1、Guardium数据监控和审计,Guardium简介Guardium监控和审计架构实现Guardium安装和配置Guardium策略、警报和审计报告Guardium审计监控典型应用讲解Guardium服务器容量评估和扩展架构Guardium日常运行维护,Agenda,Guardium是什么,是一个打包了软件、操作系统和硬件的解决方案从硬件的角度来说就是个PC Server软件是Tomcat + MySQL及探针操作系统是Redhat内核,经过封装,提供了一些用户接口,硬件配置,两块300G1T的盘做RAID1CPU 建议8core以上内存 Guardium8.1的最佳配置是16G,9.1版本建
2、议32G网卡 如果有万兆网卡最好,如果没有也可以用千兆,软件,Guardium可以看做是一个报表系统是Tomcat + MySQL组成的一个报表平台,Tomcat提供应用服务,MySQL提供数据存储;同时提供了警报、工作流等功能主要是对收集的数据包进行拆分、解析,按条件存储,提供查询。探针,操作系统,Redhat内核 在Guardium8.1是Redhat4.x的内核,只有32位现在Guardium9.1是Redhat5.x的内核,支持64位,性能上更强,为什么需要Guardium?,2010 Verizon数据泄漏评估报告,http:/ 数据泄漏在各行业的分布数据库服务器 占受损失记录的 9
3、2%,70%以上IT风险属操作风险,该风险的最大漏洞在数据库,随着企业业务对IT系统的依赖程度越来越高,IT风险对业务风险的影响也越来越大。而IT风险中70%以上属于操作风险,即由人工操作不当(无意或故意)引起的风险。因此,有效地控制IT风险,尤其是操作风险,对企业的安全运营至关重要。3/4的企业不清楚特权用户(DBA等)对数据库进行过何种操作2/3的企业不能有效防止特权用户对数据库的非授权访问85%的成员将真实数据不加防范地交与开发人员或第三方人员将近一半的成员对其非特权用户访问敏感数据毫无措施,Source: 2010 Independent Oracle User Group (IOUG
4、) Data Security Survey, based on survey of 430 members. http:/ Server等等,查看安装配置文档,用户在虚拟机上进行安装配置练习,安装后基础配置,Guardium简介Guardium监控和审计架构实现Guardium安装和配置Guardium策略、警报和审计报告Guardium审计监控典型应用讲解Guardium服务器容量评估和扩展架构Guardium日常运行维护,Agenda,数据流入,对于SPANPORT模式,数据包的流入是无条件的,不可筛选 数据从交换机端口镜像至Guardium的网络接口,无条件流入Guardium服务器,
5、在Guardium内部进行过滤、解析、分流、筛选、整理,存储 ;初步过滤由Inspection Engine控制;对于关注的数据内容,并作出对应的反应由策略来管理对于STAP模式,可以选择从源端(被监控库)收集或抛弃哪些数据包;数据流入Guardium服务器后的处理方式,与SPANPORT模式相同,Inspection Engine,Policy,Inspection Engine经过初步过滤的数据包,下一步如何处理 构建策略GUI界面策略配置入口:Monitor/Audit - Build Audit Policies或是, Tools - Policy Builder,Policy - R
6、ule,Policy - Rule,配置完成的Rule,Rule展开 Rule - Actions,用户进行Policy和Rule配置练习,Policy - Rule,29,一系列反映“最佳做法”的合规报表数百个预先配置的关于数据隐私、SOX和PCI的报表 基于行业的最佳做法简便的自定义报表 ( 提供智能钻取分析功能)识别异常活动的阀值可以由没有DBA经验的负责安全的人员管理,客户端IP,服务器IP,数据库类型,执行的命令,总执行次数,审计监控典型应用 审计报告,集中展示企业内各异构数据库的授权变更报告,了解DBA过去一周给哪些用户赋了哪些权限,是否合规?,各数据库一网打尽,关键点: 审计报告
7、的可理解性,审计监控典型应用 日常审计报告,输出报告样例: 图表,输出报告样例: Excel,报告输出样例: PDF格式,Alert,Alert 通过SMTP发警报邮件,实时警告 很多组织机构都禁止其员工(以及黑客)检索过多的潜在敏感数据,如果出现这种情况,则会发出警告,以便他们可以快速地调查和确定是否发生了严重的违规行为。 执行该操作的一个方法是根据 “受影响的记录” 策略的访问规则中创建一个阈值。先决条件: 创建一组您要对其发出警告的敏感数据对象。,审计监控典型应用 实时警告,审计监控典型应用 实时警告,确保您的系统配置针对所有检查引擎启用了 Inspect Returned Data 和
8、 Log Records Affected。,在任何数据库用户对敏感数据对象的读取记录的数量超过 200 时发出警告,审计监控典型应用 实时警告,Alert! 有人从应用服务器以外的地方使用专用口令访问数据库!,审计监控典型应用 实时警告,审计监控典型应用 特权用户行为监控,特权用户行为监控 因为特权用户拥有对数据库的较大访问权限,一些组织机构要求详细监视管理用户(特权用户)的任何活动先决条件: (1)创建如上所述的一个 特权用户组(其中包括您认为是 “特权用户” 的任何人)。 (2)创建一个敏感对象组 (3)创建一个敏感操作命令组 建立策略,当特权用户用敏感操作命令访问敏感对象组时,记录详细
