8 Steps to Holistic Database Security. des bases de données. CTO for Integrated Data Management

Transcription

1 Gestion Information Management l information Livre White Paper blanc 8 Steps to Holistic Database Security Les By Ron Ben 8 Natan, étapes Ph.D., Distinguished la sécurité Engineer, globale CTO for Integrated Data Management s bases Par Ron Ben Natan, Ph.D., ingénieur émérite et directeur s techniques informatiques pour la gestion intégrée

2 2 Les 8 étapes la sécurité globale s bases 2 8 Steps to Holistic Database Security Les cyberattaques, les méfaits commis par les employés et les exigences en matière conformité poussent les organisations à trouver nouveaux moyens sécuriser les clients et les d entreprise stockées dans leurs bases commerciales Oracle, Microst Server, DB2 et Sybase, entre autres marques. Le présent document présente les huit pratiques exemplaires essentielles procurant l approche Cyberattacks, malfeasance by insirs regulatory requirements are globale qui permet à la fois sécuriser les bases et driving organizations to find new ways to secure ir corporate se conformer aux réglementations clés telles que SOX, PCIcustomer data found in commercial systems such as Oracle, DSS, Microst GLBA et les lois Server, sur la protection DB2 s Sybase.. This paper discusses 8 essential best practices that provi a holistic approach to both Sécuriser safeguarding s les bases achieving compliance with key et regulations assurer such SOX, la PCI-DSS, conformité GLBA data protection laws. Les attaques à motifs financiers, les méfaits commis par les employés Safeguarding et les exigences s en matière conformité forcent les organisations à trouver nouvelles façons sécuriser leurs achieving compliance et celles leurs clients. Financially-motivated attacks, malfeasance by insirs regulatory requirements are driving organizations to find new La majeure ways to secure partie ir s corporate sensibles customer à l échelle data. mondiale est stockée dans s bases commerciales Oracle, Microst Most Server, world s sensitive DB2 data et Sybase is stored notamment in commercial ce qui en fait s cibles systems plus such en as plus Oracle, prisées Microst s criminels. Server, Voilà sans DB2 doute pourquoi Sybase les making attaques s par an increasingly ont favorite bondi 134 target % en for 2008, criminals. haussant This ainsi may explain moyenne why quotidienne attacks ces attaques jumped 134 quelques percent in milliers 2008, increasing à quelques from centaines an average milliers thous d après un per rapport day to several récent d 1. hundred thous per day according a few to a recently-published report by 1. Selon une étu Forrester2, les choses s enveniment puisque 60 % To s make entreprises matters worse, accusent Forrester du retard 2 reports dans that l application 60 percent s enterprises rustines are sécurité behind s in bases applying. security Par ailleurs, patches, while a déterminé 74 percent qu à la all fin Web 2008, application aucune vulnerabilities rustine n était which disponible are predominantly pour 74 % s vulnérabilités Injection vulnerabilities liées aux applications disclosed in Web 2008 qui ont did été not divulguées even have an cette available année-là patch et by qui, end majorité, 2008, sont according sujettes à to s. s. Jusqu ici, nos efforts ont porté principalement sur la sécurisation s périmètres réseau et s systèmes clients (pare-feu, systèmes détection et prévention d intrusion, antivirus, etc.). Nous entrons maintenant dans une nouvelle phase où l on me aux pressionnels la sécurité l information faire en sorte que les bases d entreprise soient protégées s effractions et s changements non autorisés. information security pressionals are being tasked with ensuring that corporate s are secure from breaches Voici les huit pratiques exemplaires essentielles formant unauthorized changes. l approche globale qui permet à la fois sécuriser les bases Here are et 8 essential se conformer best practices aux réglementations that provi a clés holistic telles que SOX, approach PCI-DSS, to both GLBA safeguarding et les lois sur s la protection achieving s : compliance with key regulations such as SOX, PCI DSS, GLBA 1. Découverte data protection laws: On ne peut sécuriser ce que l on ne connaît pas. Il faut donc 1. une Discovery. mise en correspondance adéquate s actifs sensibles c est-à-dire You can t secure s instances what you don t bases know. You need et s to have a good sensibles mapping contenues sensitive dans les assets bases both. En outre, vous vez instances automatiser le processus sensitive data découverte insi s. puisqu en raison Plus, you should l ajout automate ou la modification discovery d applications, process since ainsi location que s fusions