказу работоспособности всей системы, поскольку БД зачастую подключена ко многим другим системам, обеспечивающим работу всего бизнес-процесса.

Злоумышленник не всегда стремится именно получить данные, иногда его цель — вывести систему из строя (чтобы скрыть другие свои действия или просто чтобы нанести ущерб). Нарушение безопасности может серьезно повлиять на работу компании: возможны финансовые потери, потеря доверия клиентов, снижение рыночной капитализации.

2. Описание основной функциональности

Современные сетевые экраны (брандмауэры) играют важную роль в обеспечении надежной защиты информационных ресурсов организаций от неавторизованного внешнего доступа. Однако методы проведения атак на информационные ресурсы продолжают развиваться и становятся все более изощренными, использующими малейшие бреши защиты. В этой связи вопросы защиты информационных ресурсов от внешних атак остаются актуальными. Для предотвращения негативных последствий реализации угроз организациям требуется решение, обладающее не только функциональностью брандмауэра, но и учитывающее специфику защиты баз данных. Database Firewall (DBF, брандмауэр для базы данных) предназначен для обеспечения такой защиты. Он позволяет в режиме реального времени проводить мониторинг трафика и запрещать неавторизованный доступ к базам данных, исключать возможность реализации SQL инъекций, направленных на использование уязвимостей в системе защиты, запрещает другую подозрительную активность пользователей.

Database Firewall представляет собой комплекс мониторинга, аудита и контроля доступа к информации, обрабатываемой в базах данных. Его использование позволяет исключить возможность выполнения неавторизованных или нетипичных запросов и команд управления базами данных. Для применения не потребуется вносить изменения в существующую инфраструктуру БД и приложений.

3. Необходимость использования DBF в организации для защиты СУБД

В отличии от обычных межсетевых экранов (МЭ), Database Firewall обладает рядом важнейших возможностей для защиты данных.

Мониторинг трафика в режиме реального времени

Брандмауэр системы управления базами данных (СУБД) является прокси-сервером, который контролирует и анализирует проходящий SQL-трафик. Контролируется не только трафик от приложения к базе данных, но и обратный. В случае отсутствия DBF связь между базой данных и сервером приложений является доверительной, поэтому, когда сервер приложений выходит из строя, данные продолжают поступать из базы: этим легко может воспользоваться злоумышленник, подключив к базе сторонний сервер приложений, — и вся информация, идущая из базы, окажется в его руках.

Исключение SQL-инъекций

Помимо контроля трафика, брандмауэр СУБД позволяет блокировать нежелательные запросы к базе данных. Брандмауэр в режиме реального времени проверяет грамматическую структуру SQL-запроса на наличие возможных угроз и в зависимости от результатов этой проверки либо выполняет SQL-запрос, либо блокирует его прежде, чем тот достигнет базы данных.

К опасным запросам относятся атаки типа SQL Injection (внедрение SQL-кода), направленные на получение доступа к базе данных. На сегодняшний день подобные атаки являются самыми распространенными и эффективными. Количество утечек конфиденциальной информации вследствие SQL-инъекций неуклонно растет с каждым годом. Успешная реализация SQL-инъекции позволяет обойти систему безопасности приложения, самой базы.

Защита Database Firewall основывается на методике грамматического анализа SQL-выражения и на анализе запросов в соответствии с имеющимися сигнатурами и правилами. Брандмауэр однозначно блокирует запросы, идентифицируемые как вредоносные, без необходимости подтверждения. Обнаружение вредоносных запросов к базе данных является, как правило, трудновыполнимой задачей, поскольку возможности языка SQL позволяют формировать огромное количество вариаций запросов. По этой причине зачастую брандмауэр работает в режиме оповещения, а не блокирует угрозы. Для повышения эффективности обнаружения атак вместе с сигнатурным методом используют средства контроля доступа. Все запросы, идентифицируемые как подозрительные, коррелируются с информацией, хранящейся в профиле политики безопасности. Если запрос генерирует сигнал тревоги и отклоняется от политики безопасности, то он блокируется.

Существуют брандмауэры, которые могут самообучаться и определять нетипичные для приложений и пользователей SQL-запросы. Брандмауэр переводят в так называемый режим обучения, в котором он начинает собирать все запросы и добавляет их в разрешенный список. Собрав достаточно информации, включают «боевой» режим, в котором брандмауэр блокирует все неизвестные ему запросы.

Распознание известных атак и zero days

База знаний брандмауэра содержит информацию об общеизвестных атаках. Но также брандмауэр отслеживает и неизвестные атаки  (атаки нулевого дня - zero day). Последние наиболее опасны, поскольку против них производитель не успел разработать защитные механизмы. Если злоумышленник попытается воспользоваться функцией с известными уязвимостями, и его учетная запись не будет внесена в разрешенный профиль политики безопасности, то будут приняты соответствующие меры (оповещение или блокировка).

