Đang tải dữ liệu ...
Trang chủ

IBM INFOSPHERE GUARDIUM

Guardian Brochue
Guardian Brochue

IBM InfoSphere Guardium là một giải pháp bảo mật CSDL, giúp giám sát CSDL theo thời gian thực. Guardium cho phép doanh nghiệp tìm kiếm và phân nhóm các thông tin quan trọng., từ đó đưa ra các chính sách dựa trên hành vi người sử dụng như chính sách về vấn đề truy cập, lấy dữ liệu, và các lỗi phát sinh trong hệ thống. Guardium còn cung cấp nhiều phương thức cảnh báo tức thời khi phát hiện sự vi phạm các chính sách như eMail, SNMP, SIEM...

1. GIỚI THIỆU GIẢI PHÁP


1.1. NHU CẦU BẢO MẬT DỮ LIỆU CỦA DOANH NGHIỆP

An ninh thông tin đang là chủ đề nóng hơn bao giờ hết trong thời đại công nghệ phát triển từng ngày từng giờ như hiện nay. Sự phát triển bao giờ cũng có hai mặt của nó: tích cực và tiêu cực. Tích cực là những lợi ích mà công nghệ thông tin mang lại cho doanh nghiệp đặc biết là các doanh nghiệp hoạt động trong lĩnh vực tài chính ngân hàng:

  •   Hạ tầng công nghệ thông tin phục vụ cho hoạt động của ngân hàng không ngừng được cải thiện, góp phần không nhỏ vào việc tăng cường hiệu quả trong các hoạt động kinh doanh. Hệ thống dữ liệu của cả hệ thống ngân hàng đã được tin học hóa, kết nối với tất cả các hệ thống, giúp đơn giản hóa việc kết nối và lưu chuyển thông tin liên ngân hàng.
  •   Hệ thống CoreBank (hệ thống quản trị ngân hàng tập trung) đã được ứng dụng phổ biến ở phần lớn các ngân hàng, giúp cải thiện đáng kể hiệu quả của hoạt động nội bộ ngân hàng như kế toán thanh toán, quản trị rủi ro, đánh giá xếp hạng tín dụng khách hàng...; các dữ liệu trong hoạt động được nối mạng trực tuyến giữa các Phòng, Ban tại trụ sở chính, Chi nhánh đảm bảo kiểm soát, phát hiện kịp thời các vấn đề phát sinh trong hoạt động. Ứng dụng công nghệ thông tin, đồng thời còn giúp các tổ chức tín dụng hiện đại hóa hệ thống thanh toán, đa dạng hóa hình thức huy động vốn, cho vay, với những sản phẩm tiện ích ngân hàng hiện đại, cung ứng cho doanh nghiệp và dân cư, mở rộng các hình thức thanh toán không dùng tiền mặt và thanh toán qua ngân hàng.
  •   Các giải pháp kỹ thuật công nghệ đã bảo đảm cho sự phát triển công nghệ tin học ngân hàng đúng hướng, là yếu tố giúp các ngân hàng tăng khả năng cạnh tranh thông qua việc đa dạng hóa sản phẩm dịch vụ, chiếm lĩnh thị phần bằng các thiết bị giao dịch tự động, tăng cường năng lực và hiệu quả hoạt động kinh doanh của các ngân hàng thương mại; đẩy nhanh tốc độ thanh toán, tăng vòng quay tiền tệ, qua đó góp phần nâng cao hiệu quả đồng vốn xã hội..

Tuy nhiên, mặt trái của sự phát triển cũng chính là vấn đề nhức nhối hiện nay: Tội phạm công nghệ cao và nguy cơ thất thoát dữ liệu doanh nghiệp. Công nghệ thông tin đã trở thành mảnh đất màu mỡ cho các loại tội phạm công nghệ cao phát sinh như: trộm cắp cước phí viễn thông; đánh cắp tiền trong tài khoản ngân hàng; lừa đảo trong thanh toán; đánh cắp dữ liệu trái phép; xâm nhập, theo dõi hoạt động của hệ thống máy tính khác trái phép; đánh bạc, cá độ qua mạng; xâm phạm đời tư; viết, phát tán và tấn công khủng bố bằng virus đến các hệ thống máy tính khác, tuyên truyền thông tin đồn nhảm, thất thiệt, tuyên truyền văn hóa phẩm độc hại, đồi trụy... thậm chí là phá hoại sự ổn định chính trị của nhiều quốc gia.

Một trong những nguy cơ khiến các doanh nghiệp đau đầu nhất khi đối mặt với tội phạm công nghệ cao đó là thất thoát dữ liệu (Data Breach). Hiểm họa này không chỉ đến từ bên ngoài mà còn có thể ẩn chứa ngay trong nội bộ doanh nghiệp khi mà những người có quyền hạn được phép tiếp cận những thông tin nhạy cảm, quan trọng mà chưa có một cơ chế bảo vệ tối ưu. Mặt khác những giải pháp hiện tại mà doanh nghiệp đang sử dụng phần lớn là bảo đảm an toàn ở mức hệ thống mạng và hạ tầng, những giải pháp này không thể ngăn chặn được những yêu cầu được gửi đến ở mức dữ liệu mà không thể xác định được có đúng là hợp lệ hay không.

Theo một báo cáo rất có uy tín trong lĩnh vực bảo mật dữ liệu là Data Breach Investigation Report của hãng Verizon thì trong số những nguồn gây thất thoát dữ liệu, máy chủ cơ sở dữ liệu (Database Server) là đứng đầu với tỷ lệ được cập nhật đến thời điêm gần đây là 96-98%.

 

 

Nguy cơ này là hiển nhiên khi bản thân hệ thống CSDL là nơi chứa toàn bộ các thông tin dữ liệu có giá trị nhất của doanh nghiệp như các báo cáo tài chính, thông tin về khách hàng, thông tin về tài khoản, ...Khối lượng các dữ liệu được lưu trữ là vô cùng lớn, đặc biệt với các doanh nghiệp đầu ngành mà việc truy xuất tới các dữ liệu đó lại có nhiều phương pháp nên tiềm ẩn rất nhiều rủi ro.