sensitive et s data acquisitions constantly notamment, changing due l emplacement to new or modified s applications, sensibles mergers change continuellement. acquisitions, etc. «On ne peut sécuriser ce que l on ne connaît You can t pas. Il secure faut what donc you une don t mise know. en You need correspondance good mapping adéquate sensitive s actifs assets both sensibles c est-à-dire s instances bases instances et s sensibles sensitive data contenues insi dans s. les.» Figure 1: Utilisation d outils découverte pour lancer une mise en œuvre. Vous vez mettre en correspondance vos instances Figure 1: Using discovery tools to bootstrap an implementation. You need to bases map instances et indiquer as well où as se where trouvent sensitive vos data is located. sensibles. Whereas most attention has previously been focused on securing network perimeters client systems (firewalls, IDS/IPS, anti-virus, etc.), we are now entering a new phase where 1 Internet Security Systems X-ForceMD 2008 Trend & Risk Report, Global Technology Services, janvier Market Overview: Database Security, Forrester Research, février Internet Security Systems X-Force 2008 Trend & Risk Report, Global Technology Services, Jan

3 Information Management 3 3 Les 8 étapes la sécurité globale s bases Information Management Tournure intéressante, certains outils découverte peuvent aussi détecter s logiciels malveillants introduits dans votre an interesting twist, some discovery can also base In par. En plustools mettre lesfind donmalware placed in as a result nées confintielles à risque, les vulnérabilités à l attacks. In addition to exposing confintial information, permettent à un pirate d intégrer à la base s vulnerabilities allow attackers to embed ors attacks attaques supplémentaires pouvant être perpétrées auprès insi that can n be used against visitors to visiteurs du site Web. website. In an interesting twist, some discovery tools can also find 2.malware Évaluation vulnérabilités etassessment. placeds in as a result 2. Vulnerability Configuration la attacks. addition to exposing confintial information, You In need to assess s to ensure Vous vez évaluer la inclus vos bases vulnerabilities allow attackers to embed or attacks y don t have security holes. This verifying both afin vous assurer qu elles ne contiennent pas failles way is installed on operating system (for insi that can n be used against visitors to sécurité. Ainsi est-il nécessaire vérifier la façon dont est files checking file privileges for website. executables) optionsd exploitation within installée la base dans le système 2. Vulnerability Assessment. itselfles (such as howconfiguration many failed will in a locked (p. ex., privilèges associés aux logins fichiers et result aux éléments account, or have assigned to critical You need to assess privileges que exécutables which la ) ainsibeen les s options to ensure tables). Plus, youlaneed to verify you re not running y don t have security holes. Thisthat inclus both dans base mêmeverifying (p. ex. combien versions with known vulnerabilities. way is installed on operating system (for d ouvertures session échouées provoquent le verrouillage checking file privilèges privileges ont for été d un compte ou quels attribués aux tables files Traditional network vulnerability scannerswithin weren t signed for executables) critiques). Vous vez aussi vérifier options si les versions vos this because y don t have embedd knowledge about itself as how contiennent many failed s logins will result in a locked bases(such vulnérabilités connues. structures expected behavior, nor can y issue account, or which privileges have been assigned to critical queries (via crentialed access to ) in orr tables). Plus, youtraditionnels need to verify you re not running Les scanneurs that vulnérabilités réseau ne to reveal information. known peuvent versions effectuerwith ce genre vulnerabilities. tâches parce qu ils ne sont pas 3 3. Renforcement Souvent, l évaluation s vulnérabilités débouche sur un ensem3. Harning. ble recommations précises. Il s agit la première étape The a vulnerability assessment is ten a set comprend specific dansresult le renforcement la base. Celui-ci recommendations. This is first step in harning aussi la suppression s fonctions et s options inutilisées.. Or elements harning involve removing all functions options that you do not use. 4. Audit s modifications Une fois la renforcée, vous vez la suivre 3. 