9、信息并发出警报,“监视/审计”-“报告构建”-“组构建器”构建敏感对象组,如XXXX_Sensitive_Tables,审计监控典型应用 特权用户行为监控,用户进行配置练习,审计监控典型应用 特权用户行为监控和报警,终止对敏感对象的非法访问,敏感数据组,其他功能 通过S-TAP实现实时阻断,“DBMS 软件本身对于管理员是不设防的, 今天DBAs 可以轻松地查看并拿走数据库中的敏感数据。” Noel Yuhanna, Forrester, “Database Security: Market Overview,” Feb. 09,Hold SQL,Connection terminated,P
10、olicy Violation:Drop Connection,Issue SQL,Check PolicyOn Appliance,46,S-GATE,Privileged Users,其他功能 通过S-TAP实现实时阻断,两种阻断方式,S-TAP,DatabaseServer,Database,Guardium简介Guardium监控和审计架构实现Guardium安装和配置Guardium策略、警报和审计报告Guardium审计监控典型应用讲解Guardium服务器容量评估和扩展架构Guardium日常运行维护,Agenda,Guardium的高可用架构,SPANPORT模式需要通过F5设
11、备进行数据包在不同Guardium服务器之间的分发,Guardium容量估计,Guardium容量估计,可扩展的企业级多层架构,集中管理Policies pushed to collectors from central manager企业级汇总分析Collectors aggregate data to central audit repository分布式平台和system Z统一的数据收集结构强行阻断(S-Gate)阻止特权用户访问敏感信息异构的数据库支持Oracle, DB2, SQL Server, Sybase, etc.,Test and Development,Integrat
12、ion with LDAP, IAM, IBM Tivoli, SIEM, IBM TSM, Remedy,Guardium简介Guardium监控和审计架构实现Guardium安装和配置Guardium策略、警报和审计报告Guardium审计监控典型应用讲解Guardium服务器容量评估和扩展架构Guardium日常运行维护,Agenda,日常维护 基本命令,启动 重启Guardium 服务器 restart system停止 stop system重启GUI服务器 restart gui重启Inspection Core restart inspection-core,日常维护 补丁维护,
13、检查现有已安装补丁show system patch installed P# Who Description Request Time Status100 CLI Guardium Patch Update (GPU) for 2012-11-28 17:09:15 DONE: Patch installation Succeeded.107 CLI Source Program Collapse functio 2012-11-28 17:24:14 DONE: Patch installation Succeeded.121 CLI MySql performance fix 2012-
14、11-28 17:29:59 DONE: Patch installation Succeeded.123 CLI Sniffer stack and queue fixes 2012-12-07 11:37:27 DONE: Patch installation Succeeded.在Guardium console界面输入fileserver通过 http:/guardium-ip 访问,可以Upload Patches选择合适的补丁上传,待显示已上传成功,关闭页面,在console端Enter退出fileserver模式安装补丁:show system patch availablest
15、ore system patch install sys now,健康状况查看 System View-System Monitor,健康状况查看 Guardium Monitor,系统修复,如果Guardium 的System monitor没有数据,且buffer usage monitor也没有数据,则尝试执行 restart sniffer_buffer_usage如果仍没有数据,则执行 start inspection-core start / restart gui如果gui界面无法访问,则执行 restart gui,系统修复,如果数据流入但是无法检索到,可执行 restart