Đối mặt với tình trạng này, các doanh nghiệp phải đưa ra các câu hỏi, các vấn đề nhằm xác định tình trạng cũng như phương thức để chống lại thất thoát dữ liệu như:

  •   Làm sao xác định được đầy đủ những dữ liệu nào là nhạy cảm và cần được bảo vệ?
  •   Làm sao ngăn chặn được người dùng trong nội bộ doanh nghiệp lạm dụng quyền hạn được cấp?
  •   Cơ chế nào có thể phát hiện và cảnh báo kịp thời khi có hành động trái phép được thực hiện?
  •   Có thể ngăn chặn những hành động trái phép đó một cách tự động được không?
  •   Công cụ nào có thể rà quét và xác định các lỗ hổng bảo mật hiện có liên quan đến hệ thống

dữ liệu để có biện pháp vá lỗi kịp thời?

Tuy nhiên, việc giải quyết được tất cả những yếu tổ kể trên lại gặp phải rất nhiều khó khăn phải kể đến đó là: 

 

  • Hạ tầng CNTT của doanh nghiệp vô cùng phức tạp và nhiều thành phần
  •   Có rất nhiều phương thức truy cập vào hệ thống của doanh nghiệp để từ đó tiếp cận với nguồn dữ liệu
  •   Chưa có một giải pháp nhận diện giả mạo ở mức độ dữ liệu, các giải pháp hiện tại chỉ đơn thuần là ngăn chặn từ lớp mạng, kết nối từ địa chỉ nguồn tới địa chỉ đích.
  •   Doanh nghiệp chưa có một cơ chế xây dựng chính sách hiệu quả cho an ninh dữ liệu.
  •   Giám sát và ngăn chặn người dùng nội bộ tiếp cận dữ liệu trái phép vẫn là một điều bất khả thi 


1.2. TỔNG QUAN GIẢI PHÁP IBM INFOSPHERE GUARDIUM

Để giải quyết nhu cầu về bảo mật dữ liệu của doanh nghiệp, cần có một giải pháp giải quyết triệt để được những vấn đề ở trên. Nhưng trước hết giải pháp đó phải giúp doanh nghiệp tạo dựng được quy trình bảo mật dữ liệu với 3 bước sau đây:

  •   Xác định được nguồn dữ liệu và những dữ liệu cần được bảo vệ
  •   Xây dựng cơ chế bảo vệ cho những dữ liệu đó
  •   Giám sát, cảnh báo và liệt kê được những vấn đề gây nguy hiểm cho hệ thống dữ liệu như báo cáo vi phạm, báo cáo rà soát lỗ hổng bảo mật

Hình 3. Quy trình tổng quát kiện toàn bảo mật dữ liệu cho doanh nghiệp 

 

IBM InfoSphere Guardium là một giải pháp bảo mật CSDL, giúp giám sát CSDL theo thời gian thực. Guardium cho phép doanh nghiệp tìm kiếm và phân nhóm các thông tin quan trọng., từ đó đưa ra các chính sách dựa trên hành vi người sử dụng như chính sách về vấn đề truy cập, lấy dữ liệu, và các lỗi phát sinh trong hệ thống. Guardium còn cung cấp nhiều phương thức cảnh báo tức thời khi phát hiện sự vi phạm các chính sách như eMail, SNMP, SIEM...

 

 

Bên cạnh đó, Guardium còn cung cấp cách thức tạo báo cáo một cách đơn giản, dễ sử dụng và dễ tùy

chỉnh theo nhu cầu của người sử dụng.

Ngoài ra, Guardium cũng cung cấp chức năng đánh giá CSDL theo các chuẩn bảo mật phổ biến hiện nay như SOX, PCI-DSS, HIPAA ... và được cập nhật một cách thường xuyên. Sau khi đánh giá, Guardium đưa ra một bản báo cáo chi tiết về các vấn đề chưa đạt yêu cầu.

Hơn thế nữa, Guardium còn cho phép tạo ra các quy trình làm việc trong một tổ chức. Các quy trình này sẽ vận hành theo lịch cài đặt sẵn hoặc theo thủ công 



 

1.3. KIẾN TRÚC GIẢI PHÁP

1.3.1. KIẾN TRÚC TỔNG THỂ

Mô hình kiến trúc cơ bản nhất của giải pháp Guardium là một máy chủ chạy ứng dụng Guardium (hay còn gọi là một Collector) nằm trong một trung tâm dữ liệu của khách hàng. Collector này có thể là một máy chủ dạng Hardware Appliance (được cài đặt sẵn hệ điều hành và ứng dụng Guardium lên một máy chủ Xseries của IBM) hoặc một máy chủ ảo được cài đặt Guardium Software Image. Điều kiện bắt buộc là máy chủ Guardium phải nằm trong hệ thống mạng có thể kết nối đến các hệ thống CSDL cần bảo vệ và tốt nhất là nằm trong chính trung tâm dữ liệu đó để bảo đảm về mặt hiệu năng hoạt động. 


 

Hình 6 mô tả một hệ thống Guardium với kiến trúc triển khai cơ bản trong Data Center. Hệ thống gồm có một Appliance Guardium Collector và các máy chủ CSDL được giám sát có cài đặt một Software agent gọi là S-TAP. Các S-TAP được cài đặt trên các máy chủ CSDL và được cấu hình nhằm nắm bắt các thông tin về các hoạt động truy cập tới các CSDL và gửi các thông tin đó tới máy chủ Guardium để thực hiện phân tích, đánh giá và lưu log với các hành vi đó.

