Guardium培訓

1、 Information ManagementGuardium數據監(jiān)控和審計數據監(jiān)控和審計Information ManagementGuardium簡介Guardium監(jiān)控和審計架構實現Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應用講解Guardium服務器容量評估和擴展架構Guardium日常運行維護AgendaInformation ManagementGuardium是什么是一個打包了軟件、操作系統和硬件的解決方案從硬件的角度來說就是個PC Server軟件是Tomcat + MySQL及探針操作系統是Redhat內核，經過封裝，提供了一

2、些用戶接口Information Management硬件配置 兩塊300G1T的盤做RAID1 CPU 建議8core以上 內存 Guardium8.1的最佳配置是16G，9.1版本建議32G 網卡 如果有萬兆網卡最好，如果沒有也可以用千兆Information Management軟件Guardium可以看做是一個報表系統是Tomcat + MySQL組成的一個報表平臺，Tomcat提供應用服務，MySQL提供數據存儲；同時提供了警報、工作流等功能主要是對收集的數據包進行拆分、解析，按條件存儲，提供查詢。探針I(yè)nformation Management操作系統 Redhat內核 在Guar

3、dium8.1是Redhat4.x的內核，只有32位 現在Guardium9.1是Redhat5.x的內核，支持64位，性能上更強Information Management為什么需要Guardium？Information Management 2010 Verizon數據泄漏評估報告http:/ 數據泄漏在各行業(yè)的分布 數據庫服務器 占受損失記錄的 92%Information Management70%70%以上以上ITIT風險屬操作風險，該風險的最大漏洞在數據庫風險屬操作風險，該風險的最大漏洞在數據庫 隨著企業(yè)業(yè)務對IT系統的依賴程度越來越高，IT風險對業(yè)務風險的影響也越來越大。而IT

4、風險中70%以上屬于操作風險，即由人工操作不當（無意或故意）引起的風險。因此，有效地控制IT風險，尤其是操作風險，對企業(yè)的安全運營至關重要。3/4的企業(yè)不清楚特權用戶(DBA等)對數據庫進行過何種操作2/3的企業(yè)不能有效防止特權用戶對數據庫的非授權訪問85%的成員將真實數據不加防范地交與開發(fā)人員或第三方人員將近一半的成員對其非特權用戶訪問敏感數據毫無措施Source: 2010 Independent Oracle User Group (IOUG) Data Security Survey, based on survey of 430 members. http:/ Management數

5、據庫監(jiān)控數據庫監(jiān)控及及審計市場領導地位審計市場領導地位-Guardium-GuardiumInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構實現Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應用講解Guardium服務器容量評估和擴展架構Guardium日常運行維護AgendaInformation ManagementInformation ManagementInformation ManagementInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構實現Gu

6、ardium安裝和配置Guardium策略構建及監(jiān)視器警報配置Guardium審計監(jiān)控典型應用講解Guardium服務器容量評估和擴展架構Guardium日常運行維護AgendaInformation ManagementInformation Management安裝后基礎配置 端口鏡像及管理IP 網絡設置 系統日期時間設置 配置NTP Server等等，查看安裝配置文檔Information Management用戶在虛擬機上進行安裝配置練習安裝后基礎配置Information ManagementGuardium簡介Guardium監(jiān)控和審計架構實現Guardium安裝和配置Guardi

7、um策略、警報和審計報告Guardium審計監(jiān)控典型應用講解Guardium服務器容量評估和擴展架構Guardium日常運行維護AgendaInformation Management數據流入 對于SPANPORT模式，數據包的流入是無條件的，不可篩選 數據從交換機端口鏡像至Guardium的網絡接口，無條件流入Guardium服務器，在Guardium內部進行過濾、解析、分流、篩選、整理，存儲 ；初步過濾由Inspection Engine控制；對于關注的數據內容，并作出對應的反應由策略來管理 對于STAP模式，可以選擇從源端（被監(jiān)控庫）收集或拋棄哪些數據包；數據流入Guardium服務器后

8、的處理方式，與SPANPORT模式相同Information ManagementInformation ManagementInspection Engine Information ManagementPolicyInspection Engine經過初步過濾的數據包，下一步如何處理 構建策略GUI界面策略配置入口：Monitor/Audit - Build Audit Policies或是， Tools - Policy BuilderInformation ManagementPolicy - RuleInformation ManagementPolicy - RuleInforma

9、tion Management配置完成的RuleInformation ManagementRule展開 Rule - ActionsInformation Management用戶進行Policy和Rule配置練習Policy - RuleInformation Management29 一系列反映“最佳做法”的合規(guī)報表 數百個預先配置的關于數據隱私、SOX和PCI的報表 基于行業(yè)的最佳做法簡便的自定義報表 ( 提供智能鉆取分析功能)識別異?；顒拥拈y值 可以由沒有DBA經驗的負責安全的人員管理客戶端客戶端IP服務器服務器IP 數據庫類型數據庫類型 執(zhí)行的命令執(zhí)行的命令總執(zhí)行次數總執(zhí)行次數審計