Управление доступом и политики безопасности

Как правило, механизм управления доступом реализован на уровне самой СУБД, но не всегда он настроен подобающим образом: остаются лазейки в серверах приложений, в настройках связей между несколькими серверами и других связующих системах. Брандмауэр СУБД осуществляет контроль доступа к БД, используя гибкую настройку политики безопасности. Создание белого списка предусматривает описание разрешенных к использованию SQL-выражений, полученных в результате анализа или же созданных заранее. Черный список, помимо запрещенных SQL-выражений, может содержать название объектов — схем, таблиц, пользователей. Если SQL-выражение содержит эти элементы, то оно будет заблокировано и не поступит в базу. Также предусмотрена возможность вносить исключения в каждый из списков. Возможны и другие условия фильтрации: время суток, сетевой адрес, название приложения.

Защита от DoS-атак

Целью DoS-атак является вывод СУБД из строя. Злоумышленник использует уязвимости СУБД для перегрузки серверных ресурсов. Для отражения DoS-атак брандмауэр ограничивает скорость соединения каждого пользователя базы, сохраняя ресурсы; контролирует время отклика, позволяя выявить задержки реакции СУБД на запросы, схожие с DoS-атаками; производит сигнатурный анализ и анализ протоколов СУБД на аномалии, сравнивает трафик с ожидаемыми значениями; обнаруживает неавторизованные запросы на основании политик безопасности, если действие происходят с другого IP-адреса, компьютера, типа ОС, клиентского приложения или в нерабочие часы, а также нетипичные для пользователя SQL-запросы.

Аудит и анализ событий

Все большей популярностью пользуются системы анализа событий безопасности — SIEM (Security Information and Event Management). Некоторые брандмауэры СУБД выполняют похожие задачи, полностью контролируя действия пользователей в базе данных. Брандмауэр обрабатывает данные, полученные из журналов аудита, и консолидирует их с результатами мониторинга SQL-трафика.

В большинстве случаев задачи аудита возложены на саму СУБД, но такое решение не всегда оправдано и эффективно. Работа систем аудита сильно снижает производительность процессора, оперативной памяти, жесткого диска, тем самым замедляя работу всей системы. С точки зрения безопасности контроль над действиями администраторов базы данных остается неполным. Администратор может легко скрыть свои вредоносные действия, отключив механизм аудита СУБД или же просто очистив журнал аудита. Также невозможно идентифицировать действия пользователей, которые работают через веб-приложения: все их действия ассоциируются с одной и той же учетной записью (записью приложения).

Современные Database Firewall умеют работать с данными аудита СУБД, но существуют и брандмауэры, которые содержат собственные механизмы аудита и собственные хранилища. Некоторые механизмы брандмауэра превосходят по своим качествам механизмы аудита базы: не влияют на производительность, контролируют действия администраторов базы данных, могут контролировать действия конкретных пользователей веб-приложений (определить имя пользователя и выполнить корреляцию с SQL-запросами самого приложения).

Применение политик безопасности и создание отчетов

Database Firewall имеет предварительно сконфигурированные шаблоны отчетов, которые помогают обеспечить соблюдение требований законодательства и стандартов безопасности, таких как HIPAA, PCI DSS, GLBA, SAS-70 и SOX. Позволяет создавать собственные политики безопасности в соответствии с этими стандартами.

4. Сравнение функционала разных DBF

Среди современных Database Firewalls можно выделить зарубежные решения Oracle Database Firewall, IBM InfoSphere Guardium, Imperva SecureSphere Database Firewall. Каждый из этих продуктов имеет свои особенности, но основные возможности и общий принцип функционирования у них одинаковые.

Ниже приведена таблица поддерживаемых СУБД для этих решений:

Таблица.
Oracle MySQL Microsoft SQL Server SAP Sybase IBM DB2 IBM Netezza PostgreSQL Teradata
Oracle Database Firewall + + + + + + + +
IBM InfoSphere Guardium + + + + + + + +
Imperva Database Firewall + + + + + + + +

Также на рынке присутствуют решения по защите баз данных отечественной разработки, например, «Гарда БД» от компании МФИ Софт.

Далее рассмотрим более подробно две системы – «Гарда БД» и «Imperva». Функционально эти два продукта похожи, но есть и существенные отличия. В зависимости от задач можно использовать как полноценную систему, так и пользоваться только необходимыми модулями и параметрами. Возможна установка как на физические носители, так и виртуальные. Ниже приведены особенности этих систем:

«Imperva»

Комплекс Imperva SecureSphere позволяет предотвращать кражу, подмену и порчу информации. Imperva SecureSphere представляет собой комплекс инструментов защиты web-серверов, файловых серверов и серверов баз данных. Единая платформа Imperva SecureSphere эффективно блокирует несанкционированный доступ к конфиденциальным данным в организации.

В состав решений Imperva класса Database Security входят следующие решения:

  • Database Activity Monitoring (далее – DAM) – мониторинг и аудит активности пользователей в базах данных.
  • Database Firewall (далее – DBF) – активный мониторинг и защита баз данных в режиме реального времени.
  • Discovery and Assessment Server (далее – DAS) – оценка уязвимостей, управление конфигурациями и классификация данных.
  • User Rights Management for Database (далее – URM) – аудит и контроль прав доступа пользователей к базам данных.
  • ADC Insights – предустановленные отчеты и политики для соблюдения стандартов безопасности и защиты бизнес-приложений SAP, Oracle и PeopleSoft.