Bên cạnh khả năng triển khai nhanh chóng, không gây tác động tới hệ thống hiện tại, giải pháp Guardium còn có khả năng triển khai trong môi trường diện rộng với nhiều các trung tâm dữ liệu, các chi nhánh khác nhau tại các vùng khác nhau đáp ứng sự phát triển hoạt động kinh doanh của doanh nghiệp. 

 

 

Trong kiến trúc mở rộng của giải pháp, mỗi trung tâm dữ liệu của khách hàng tùy vào số lượng máy chủ cơ sở dữ liệu cũng như số lượng cơ sở dữ liệu cần bảo vệ sẽ có số lượng Guardium Collector tương ứng. Ngoài ra, để tập trung hóa việc giám sát và xây dựng chính sách bảo mật để áp dụng một lần cho toàn hệ thống thay vì phải xây dựng chính sách cho từng trung tâm dữ liệu được Guardium Collector bảo vệ, sẽ có một Collector đặc biệt được triển khai gọi là Aggregator đóng vai trò là trung tâm quản lý chính sách, kho dữ liệu báo cáo hậu kiểm tập trung.

Với mô hình mở rộng này, khách hàng có thể dễ dàng mở rộng thêm phạm vi hệ thống cần tiến hành bảo vệ mà không làm ảnh hưởng đến hệ thống hiện tại đang hoạt động, đảm bảo hoạt động là liên tục.

1.3.2. KIẾN TRÚC HOẠT ĐỘNG

Hệ thống Guaridum hoạt động dựa vào kết nối giữa các thành phần Agent tới Collector, mỗi một Collector sẽ có một engine nhằm thực hiện kiểm tra toàn bộ các thông nhận được từ Agent gửi về. 

 

 

Khi một gói tin được đọc từ mạng, bộ máy kiểm tra (Inspection Engine) sẽ tiến hành lọc dữ liệu dựa trên địa chỉ IP hoặc các cổng dịch vụ TCP. Sau đó, các thông tin sẽ được kiểm tra với các chính sách bảo mật đang áp dụng nhằm đưa ra hành động tương ứng với truy cập tới CSDL đó.

Inspection Engine giám sát luồng dữ liệu giữa máy trạm và các máy chủ sử dụng giao thức cơ sở dữ liệu cụ thể (ví dụ như Oracle hoặc DB2), sau đó extract ra các câu lệnh SQL từ gói dữ liệu mạng và tiến hành biên dịch thành các yêu cầu, câu lệnh, đối tượng và trường dữ liệu. Thông tin chi tiết về các luồng dữ liệu được sau đó sẽ được lưu lại vào một kho lưu trữ của máy chủ Guardium.

Việc thực thi bảo mật là do các chính sách bảo mật (policy), một chính sách bảo mật có chứa một tập các quy tắc (rule) được áp dụng lần lượt cho các luồng dữ liệu giữa máy trạm và máy chủ cơ sở dữ liệu. Mỗi quy tắc có thể áp dụng cho một request từ máy trạm, một response từ một máy chủ (tập kết quả) hoặc một exception từ máy chủ. Một hoặc nhiều quy tắc có thể kết hợp để tạo ra một chính sách.

Mỗi quy tắc trong chính sách bảo mật định nghĩa một hành động có điều kiện. Điều kiện thử nghiệm có thể là một thử nghiệm đơn giản - ví dụ như có thể kiểm tra bất kỳ truy cập từ một IP máy trạm mà không thuộc về một dải IP hợp lệ. Điều kiện thử nghiệm có thể là một thử nghiệm phức tạp xem xét nhiều thông điệp và phiên truy cập (DB user, chương trình ứng dụng, kiểu câu lệnh, thời gian trong ngày, vv.) Các hành động được thực thi bởi các quy tắc có thể là gửi emaii đến người quản trị, khóa tài khoản người dùng tạm thời hoặc chỉ đơn giản là ghi lại vào nhật ký vi phạm. 


 

Hình 9 mô tả một người dùng muốn thông qua máy chủ ứng dụng để kết nối đến cơ sở dữ liệu và thực hiện các truy vấn trực tiếp nguồn dữ liệu không được tiếp cận, tuy nhiên cơ chế giám sát và bảo vệ của Guardium đã ngăn chặn lại hành động trái phép này của người dùng và ngắt kết nối.

1.4. CÁC TÍNH NĂNG CỦA GIẢI PHÁP

Guardium là một giải pháp hợp nhất từ giao diện quản trị đến lưu trữ dữ liệu cấu hình và hậu kiểm, với các tính năng được xây dựng hướng đến việc bảo vệ dữ liệu doanh nghiệp một cách toàn vẹn, Guardium đề xuất việc sử dụng một giải pháp xây dựng vòng đời hoàn chỉnh cho bảo mật dữ liệu gồm bốn bước như dưới đây: 


 

1.4.1. TÌM KIẾM VÀ PHÂN LOẠI DỮ LIỆU (FIND & CLASSIFY)ĐỊNH VỊ VÀ PHÂN LOẠI DỮ LIỆU NHẠY CẢM

Nếu doanh nghiệp có kinh nghiệm và từng thực hiện nhiều những vụ mua bán sáp nhập, việc hợp nhất hạ tầng công nghệ thông tin và dữ liệu của tổ chức được mua lại đã là một thử thách không nhỏ đối với đội ngũ công nghệ thông tin, tuy nhiên còn một thách thức khác sau khi hoàn tất công việc này đó là định vị được những dữ liệu giá trị và nhạy cảm cần được bảo vệ trên hệ thống. Ngay cả trong trường hợp tốt nhất, việc thay đổi liên tục để ứng dụng và các nguồn dữ liệu (ví dụ như cấu trúc cơ sở dữ liệu) - cần thiết để hỗ trợ các yêu cầu kinh doanh mới - có thể dễ dàng vô hiệu hóa chính sách an ninh tĩnh và để lại dữ liệu nhạy cảm phân tán và không được bảo vệ. Ngoài ra, trong quá trình hoạt động vận hành, bản thân đội ngũ quản trị cũng không quản lý và xác định được các loại dữ liệu cụ thể, các loại dữ liệu quan trọng đang được lưu trữ tại CSDL nào.