16、inspection-engine最后,再执行一次restart stopped_services命令,以免有其他停掉的服务没启动起来,日常维护 排错,在console界面,输入diag,选择合适的选项收集数据(在Trouble Shooting过程中,根据实验室Level 2支持工程师的要求收集数据),日常维护 其他调试工具,IPTRAF 可以给出某指定网络端口的网络流量,日常维护 数据归档、备份和清理,日常维护 数据归档、备份和清理,用户练习熟悉日常维护命令,日常维护 日常维护命令,STAP模式 AIX安装,AIX上S-TAP安装 以root用户按序执行下列命令 installp -aX
17、-d /tmp/stap/Native_Installers/ guard-stap-v82_r33264_1-aix-5.3-aix-powerpc.bff SqlGuardInstaller然后,执行上述命令在 /usr/local/guardium 目录中生成的安装脚本。在安装过程中,除了需要修改配置文件中如下几个选项以外,其他均采用默认设置。tap_ip=sqlguard_ip=ktap_installed=1,STAP模式 Linux安装,交互模式安装:./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modul
18、es 非交互式安装./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modules /tmp/modules-guard-8.0.xx_r20992_1.tgz -ni -tls 1 -k -dir /usr/local -tapip 19.12.144.102 -sqlguardip 19.12.148.109,STAP模式 建议安装模式GIM,Steps:1、在Data Server上安装GIM(Guardium Installation Manager)2、 Guardium GUI,Administration C
19、onsole-Module Installation-Upload3、将STAP包Upload,然后Import 4、 Administration Console-Module Installation-Setup By Client,输入DataServer的IP(即安装了GIM的被监控库),Next,Next5、左侧选择STAP包,Next6、,STAP模式 建议安装模式GIM,Steps:7、select Client Module Parameters, Apply to Selected8、Apply to Clients,然后点击 Install /Update,Noew,Acc
20、ept完成安装9、Administration Console Module Installation Setup ByClient, 选择Data ServerIP 点击information icon,显示已安装.,Guardium STAP配置,Guardium STAP配置,S-TAP 启动停止,非GIM安装:root用户/etc/inittab文件找到utap:2345:respawn:/usr/local/guardium/guard_stap/guard_stap /usr/local/guardium/guard_stap/guard_tap.ini对改行加注释(AIX为 :,
21、其他平台为# 注释)执行init q反之,重新启动则除去标记,然后执行init q,对于HA数据库环境1、S-TAP不允许配置不在本机网卡上的IP作为tap_ip或alternate_ip; 2、S-TAP和Guardium通信时会确保S-TAP本地配置和Guardium服务器端配置一致,不然会进行同步目前双机环境上的S-TAP配置是,只配置tap_ip=service ip,如果在主节点运行,备节点S-TAP不运行;切换至备节点后,启动备节点上的S-TAP,S-TAP模式 -特定场景下的guard_tap.ini配置,TSM归档和备份,Ask TSM administrator to cre
22、ate a dsm.sys, then import tsm config; Then,1. Administration Console -Data Archive or System Backup.2. Select the TSM radio button3. Enter the TSM password that this Guardium unit uses to request TSM services, and re-enter it in the Re-enter Password box.4. Optionally enter a Server name matching a servername entry in your dsm.sys file.5. Optionally enter an As Host name.7. Apply button to save the configuration. When you click the Applybutton, the system attempts to verify the TSM destination by sending a test file to the server using the dsmc archive command.,Finish. Thanks!,