4.Harning. Change Auditing. prèsresult sur une base continue afin vous assurer ne passpecific The created a vulnerability assessment is ten a must set Once you ve a harned, you «dévier» votre idéale (sécurisée). Vous recommendations. This is first step in harning continually track it to ensure that you don t digress from pouvez(secure) leor faire. àelements l ai d outils d audit s modifications,. harning involve gold You can do this withremoving change all qui comparent scompare copies ss s(at auditing tools snapshots functions that options that instantanées you do notuse. both system level bases level) et (tant du operating système d exploitation queats ) 4. Change immediately alert youaussitôt whenever a change is ma could émettentauditing. une alerte qu est apportée unethat modification Once you ve created ala harned must affect security. susceptible d affecter sécurité, votre base you. continually track it to ensure that you don t digress from gold (secure). You can do this with change auditing tools that compare snapshots s (at both operating system level at level) immediately alert you whenever a change is ma that could affect security. dotés fonctions intégrées reconnaissance s struc- Traditional network vulnerability scanners weren t signed for tures base et s comportements prévus. this because y don t have embedd knowledge about Ils ne peuvent non plus émettre d interrogations (à la structures expected nor can y issue suite d accès à la base behavior, à l ai justificatifs queries access to ) in orr d intité) en(via vuecrentialed dévoiler l information sur la conto reveal information. figuration la base. Figure 3: Audit et contrôle d activité base 5. Surveillance l activité base Figure 3: Use case for activity monitoring (DAM) auditing. Permettant détecter sur-le-champ les intrusions et les 5. Database Monitoring (DAM). en temps réel utilisationsactivity malveillantes, la surveillance Real-time monitoring est activity is keyàto l activité s bases essentielle lalimiting réduction exposureencourus. by immediately s risques À titre tecting d exemple,intrusions elle émet unemisuse. alerte For DAMd accès can alert on unusual indiquant access patterns en cas formes inhabituelles une attaque indicating a attack, unauthorized changes par, une modification non autorisée s to donfinancial data, elevation account privileges, nées un rehaussement s privilèges compte Figure 3: financières, Use case for activity monitoring (DAM) auditing. changes executed via comms. et une modification la par commes. 5. Database Activity Monitoring (DAM). Figure 2: Vulnerability assessment change tracking use case. Figure 2: Évaluation s vulnérabilités et suivi s changements Figure 2: Vulnerability assessment change tracking use case. Monitoring privileged users is also a requirement for data Real-time monitoring activity is key to limiting La surveillance s utilisateurs jouissant privilèges est exgovernance regulations such as SOX data privacy by immediately tecting misuse. igée exposure dans le cadre réglementations surintrusions la gouvernance s regulations such as PCI DSS. It s also important for tecting For DAM can alert on unusual access patterns, telles que SOX, et la confintialité s, intrusions, since attacks will frequently result in attacker indicating a attack, unauthorized changes to commeprivileged PCI DSS. Il s agit aussi d une tâche importante pour gaining user access (such as via crentials owned by financial data, elevation account privileges, la détection intrusions puisque, souvent, les attaques businesss applications). changes executed via viennent possibles grâcecomms. à l obtention d un privilège d accès par leurs auteurs (par l entremise justificatifs d intité Monitoring privileged usersd affaires is also a requirement associés à vos applications notamment). for data governance regulations such as SOX data privacy regulations such as PCI DSS. It s also important for tecting intrusions, since attacks will frequently result in attacker

4 4 Les 8 étapes la sécurité globale s bases En outre, la surveillance l activité s bases est un élément essentiel l évaluation s vulnérabilités. En effet, elle permet d aller au-là s évaluations statiques traditionnelles en effectuant s évaluations dynamiques s vulnérabilités liées aux comportements p. ex., le partage justificatifs d intité par multiples utilisateurs ou un nombre excessif tentatives d ouverture session. 