CÁC THÁCH THỨC VỚI DOANH NGHIỆP

Quá trình tìm kiếm và phân loại dữ liệu của doanh nghiệp thực sự gặp khó khăn khi mà hệ thống ngày các phức tạp, các lớp ứng dụng, dữ liệu chồng chéo.-

 

  • Tìm ra tất cả các nguồn dữ liệu chứa thông tin nhạy cảm, xác định ai được quyền truy cập vào nó, và hiểu được cách thức dữ liệu được truy cập từ tất cả các nguồn (ứng dụng nghiệp vụ, quá trình chạy tác vụ đóng hệ thống hàng ngày, những truy vấn lớn, nhóm phát triển ứng dụng, quản trị viên và những người khác).
  • Bảo mật thông tin và quản lý rủi ro khi không nắm chắc được những dữ liệu đang lưu trữ có phải là đối tượng nhạy cảm.
  • Đảm bảo tuân thủ các quy định của chuẩn bảo mật khi không rõ ràng thông tin nào là loại nằm trong điều khoản của quy định

 

TỰ ĐỘNG TÌM KIẾM, PHÂN LOẠI VÀ BẢO VỆ DỮ LIỆU NHẠY CẢM

Với giải pháp InfoSphere Guardium, người quản trị có thể sử dụng tính năng tự động tìm kiếm dữ liệu và phân loại thông tin để xác định đâu là nơi đang lưu trữ những dữ liệu nào (cơ sở dữ liệu nào, schema nào, bảng nào) và gán cho những dữ liệu này vào một nhóm để được bảo vệ bởi các chính sách an ninh, những nhóm dữ liệu này được gọi là "classes of sensitive objects”. Những chính sách an ninh này bảo đảm rằng những thông tin nhạy cảm này chỉ có thể được đọc hay thay đổi bới những người dùng có đủ quyền hạn. Việc tìm kiếm, phân loại này cũng được thực hiện định kỳ để ngăn ngừa những máy chủ giả mạo và bảo đảm không có thông tin quan trọng nào mới bị bỏ sót. 

 

1.4.2. GIÁM SÁT VÀ HẬU KIỂM (MONITOR & AUDIT)


THỰC THI CÁC CHÍNH SÁCH BẢO MẬT VÀ KIỂM SOÁT THAY ĐỔI THEO THỜI GIAN THỰC

Giải pháp IBM InfoSphere Guardium cung cấp các chính sách hết sức cụ thể và chi tiết theo thời gian thực để ngăn chặn các hoạt động trái phép hay đáng ngờ từ tài khoản người dùng có đặc quyền và các cuộc tấn công từ các tin tặc hoặc người dùng giả mạo. 


 

Giải pháp có thể được quản lý bởi nhân viên an ninh thông tin mà không cần đến các kiến thức chuyên sâu về quản trị cơ sở dữ liệu. Người dùng có thể dễ dàng định nghĩa các chính sách ngăn chặn truy cập với thông tin đầu vào hết sức chi tiết như OS user, địa chỉ IP, địa chỉ MAC, ứng dụng người dùng, thời gian trong ngày, giao thức mạng hay các loại lệnh SQL sử dụng.

Với giao diện trực quan, các quản trị viên có thể dễ dàng thực hiện giám sát tình trạng hiện tại của hệ thống máy chủ CSDL, từ đó đưa ra các điều chỉnh phù hợp nhằm đảm bảo hoạt động của các máy chủ CSDL là liên tục

 

 

CHỦ ĐỘNG TRONG VIỆC BẢO ĐẢM AN TOÀN DỮ LIỆU

InfoSphere Guardium cung cấp cơ chế kiểm soát theo thời gian thực để ứng phó với các hành vi trái phép hoặc bất thường trước khi những hành vi này gây ra thiệt hại cho hệ thống. Hành động dựa trên chính sách có thể bao gồm các cảnh báo an ninh tức thời (SMTP, SNMP, Syslog), chặn phần mềm kết nối, ghi lại thông tin chi tiết vào nhật ký hệ thống hoặc thực hiện phong tỏa tài khoản người dùng. Ngoài ra, InfoSphere Guardium có thể gửi cảnh báo và báo cáo hậu kiểm đến các hệ thống SIEM khác như IBM Qradar, HP ArcSight... Khả năng này cho phép hệ thống bảo mật của doanh nghiệp phân tích tình báo thông tin an ninh thông minh và có chiều sâu hơn dựa trên báo cáo hoạt động trên cơ sở dữ liệu.

SỬ DỤNG CƠ CHẾ GỐC (BASELINING) ĐỂ PHÁT HIỆN HÀNH VI BẤT THƯỜNG VÀ TỰ ĐỘNG ĐỊNH NGHĨA CHÍNH SÁCH

Bằng cách tạo ra một cơ chế gốc và định nghĩa các quy trình nghiệp vụ thông thường hay những hành động nào là bất thường, hệ thống tự động đưa ra các chính sách để người quản trị có thể sử dụng để ngăn chặn các cuộc tấn công như SQL injection. Giao diện trực quan giúp người dùng dễ dàng thay đổi các chính sách theo nhu cầu thực tế.

1.4.3. BẢO VỆ VÀ NGĂN CHẶN (ENFORCE & PROTECT)GIÁM SÁT LIÊN TỤC VÀ PHÂN TÍCH NGỮ CẢNH LUỒNG TRUY CẬP

InfoSphere Guardium giám sát các nguồn dữ liệu doanh nghiệp theo thời gian thực bao gồm các cơ sở dữ liệu, nhà kho dữ liệu hay các hệ thống dữ liệu phi cấu trúc (big data) như Hadoop để thực thi chính sách và bảo vệ dữ liệu nhạy cảm. 