Решения Imperva класса Database Security реализуют следующий функционал:

  • Аудит доступа к базам данных.
  • Оповещение об атаках на базы данных и их предотвращение, пресечение неавторизованной активности в режиме реального времени.
  • Анализ уязвимостей баз данных и автоматическое создание виртуальных «заплаток».
  • Контроль прав доступа пользователей к базам данных.
  • Оперативное расследование инцидентов.

Решение Imperva имеет сертификат соответствия ФСТЭК России № 2937 на соответствие техническим условиям (ТУ), действительный до 08.08.2016. Стоит заметить, что версия 7.5 является устаревшей, а сертификат на более свежие версии продукта в настоящий момент отсутствует.

«Гарда БД»

«Гарда БД» – комплекс класса DAM (Database Activity Monitoring – система аудита сетевого доступа к базам данных) выявляет возможные утечки информации и повышает надежность защиты баз данных. Система проводит мониторинг обращений к базам данных в режиме реального времени и выявляет подозрительные операции. Таким образом, «Гарда БД» позволяет предотвращать утечку конфиденциальной информации и персональных данных, а также повышает надежность защиты баз данных.

В состав «Гарда БД» входят следующие модули:

  • «Анализатор» – серверное приложение, которое осуществляет перехват и анализ подключений и запросов к базам данных;
  • «Сервер БД» – серверное приложение, отвечающее за хранение собранной информации, настроек системы и т.д.;
  • «Центр управления «Гарда БД» – клиентское приложение, с помощью которого осуществляется настройка системы;
  • «Гарда БД. Отчет» – клиентское приложение для работы со статистическими отчетами и графиками.

Система «Гарда БД» обеспечивает:

  • Защиту конфиденциальной информации, хранимой в базах данных (в том числе и веб-приложениях);
  • Определение подозрительных операций в базах данных;
  • Выявление SQL-инъекций в серверы приложений;
  • Выявление статистических аномалий;
  • Активную защиту от утечек информации и несанкционированных действий в базах данных;
  • Контроль веб-приложений, работающих с базами данных;
  • Контроль действий привилегированных пользователей.

Решение «Гарда БД» версии 3.0 имеет сертификат соответствия ФСТЭК России № 3435 на соответствие РД НДВ по 4 уровню и ТУ, действительный до 13.08.2018. Наличие данного сертификата является преимуществом, так как позволяет использовать данный продукт при защите баз данных в государственных информационных системах 1 и 2 класса защищенности, а также ИСПДн 1 и 2 уровня защищенности персональных данных.

5. Анализ законодательства, касающегося применения DBF

Защита баз данных совсем недавно вошла в сферу внимания отечественного законодательства в области информационной безопасности. ФСТЭК России, например, планирует в ближайшее время разработку нормативного документа, устанавливающего требования к механизмам безопасности систем управления базами данных. На данный момент в наиболее свежих и актуальных действующих на территории России НПА и стандартах устанавливаются явные требования по применению специализированных решений по защите баз данных. Примеры данных требований указаны ниже:

  • Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»:
    • контроль целостности персональных данных, содержащихся в базах данных информационной системы;
  • Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»:
    • идентификация и аутентификация объектов систем управления базами данных…;
    • контроль целостности информации, содержащейся в базах данных информационной системы;
  • СТО БР ИБСС:
    • M3.18. Выявление и блокирование несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин;
    • M7.3. Отсутствие в организации БС РФ работников, обладающих полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведение несанкционированных операций по изменению состояния банковских счетов;
    • M8.6 Изоляция серверов, офисных ЭВМ и другого оборудования, не входящее в состав АБС, реализующих банковские информационные технологические процессы, от указанных АБС на уровне локальных вычислительных сетей.
  • PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платёжных карт):
    • 6.5.1 Противодействие инъекциям, в особенности, SQL- инъекциям;
    • Раздел 7;
    • 8.7 Любой доступ к базе данных держателей карт (включая доступ со стороны приложений, администраторов и любых других пользователей) должен быть ограничен следующим образом:
      • доступ, запросы и операции с базами данных должны осуществляться только программными методами;
      • разрешение запросов и прямого доступа к базам данных только для администраторов баз данных;
      • учетные записи приложений по управлению базами данных могут использоваться только приложениями (но не пользователями или иными процессами).
    • Раздел 10.

Стоит заметить, что не всегда требования к защите баз данных в нормативных документах указываются явно – например, практически везде есть требования по аудиту событий информационной безопасности, сегментированию информационных систем и их компонентов, а также иных мер, которые на уровне баз данных часто реализуются именно с помощью Database Firewall (Database Activity Monitoring), поэтому использование решений данного класса при защите критичной информации, содержащейся в базах данных, становится фактически обязательным.