4 8 Steps to Holistic Database Security «Les et les utilisateurs ne sont pas tous sur un pied d égalité. Vous vez auntifier les utilisateurs, assurer une imputabilité totale pour chacun d eux et gérer leurs privilèges afin limiter l accès aux.» Finalement, certaines DAM is technologies also an essential element surveillance vulnerability l activité assessment, s bases because intègrent it allows you la to surveillance go beyond traditional la couche static assessments to inclu dynamic assessments behavioral d applications. Cela vous permet détecter les fraus vulnerabilities such as multiple users sharing privileged commises par l entremise d applications à plusieurs niveaux crentials or an excessive number failed logins. notamment PeopleSt, SAP et Oracle e-business Suites plutôt que par connexion directe à la base. Not all data not all users are created Heureusement, une nouvelle classe solutions surveillance l activité s bases est maintenant ferte, procurant s fonctions d audit granulaires, indépendantes du système gestion bases donnée (DBMS) et n affectant que légèrement les performances. Parallèlement, ces solutions permettent réduire les coûts d exploitation grâce à l automatisation, au filtrage, à la compression ainsi qu à s référentiels politiques et d audits centralisés et compatibles avec tous les systèmes DBMS. 7. Auntification, contrôle d accès et gestion s droits Les et les utilisateurs ne sont pas tous sur pied d égalité. Vous vez auntifier les utilisateurs s bases, assurer une imputabilité totale pour chacun d eux et gérer leurs privilèges afin limiter l accès aux. Vous vez aussi faire en sorte que les droits accordés ne 7. Auntication, soient pas outrepassés Access Control même pour Entitlement les utilisateurs jouissant Management. s plus hauts privilèges. Finalement, il est nécessaire revoir périodiquement les rapports sur les droits Not all data not all users are created equally. You must aunticate users, ensure full accountability per user, (ou rapports d attestation s droits s utilisateurs) dans le manage privileges to limit access to data. And you should cadre enforce d un se processus privileges d audit even formel. most privileged users. You also need to periodically review entitlement reports 8. Chiffrement (also called User Right Attestation reports) as part a formal Servez-vous audit process. du chiffrement pour rendre illisibles les 8. Encryption. sensibles, sorte qu une personne mal intentionnée ne Use puisse encryption y accér to renr l extérieur sensitive data unreadable, la base so. that an Chiffrez attacker les cannot gain unauthorized en transit afin access qu on to data ne from puisse outsi les intercepter. au This niveau inclus la both couche encryption réseau et data-in-transit, y accér so that an attacker cannot eavesdrop at networking layer lorsqu elles sont transmises à la base client. gain access to data when it is sent to Chiffrez client, as aussi well as les encryption au data-at-rest, repos pour so éviter that an qu un attacker pirate puisse cannot les extract extraire, data même even à with partir access s to fichiers media média. files. 6.Audits equally. You must aunticate users, Des pistes d audit sécuritaires et non répudiables doivent être générées ensure et maintenues full accountability pour toute activité per user, base manage ayant privileges une incince to limit sur access la sécurité, to data. l intégrité s ou l accès aux sensibles. Non seulement les piste vérification Finally, some modulaires DAM technologies sont-elles fer application-layer une exigence conformité monitoring, essentielle, allowing mais you elles to sont tect importantes fraud conducted dans via le cadre s enquêtes multi-tier applications judiciaires. such as PeopleSt, SAP Oracle e-business Suite, rar than via direct connections to. Actuellement, la plupart s organisations emploient une forme quelconque 6. Auditing. d audit manuel faisant appel à s fonctions natives Secure, traditionnelles non-repudiable d ouverture audit trails must session. be generated Cependant, ces méthos maintained se révèlent for any souvent activities déficientes that impact en raison security leur complexité posture, et data s integrity coûts d exploitation or viewing sensitive élevés data. résultant In addition to being a key compliance requirement, having granular audit s efforts manuels. Elles comportent d autres désavantages, trails is also important for forensic investigations. notamment s coûts indirects élevés liés à la performance, un manque Most séparation organizations s tâches currently (les employ administrateurs some form manual base auditing peuvent utilizing traditional facilement native saboter le contenu logging s journaux, capabilities. compromettant However, ainsi se leur approaches non-répudiation) are ten found to be lacking because ir complexity high operational costs et le besoin d acheter et gérer gres capacités due to manual efforts. Or disadvantages inclu high stockage afin performance prendre overhead, en charge lack s volumes separation massifs duties (since d informations DBAs non can filtrées easily tamper à propos with s transactions. contents logs, reby affecting non-repudiation) need to purchase Figure 4: Gestion du cycle vie complet la conformité manage large amounts storage capacity to hle massive amounts unfiltered transaction information. Figure 4: Managing entire compliance lifecycle.