 

Guardium liên tục giám sát tất cả các hoạt động truy cập dữ liệu theo thời gian thực, sử dụng phân tích ngôn ngữ để phát hiện các hành động trái phép dựa trên thông tin ngữ cảnh chi tiết - "who, what, where, when, how " của mỗi truy cập dữ liệu. Phương pháp tiếp cận theo ngữ cảnh này giảm thiểu các sai sót tích cực (fail-positive) và tiêu cực (negative), đồng thời cung cấp một mức độ kiểm soát đáng kể, không giống như các phương pháp truyền thống chỉ tìm kiếm các chữ ký hoặc mẫu định trước dựa trên các luồng truy cập cơ sở dữ liệu hoặc các log hậu kiểm của hệ thống.

Người quản trị cũng có thể phát hiện các cuộc tấn công gián tiếp, như người dùng giả mạo vai trò người dùng ứng dụng hay bỏ qua các thiết lập kiểm soát truy cập được dùng trong ứng dụng nhiều lớp. Các kịch bản này có thể thấy trong môi trường ứng dụng như ERP (Oracle E-Business Suite, SAP, IBM Cognos), HRM (PeopleSoft), CRM (Siebel) và các hệ thống xây dựng trên nền tảng máy chủ ứng dụng như Oracle WebLogic, Oracle AS và các máy chủ ứng dụng họ IBM WebSphere.

CƠ CHẾ BÁO CÁO HẬU KIỂM CHI TIẾT

InfoSphere Guardium tạo ra một cơ chế ghi nhận liên tục và chi tiết các hoạt động truy cập dữ liệu, những hoạt động này được phân tích ngữ cảnh và lọc theo thời gian thực để có thể kiểm soát và tạo ra các thông tin cụ thể theo yêu cầu của người quản trị.

Các báo cáo của Guardium có thể chứng minh sự tuân thủ bằng thông tin chi tiết về các hoạt động truy cập dữ liệu như những lần đăng nhập thất bại, leo thang đặc quyền, thay đổi cấu trúc dữ liệu, truy cập trong thời gian không được phép hay từ các ứng dụng trái phép và xem các dữ liệu nhạy cảm. Ví dụ, đối với cơ sở dữ liệu, hệ thống sẽ thực hiện giám sát:

  • Các exception trả về từ hệ thống như SQL error
  • Các lệnh DDL cho phép thay đổi cấu trúc dữ liệu như CREATE/DROP/ALTER là những thông tin đặc biệt quan trọng trong các quy định về quản lý dữ liệu của các chuẩn quốc tế như SOX
  •   Các lệnh SELECT/READ/OPEN là đặc biệt quan trọng trong quy định bảo đảm tính riêng tư của dữ liệu của các chuẩn như PCI DSS
  •   Các lệnh DML cho phép thao tác dữ liệu như INSERT, UPDATE, DELETE bao gồm cả các biến ràng buộc
  •   Các lệnh DCL cho phép quản lý quyền hạn và vai trò người dùng như GRANT, REVOKE
  •   Các ngôn ngữ thủ tục thuộc các hệ quản trị cơ sở dữ liệu như PL/SQL (Oracle), SQL/PL (IBM) hay T-SQL (Microsoft)
  •   Ngôn ngữ XML 

 

Như báo cáo ví dụ ở trên, tất cả các câu lệnh SQL của người dùng đều được hiển thị, tùy chọn không hiển thị giá trị trong câu lệnh SQL đã ngăn chặn người giám sát (auditor) nhìn được các giá trị này trên màn hình giám sát. Đồng thời cột Suceeded cho người giám sát biết được câu lệnh nào của người dùng được thực hiện thành công.

Việc tùy chỉnh các báo cáo này là hết sức dễ dàng theo cả hai tiêu chí:

  •   Cấu trúc báo cáo
  •   Phạm vi thông tin báo cáo

THEO DÕI VÀ GIẢI QUYẾT CÁC VI PHẠM CHÍNH SÁCH

Các quy định tuân thủ bảo mật đỏi hỏi các tổ chức, doanh nghiệp phải chứng minh được rằng tất cả các sự cố, vi phạm đều được ghi nhận, phân tích, giải quyết một cách kịp thời và báo cáo đến bộ phận quản lý. InfoSphere Guardium cung cấp một giao diện người dùng trực quan và quy trình làm việc tự 

động để giải quyết các sự cố an ninh, cùng với đó là một bảng điều khiển để theo dõi số liệu quan trọng như số lượng các sự cố đang mở, mức độ nghiêm trọng và khoảng thời gian sự cố được mở ra trên hệ thống

 

 

CƠ CHẾ BÁO CÁO THEO CÁC TIÊU CHUẨN

InfoSphere Guardium có hơn 150 chính sách và báo cáo được xây dựng và cấu hình sẵn dựa trên kinh nghiệm làm việc với 1000 công ty khắp toàn cầu, các giám sát viên và giám định viên chính trên toàn thế giới. Các báo cáo này giúp định vị được yêu cầu về quy định tuân thủ như các chuẩn bảo mật SOX, PCI DSS và các luật riêng tư dữ liệu, điều này giúp đưa ra các sáng kiến về quản lý dữ liệu và bảo mật dữ liệu.

Ngoài các mẫu báo cáo được đóng gói sẵn, InfoSphere Guardium còn cung cấp một giao diện kéo thả đồ họa để giúp người quản trị dễ dàng xây dựng các báo cáo mới hoặc sửa đổi báo cáo hiện có. Báo cáo có thể được tự động gửi cho người sử dụng theo định dạng PDF hay dưới dạng đường link đến các trang HTML. Các báo cáo cũng có thể được xem trực tuyến trên các giao diện điều khiển web hoặc chuyển sang các định dạng theo chuẩn hệ thống khác như SIEM.