10、監(jiān)控典型應用審計監(jiān)控典型應用 審計報告審計報告Information Management集中展示企業(yè)內各異構數據庫的授權變更報告集中展示企業(yè)內各異構數據庫的授權變更報告了解DBA過去一周給哪些用戶賦了哪些權限，是否合規(guī)？各數據庫各數據庫一網打盡一網打盡Information Management關鍵點：關鍵點： 審計報告的可理解性審計報告的可理解性Information Management審計監(jiān)控典型應用審計監(jiān)控典型應用 日常審計報告日常審計報告Information Management輸出報告樣例輸出報告樣例: 圖表圖表Information Management輸出報告樣例輸出報告樣

11、例: ExcelInformation Management報告輸出樣例：報告輸出樣例： PDF格式格式Information ManagementAlertInformation ManagementAlert 通過SMTP發(fā)警報郵件Information Management 實時警告 很多組織機構都禁止其員工（以及黑客）檢索過多的潛在敏感數據，如果出現這種情況，則會發(fā)出警告，以便他們可以快速地調查和確定是否發(fā)生了嚴重的違規(guī)行為。 執(zhí)行該操作的一個方法是根據 “受影響的記錄” 策略的訪問規(guī)則中創(chuàng)建一個閾值。 先決條件：先決條件： 創(chuàng)建一組您要對其發(fā)出警告的敏感數據對象。審計監(jiān)控典型應用審計

12、監(jiān)控典型應用 實時警告實時警告Information Management審計監(jiān)控典型應用審計監(jiān)控典型應用 實時警告實時警告確保您的系統配置針對所有檢查引擎啟用了 Inspect Returned Data 和 Log Records Affected。Information Management 在任何數據庫用戶對敏感數據對象的讀取記錄的數量超過 200 時發(fā)出警告審計監(jiān)控典型應用審計監(jiān)控典型應用 實時警告實時警告Information Management 有人從應用服務器以外的地方使用專用口令訪問數據庫!Application Server44Database Serv

13、er6App User服務器服務器IP用戶用戶客戶端客戶端IP審計監(jiān)控典型應用審計監(jiān)控典型應用 實時警告實時警告Information Management審計監(jiān)控典型應用審計監(jiān)控典型應用 特權用戶行為監(jiān)控特權用戶行為監(jiān)控 特權用戶行為監(jiān)控特權用戶行為監(jiān)控 因為特權用戶擁有對數據庫的較大訪問權限，一些組織機構要求詳細監(jiān)視管理用戶（特權用戶）的任何活動 先決條件：先決條件： （1）創(chuàng)建如上所述的一個 特權用戶組（其中包括您認為是 “特權用戶” 的任何人）。 （2）創(chuàng)建一個敏感對象組 （3）創(chuàng)建一個敏感操作命令組 建立策略，當特權用戶用敏感操作命令訪問敏感對象組時，記錄詳細信息并

14、發(fā)出警報Information Management “監(jiān)視/審計”-“報告構建”-“組構建器” 構建敏感對象組，如XXXX_Sensitive_Tables審計監(jiān)控典型應用審計監(jiān)控典型應用 特權用戶行為監(jiān)控特權用戶行為監(jiān)控Information Management用戶進行配置練習審計監(jiān)控典型應用審計監(jiān)控典型應用 特權用戶行為監(jiān)控和報警特權用戶行為監(jiān)控和報警 Information Management終止對敏感對象的非法訪問阻斷！阻斷！敏感數據組敏感數據組 其他功能其他功能 通過通過S-TAP實現實時阻斷實現實時阻斷Information ManagementNoel Yuhanna, F

15、orrester, “Database Security: Market Overview,” Feb. 09Session TerminatedHold SQLConnection terminatedPolicy Violation:Drop ConnectionIssue SQLCheck PolicyOn Appliance46Oracle, DB2, MySQL, Sybase, etc.SQLApplication ServersS-GATEPrivileged Users其他功能其他功能 通過通過S-TAP實現實時阻斷實現實時阻斷Information Management兩種阻

16、斷方式兩種阻斷方式S-TAPSQLCheck PolicyOn CollectorPartial results setPolicy ViolationDrop ConnectionNo latencyConnectionTerminatedCritical businessApplication serversS-TAP Terminate No Latency, limits riskDatabaseServerDatabaseSQLHold SQLCheck PolicyOn CollectorPolicy ViolationDrop ConnectionConnection termi

17、natedPrevent DBAs from accessing sensitive dataS-GATE Terminate High security, some latencyInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構實現Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應用講解Guardium服務器容量評估和擴展架構Guardium日常運行維護AgendaInformation ManagementGuardium的高可用架構SPANPORT模式需要通過F5設備進行數據包在不同Guardium服