5 5 Les 8 étapes la sécurité globale s bases Les 8 étapes la sécurité s bases 1. Découverte 2. Évaluation s vulnérabilités et la 3. Renforcement 4. Audit s modifications 5. Surveillance l activité s bases 6. Audits 7. Auntification, contrôle d accès et gestion s droits 8. Chiffrement À propos l auteur Ron Ben Natan compte vingt ans d expérience dans le développement d applications et technologies sécurité pour s sociétés premier ordre telles que Merrill Lynch, J.P. Morgan, Intel et AT&T Bell Laboratories. Il aussi été conseiller en sécurité s et en systèmes répartis auprès Phillip Morris, du brasseur Miller, HSBC, HP, d Applied Materials et s forces armées suisses. Conseiller niveau Or (GOLD) et détenteur d un doctorat en sciences l informatique, il est spécialiste s environnements d applications réparties ainsi que la sécurité s applications et s bases. Il a créé douze technologies brevetées et écrit douze ouvrages techniques, dont «Implementing Database Security Auditing» (éditions Elsevier Digital Press), qui fait figure norme dans son champ d étu, et son tout rnier livre, «HOWTO Secure Audit Oracle 10g 11g» (éditions CRC Press), paru en À propos d InfoSphere Guardium InfoSphere Guardium est la solution la plus répue pour prévenir les fuites d information du centre et assurer l intégrité s d entreprise. Elle est utilisée par plus 400 clients à l échelle mondiale, dont les cinq plus gres banques; quatre s six plus gres compagnies d assurance; s agences gouvernementales premier plan; ux s trois plus grs détaillants; vingt s plus gres entreprises télécommunications; ux s fabricants boissons les plus populaires; le fabricant d ordinateurs personnels le plus connu; les trois plus grs fabricants voitures; les trois plus gres entreprises du secteur l aérospatiale; et un s principaux fournisseurs logiciels d intelligence d affaires. InfoSphere Guardium a été la toute première solution à combler les lacunes en matière sécurité s essentielles grâce à une plateforme évolutive, compatible avec tout système DBMS. Cette plateforme protège les bases en temps réel tout en automatisant le processus complet d audit la conformité. Guardium fait partie d InfoSphere, une plateforme intégrée permettant définir, d intégrer, protéger et gérer l information sécurisée d un bout à l autre vos systèmes. La plateforme InfoSphere comprend l ensemble s composantes base l information sécurisée, dont l intégration s, l entreposage s, la gestion s principales et la gouvernance l information. Tous ces éléments s articulent autour d un ensemble partagé méta et modèles. Modulaire, la gamme produits InfoSphere vous permet commencer avec n importe quel élément et d amalgamer les composantes base InfoSphere avec les composantes d autres fournisseurs. Vous pouvez aussi déployer ensemble multiples composantes base afin d accélérer le processus et d obtenir une plus gre valeur. Solution d entreprise pour les projets à fort contenu d information, InfoSphere procure les performances, l évolutivité, la fiabilité et l accélération dont vous avez besoin pour simplifier les défis importants et sécuriser plus rapiment l information au prit vos affaires.

6 Copyright 2010 Copyright 2010 Copyright 2010 Route 100 NY Route 100 Route 100 NY 10589Users Restricted Rights - Use, duplication US Government NY disclosure restricted by GSA ADP Schedule Contract with Corp. US Government Users Restricted Rights - Use, duplication disclosure by GSA ADP Producedrestricted in United States Schedule America Contract with Corp. L utilisation, la reproduction ou la divulgation est assujettie May 2010 Produced inreserved United States dans America aux restrictions énoncées le contrat GSA ADP Schedule All Rights May 2010 d Corp. All Rights Reserved, logo, ibm.com, Guardium InfoSphere are Copyright 2010Machines, tramarks International Business, logo,jurisdictions ibm.com, Guardium Or InfoSphere registered in many worldwi. productare Produit aux États-Unis tramarks International BusinessMachines, service names might be tramarks or or companies. A Mai 2010 Route 100 registered Or product current listinmany jurisdictions tramarks isworldwi. available on web at Copyright NY service names might be tramarks or or companies. A Tous droits réservés tramark information at ibm.com/legal/copytra.shtml current list tramarks is available on web at Copyright US Government Users Restricted Rights - Use, duplication tramark information at ibm.com/legal/copytra.shtml disclosure restricted by GSA ADPGuardium Schedule Contract with Corp., le logo, ibm.com, et InfoSphere sont s Please Recycle marques commerce d International Produced in United States America Business Machines CorPlease Recycle May 2010enregistrées dans un gr nombre juridictions poration All Rights Reserved dans le mon. Les autres noms produits ou services, être s logo,marques ibm.com, Guardium InfoSphere peuvent commerce d ouare d autres tramarks Une International Business entreprises. liste à jour s Machines marques, commerce d registered in many jurisdictions worldwi. Or product est disponible à cette adresse, sous le or titre «Copyright service names might be tramarks or companies. A current list tramarks is available on web at Copyright tramark information» : ibm.com/legal/copytra.shtml. tramark information at ibm.com/legal/copytra.shtml Veuillez recycler. Please Recycle InfoSphere InfoSphere stware stware IMW14277-CAEN-01 IMW14277-CAEN-01 IMW14277-CAEN-01