 

 

Các báo cáo của Guardium vô cùng đa dạng để có thể đáp ứng được yêu cầu phong phú của các

doanh nghiệp như:

  •   Báo cáo tổng hợp về các hoạt động diễn ra trên cơ sở dữ liệu
  •   Báo cáo các lỗi do người dùng gây ra trên cơ sở dữ liệu
  •   Báo cáo chi tiết về các câu lệnh SQL được thực hiện trong một khoảng thời gian nhất định nào đó
  •   Báo cáo về trạng thái hoạt động tải của CPU, throughput, connection/second SQL hit của cơ sở dữ liệu
  • ...

 

TỰ ĐỘNG HÓA QUÁ TRÌNH TUÂN THỦ

Ứng dụng tự động hóa quy trình tuân thủ bảo mật của InfoSphere Guardium có thể tạo ra các tiến trình giúp sinh ra các báo cáo hậu kiểm một cách tự động, phân phối cho các bên liên quan. Các quy trình công việc là hoàn toàn tùy biến người dùng. Các vấn đề phát sinh sẽ được xử lý theo từng cấp độ khác nhau, phù hợp với mỗi vai trò của một nhân viên trong tổ chức. 

 

1.4.4. ĐÁNH GIÁ VÀ BẢO VỆ (ASSESS & HARDEN)

Cơ sở hạ tầng dữ liệu biến đổi rất nhanh, với sự thay đổi thường xuyên về tài khoản, cấu hình và các bản vá lỗi. Hầu hết các tổ chức thiếu sự kiểm soát tập trung và nguồn lực có kiến thức chuyên môn phù hợp để xem xét những thay đổi có hệ thống nhằm xác định các lỗ hổng bảo mật xuất hiện.

ĐÁNH GIÁ HÀNH VI, CẤU HÌNH VÀ LỖ HỔNG BẢO MẬT TỰ ĐỘNG

Tính năng đánh giá mức độ an toàn dữ liệu của Guardium cho phép quét toàn bộ hạ tầng dữ liệu của doanh nghiệp để tìm ra các lỗ hổng và đánh giá hiện trạng an ninh dữ liệu bằng cách sử dụng cả dữ liệu thời gian thực và dữ liệu lịch sử.

Guardium cung cấp một thư viện đầy đủ các bài kiểm tra cấu hình dựng sẵn dựa chuẩn công nghiệp như CVE, CIS, STIG, cùng với các lỗ hổng trên nền tảng cụ thể, được cập nhật thường xuyên bới dịch vụ Knowledge Base. Doanh nghiệp cũng có thể xây dựng các bài kiểm tra để phù hợp với yêu cầu đề ra. Các mô-đun đánh giá lỗ hổng cho phép đánh dấu những lỗ hổng nằm trong quy định về tuân thủ bảo mật SOX, PCI DSS như truy cập trái phép vào các bảng dữ liệu của ứng dụng Oracle E-Business Suite hay SAP... 


 

Việc đánh giá được chia thành hai nhóm lớn:

  •   Các bài test cấu hình và lỗ hổng giúp kiểm tra các việc thiếu các bản vá lỗi, cấp phát đặc quyền sai và tài khoản mặc định vẫn đang được kích hoạt.
  •   Kiểm tra hành vi xác định lỗ hổng bảo mật dựa trên cách thức nguồn dữ liệu được truy cập và thao tác - như một số lượng quá nhiều lần đăng nhập thất bại của người dùng hay người dùng thực hiện lệnh tác động đến dữ liệu trong thời gian không được phép - bằng cách giám sát tất cả lưu lượng truy cập dữ liệu trong thời gian thực. 

Ngoài việc tạo ra các báo cáo chi tiết, các mô-đun đánh giá của Guardium còn cho phép tạo ra một thẻ báo cáo tình trạng an ninh. Thẻ báo cáo không chỉ bao gồm các trọng số dựa trên việc tham chiếu số liệu chuẩn công nghiệp mà còn đưa ra các khuyến nghị làm sao để tăng cường bảo mật dữ liệu. Các báo cáo này tuân theo tiêu chuẩn báo cáo như SCAP hỗ trợ quy định của chuẩn bảo mật FISMA.

CẤU HÌNH LOCK-DOWN VÀ GIÁM SÁT THAY ĐỔI

Sau khi thực hiện các công việc để đánh giá lỗ hổng bảo mật, người quản trị có thể thiết lập một cơ chế gốc cấu hình bảo mật. Hệ thống kiểm soát cấu hình của InfoSphere Guardium có thể theo dõi những thay đổi tới cơ chế gốc này và đảm bảo rằng những thay đổi này không nằm ngoài phạm vi của chính sách kiểm soát. Các tập tin, các thông tin trên hệ thống máy chủ CSDL sẽ được giám sát và sẽ được cảnh báo tới các quản trị viên khi có các thông tin của hệ thống bị thay đổi.

1.5. GIẢI PHÁP HỢP NHẤT CHO MÔI TRƯỜNG ĐA NỀN TẢNG

Như đã đề cập đến về các nhu cầu của doanh nghiệp, môi trường phức tạp, đa nền tảng từ hạ tầng, hệ điều hành đến các hệ quản trị cơ sở dữ liệu là một trong những thách thức lớn nhất của doanh nghiệp khi muốn triển khai một giải pháp tập trung để quản lý và giám sát một cách tổng thể toàn bộ hệ thống dữ liệu đang vận hành. Guardium chính là giải pháp toàn diện nhất với khả năng hỗ trợ triển khai và giám sát một phạm vi rất rộng từ nền tảng hạ tầng đến các hệ thống cơ sở dữ liệu phổ biến trên thế giới.

Với Guardium, việc mở rộng phạm vi hệ thống bảo mật là rất dễ dàng, sử dụng tính năng tích hợp và tự động hóa được dựng sẵn có thể giảm thiểu chi phí thực hiện đồng thời vấn đáp ứng được những thay đổi trong yêu cầu kiểm toán và môi trường hoạt động. Bất kể quy mô hệ thống ra sao, Guardium vẫn có thể đơn giản hoá những công việc cần thực hiện.