18、務器之間的分發(fā)Information ManagementGuardium容量估計Information ManagementGuardium容量估計Information ManagementInformation Management可擴展的企業(yè)級多層架構可擴展的企業(yè)級多層架構 集中管理 Policies pushed to collectors from central manager 企業(yè)級匯總分析 Collectors aggregate data to central audit repository 分布式平臺和system Z 統一的數據收集結構 強行阻斷(S-Gate) 阻止

19、特權用戶訪問敏感信息 異構的數據庫支持 Oracle, DB2, SQL Server, Sybase, etc.Test and DevelopmentIntegration with LDAP, IAM, IBM Tivoli, SIEM, IBM TSM, RemedyInformation ManagementGuardium簡介Guardium監(jiān)控和審計架構實現Guardium安裝和配置Guardium策略、警報和審計報告Guardium審計監(jiān)控典型應用講解Guardium服務器容量評估和擴展架構Guardium日常運行維護AgendaInformation Management日常

20、維護 基本命令 啟動 重啟Guardium 服務器 restart system 停止 stop system 重啟GUI服務器 restart gui 重啟Inspection Core restart inspection-coreInformation Management日常維護 補丁維護檢查現有已安裝補丁show system patch installed P# Who Description Request Time Status100 CLI Guardium Patch Update (GPU) for 2012-11-28 17:09:15 DONE: Patch inst

21、allation Succeeded.107 CLI Source Program Collapse functio 2012-11-28 17:24:14 DONE: Patch installation Succeeded.121 CLI MySql performance fix 2012-11-28 17:29:59 DONE: Patch installation Succeeded.123 CLI Sniffer stack and queue fixes 2012-12-07 11:37:27 DONE: Patch installation Succeeded.在Guardiu

22、m console界面輸入fileserver通過 http:/guardium-ip 訪問，可以Upload Patches選擇合適的補丁上傳，待顯示已上傳成功，關閉頁面，在console端Enter退出fileserver模式安裝補?。簊how system patch availablestore system patch install sys nowInformation Management健康狀況查看 System View-System Monitor Information Management健康狀況查看 Guardium Monitor Information Manag

23、ement系統修復系統修復 如果Guardium 的System monitor沒有數據，且buffer usage monitor也沒有數據，則嘗試執(zhí)行 restart sniffer_buffer_usage 如果仍沒有數據，則執(zhí)行 start inspection-core start / restart gui 如果gui界面無法訪問，則執(zhí)行 restart guiInformation Management系統修復系統修復 如果數據流入但是無法檢索到，可執(zhí)行 restart inspection-engine 最后，再執(zhí)行一次restart stopped_services命令，以免

24、有其他停掉的服務沒啟動起來Information Management日常維護 排錯在console界面，輸入diag，選擇合適的選項收集數據（在Trouble Shooting過程中，根據實驗室Level 2支持工程師的要求收集數據）Information Management日常維護 其他調試工具 IPTRAF 可以給出某指定網絡端口的網絡流量Information Management日常維護 數據歸檔、備份和清理Information Management日常維護 數據歸檔、備份和清理Information Management 用戶練習熟悉日常維護命令日常維護 日常維護命令Infor

25、mation ManagementSTAP模式 AIX安裝 AIX上S-TAP安裝 以root用戶按序執(zhí)行下列命令 installp -aX -d /tmp/stap/Native_Installers/ guard-stap-v82_r33264_1-aix-5.3-aix-powerpc.bff SqlGuardInstaller然后，執(zhí)行上述命令在 /usr/local/guardium 目錄中生成的安裝腳本。在安裝過程中，除了需要修改配置文件中如下幾個選項以外，其他均采用默認設置。 tap_ip= sqlguard_ip= ktap_installed=1Information Man

26、agementSTAP模式 Linux安裝交互模式安裝：./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modules 非交互式安裝./guard-stap-guard-8.0.xx_r20992_1-rhel-5-linux-x86_64.sh - -modules /tmp/modules-guard-8.0.xx_r20992_1.tgz -ni -tls 1 -k -dir /usr/local -tapip 02 -sqlguardip 09Information M

27、anagementSTAP模式 建議安裝模式GIMSteps：1、在Data Server上安裝GIM（Guardium Installation Manager）2、 Guardium GUI，Administration Console-Module Installation-Upload3、將STAP包Upload，然后Import 4、 Administration Console-Module Installation-Setup By Client，輸入DataServer的IP（即安裝了GIM的被監(jiān)控庫），Next，Next5、左側選擇STAP包，Next6、Informatio

28、n ManagementSTAP模式 建議安裝模式GIMSteps：7、select Client Module Parameters, Apply to Selected8、Apply to Clients，然后點擊 Install /Update，Noew，Accept完成安裝9、Administration Console Module Installation Setup ByClient, 選擇Data ServerIP 點擊information icon，顯示已安裝.Information ManagementGuardium STAP配置Information ManagementGuardium STAP配置Information ManagementS-TAP 啟動停止非GIM安裝：root用戶/etc/inittab文件找到utap:2345:respawn:/usr/local/guardium/guard_stap/guard_stap /usr/local/guardium/guard_stap/guard_tap.ini對改行加注釋（AIX為 ：