1.5.1. GIẢI PHÁP HỢP NHẤT

  •   Một giải pháp duy nhất: Hỗ trợ nền tảng toàn diện và nhiều chức năng, bao gồm cơ chế bảo vệ chủ động, cho phép triển khai một giải pháp duy nhất cho phạm vi doanh nghiệp.
  •   Thiết kế không xâm lấn: Không thay đổi cấu hình cơ sở dữ liệu, ứng dụng hoặc mạng và không có sự phụ thuộc vào log hệ thống, giảm thiểu tác động đến hiệu năng của hệ thống đang hoạt động.
  •   Bảo vệ đầu tư: Khi số lượng máy chủ để giám sát tăng lên, doanh nghiệp có thể chỉ cần thêm số lượng mới bằng cách sử dụng mô hình triển khai dạng "lưới” (grid) để bảo tồn các máy chủ InfoSphere Guardium đã mua và các khoản đầu tư cấu hình như các chính sách và quy trình làm việc tuân thủ.
  •   Quản trị đơn giản: Một giao diện duy nhất tại hệ thống quản lý trung tâm được sử dụng để quản lý các máy chủ và S-TAP, bao gồm cấu hình, quản lý người sử dụng và cập nhật phần mềm. Các S-TAP được cập nhật mà không cần khởi động lại máy chủ CSDL. S-TAP đã có

    sẵn trong các nền tảng như IBM DB2 10 trở lên.

  •   Phân tích doanh nghiệp và báo cáo: Kiểm toán thông tin từ nhiều nguồn dữ liệu và máy chủ Guardium - được tự động và kết hợp lại thành một kho duy nhất, tập trung với cơ chế báo cáo và phân tích nâng cao gọi là Aggregator.
  •   Tự động hóa các tác vụ: Các thư viện API mở rộng để tự động hóa dựa trên các script, mẫu kiểm toán cấu hình, chia sẻ thông tin tự động giữa các chức năng và nhiều hơn nữa là trong cả hệ thống.
  •   Triển khai linh hoạt: Được cung cấp dưới dạng thiết bị cấu hình sẵn, hay dưới hình thức các phần mềm, giúp giảm chi phí cho khách hàng. Giám sát với Agent, qua mạng, hoặc kết hợp cả 2.
  •   Tích hợp nền tảng hạ tầng: tự động tương tác với các hệ thống, bao gồm LDAP, cơ sở dữ liệu, email, thay đổi vé và Syslog, và các giải pháp SIEM giúp loại bỏ việc trao đổi thủ công thông tin bảo mật.
  •   Cân bằng tải và chuyển đổi dự phòng: Cấu hình được kích hoạt để có thể co dãn và thích nghi với những thay đổi mạng lưới và hỏng hóc, giảm thiểu chi phí ngoài dữ kiến 


1.5.2. KHẢ NĂNG HỖ TRỢ ĐA NỀN TẢNG

IBM InfoSphere Guardium hỗ trợ giám sát đối với các hệ quản trị CSDL sau: 


 

Cơ sở dữ liệu 

Phiên bản hỗ trợ 

Oracle (including ASO/SSL)

9i, 10g (r1, r2), 11gR1, 11gR2, 12c (12c Restrictions: Monitoring support for Windows, Linux, Solaris only. No support for SSL encryption. ASO support available only on Linux and Solaris.)

Oracle RAC (including ASO/SSL)

10g, 11g, 11gR2, 12c (12c Restrictions: Monitoring support for Windows, Linux, Solaris only. No support for SSL encryption. ASO support available only on Linux and Solaris.)

Oracle Exadata (including ASO/SSL)

11gR2, 12c (12c: Vulnerability Assessment only)

Microsoft SQL Server

MS SQL Cluster, 2000, 2005, 2008, 2008 R2, 2012, 2014

Microsoft SharePoint

2007, 2010

IBM DB2 (Linux, UNIX)

9.1, 9.5, 9.7, 10.1, 10.5 (including BLU acceleration)

IBM DB2 (Windows)

9.1, 9.5, 9.7, 10.1, 10.5

IBM DB2 Purescale

9.8, 10.1, 10.5

IBM PureData System for Transactions

page21image18504

IBM PureData System for Operational Analytics

page21image19816

IBM PureData Systems for Analytics

page21image20984

IBM DB2 for z/OS

8, 9, 10, 11, 11.3

IBM DB2 for i

6.1, 7.1

IMS

11, 12. 13

VSAM

see OS version support, part of z/OS (not separately versioned)

IBM Informix

10, 11, 11.50, 11.70, 12

Sun MySQL and MySQL Cluster

5.0, 5.1, 5.5, 5.6

Sybase ASE

15, 15.5, 15.7

Sybase IQ

15.0, 15.1, 15.2, 15.3, 15.4, 16

IBM Netezza

NPS 4.5, 4.6, 4.6.8, 5,0, 6.0, 6.02, 7.0

PostgreSQL

8, 9, 9.1, 9.2

Teradata

12, 13, 13.10, 14, 14.10, 15

IBM InfoSphere BigInsights

1.4, 2.0, 2.1, 2.1.2, 3.0

Cloudera

CDH3 Update 2, 3, 4 CDH4.x, CDH5.x

Aster

5, 6

Cassandra

1.2.x

CouchDB

1.2.x

Greenplum DB

4.0, 4.1, 4.2

Greenplum (Pivotal) HD

1.2, 1.5

Horton Works

1.x, 2.x

MongoDB

2.0, 2.2, 2.4

SAP HANA

1.0

FTP

page22image16832

Window File Share (WFS)

Windows 2003, 2008

Hadoop 1.x is used with the following distributions:

Cloudera 4.x
Hortonworks 1.x
IBM BigInsights 2.1
Pivotal (Greenplum) HD 1.2

Hadoop 2.x is used with the following distributions:

Cloudera 5.x Hortonworks 2.x BigInsights 2.1.2 and 3.0 Pivotal 1.5


Các nền tảng hệ điều hành được hỗ trợ bởi IBM InfoShere Guardium: 

 

Hệ điều hành

Phiên bản

32-Bit & 64-Bit

AIX

5.3

Both (Note: DB2 SHM and Informix SHM on 32-bit AIX not supported)

6.1, 7.1

64-Bit

z/OS

1.11 or higher

page22image37872

HP-UX

11.11, 11.23, 11.31

Both

Red Hat Enterprise Linux (includes Oracle Linux)

4, 5, 6

Both

Red Hat Enterprise Linux for System z

5.4

page23image3600

SuSE Enterprise Linux

9, 10, 11

Both

SuSE Enterprise Linux for System z

9, 10, 11

page23image7560

Solaris - SPARC

9, 10, 11

Both

Solaris - Intel

10, 11

10-Both, 11-64-Bit only

Windows Server

2003, 2008, 2012

Both

IBM i

6.1, 7.1

Ubuntu

10.4 (SP3 & 4), 12.4

PostgreSQL only


1.5.3. HỖ TRỢ GIÁM SÁT ỨNG DỤNG DOANH NGHIỆP

InfoSphere Guardium xác định các mối nguy bằng cách giám sát các hoạt động của người dùng truy cập vào các bảng dữ liệu quan trọng thông qua các ứng dụng doanh nghiệp đa lớp hơn là các truy cập trực tiếp vào cơ sở dữ liệu đó. Điều này là cần thiết bởi vì các ứng dụng doanh nghiệp thường sử dụng một cơ chế tối ưu hóa được gọi là "Connection Pooling". Trong một môi trường gộp đó, tất cả luồng truy cập người sử dụng được gộp trong một vài kết nối cơ sở dữ liệu được xác định chỉ bởi một tên tài khoản ứng dụng dùng chung, do đó mà che dấu được danh tính người dùng thực sự. InfoSphere Guardium hỗ trợ giám sát cho tất cả các ứng dụng doanh nghiệp lớn. Hỗ trợ cho các ứng dụng khác, bằng cách theo dõi các giao dịch ở cấp độ máy chủ ứng dụng. IBM cung cấp tài liệu hướng dẫn của giao thức feed phổ biến, cho phép các tổ chức để thực hiện một giao diện để hỗ trợ bất kỳ tập hợp các tính năng giám sát và bảo vệ được hỗ trợ bởi Guardium InfoSphere thích hợp cho các môi trường riêng của họ. Dưới đây là các ứng dụng và nền tảng máy chủ ứng dụng được hỗ trợ: 

 

Supported Enterprise Applications

Oracle E-Business Suite

Oracle PeopleSoft
Oracle Siebel
SAP
SAP BusinessObjects Web Intelligence IBM Cognos

F5 Web Application Firewall

Supported Application Server Platforms

IBM WebSphere
Oracle WebLogic Server
Oracle Application Server
JBoss Enterprise Application Platform + Others based on customer demand


1.6. LỢI ÍCH CỦA GIẢI PHÁP

Đảm bảo việc tối ưu hóa hiệu suất CSDL
Guardium giúp giảm thiểu các công tác ghi log, kiểm toán và thực hiện việc báo cáo cho hệ thống CSDL

nên giúp tăng hiệu suất của CSDL.

Giám sát và cảnh báo hệ thống CSDL theo thời gian thực

Guardium cung cấp nhiều phương thức cho chúng ta thiết lập các chính sách bảo mật để giám sát các thông tin quan trọng và nhiều phương thức cảnh báo tức thời khi phát hiện sự vi phạm các chính sách, qua đó góp phần tăng cường khả năng bảo mật các thông tin quan trọng, giảm thiểu các rủi ro từ bên ngoài như SQL Injection và các rủi ro từ bên trong như lạm dụng quyền của những cá nhân sử dụng đặc quyền. Ngoài ra, dựa trên các thông tin ghi nhận từ người sử dụng, Guardium còn giúp chúng ta phát hiện ra các lỗ hổng trong các ứng dụng đang vận hành.

Đơn giản hóa và tự động hóa các quy trình

Guardium cho phép người sử dụng thiết lập các quy trình và vận hành các quy trình theo lịch hẹn. Quy trình này giúp cho đơn giản hóa các công tác quản lý, kiểm toán, báo cáo theo ngày, tuần, tháng hay quý, góp phần giảm chi phí cho tổ chức, đồng thời giảm thời gian cho các công tác quản lý, kiểm toán, báo cáo của nhân viên, từ đó nâng cao tính sẵn sàng cho nhân viên, cho hệ thống.

Không ảnh hưởng tới các ứng dụng và CSDL của hệ thống hiện có

Guardium không can thiệp vào các ứng dụng và CSDL mà hệ thống đang hoạt động nên không ảnh hưởng tới các ứng dụng và CSDL của hệ thống. Ngoài ra, Guardium hỗ trợ rất nhiều platform và DBMS nên việc triển khai Guardium rất nhanh chóng.

Giao diện web mọi lúc, mọi nơi và dễ tùy chỉnh
Guardium cung cấp giao diện web mọi lúc, mọi nơi và hỗ trợ chức năng tủy chỉnh nên nhân viên có thể

tùy chỉnh lại cho phù hợp với mục đích sử dụng của mình

2. Thông tin liên hệ

Trang Nguyen (Ms.) – Vice Director


М: +84 938 735 868 | E: trang.nguyen@tsg.net.vn  | Skype: shaniatrang


HN: 5th Floor, SG Building, B19/D21 Cau Giay New Urban Center, Lane 82 Dich Vong Hau StreetCau Giay District, Hanoi


SOFT365 - ĐỐI TÁC ỦY QUYỀN CỦA CÁC HÃNG PHẦN MỀM NỔI TIẾNG TRÊN THẾ GIỚI


Các tin mới hơn:
Các tin cũ hơn:
Total load time (112.78.1.206) : 0.31152s