Compliance, die man sich leisten kann. Sven Herschel Technischer Vertrieb

Transkript

1 Compliance, die man sich leisten kann Sven Herschel Technischer Vertrieb

2 Agenda Compliance-Anforderungen Datenzugriffsüberwachung für den Mainframe mit Guardium Zusammenfassung 2013 International Business Machines Corporation 2

3 Regulierungsumfeld Gesetzliche Regelwerke in Deutschland mit Einfluss auf die IT ( ohne Anspruch auf Vollständigkeit!) SGB BSDG HGB Grundschutz- Handbuch KWG AO GoBS StGb 203 Ziele der gesetzlichen Regelungen VAG GWG Vorgaben für Geschäftsbetrieb, Buchhaltung, Steuersachverhalte, Datenschutz,.. - mit Regelungen für papierbasierte Verfahren und die elektronische Datenverarbeitung Ergänzend vertragliche Regelungen mit Geschäftspartnern, wie z.b. PCI, etc International Business Machines Corporation 3

4 Anforderungen des BDSG an die Datenhaltung (Auszug) Bundesdatenschutzgesetz (BDSG) Sechster Abschnitt Übergangsvorschriften Anlage (zu 9 Satz 1) 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftrags- kontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Quelle: Bundesministerium der Justiz Bundesdatenschutzgesetz unter International Business Machines Corporation 4

5 Maßnahmenbündel für Baustein Datenbanken (Auszug) Phase Betrieb (BT) M 2.31 (A) Dokumentation der zugelassenen Benutzer und Rechteprofile M 2.34 (A) Dokumentation der Veränderungen an einem bestehenden System M 2.65 (C) Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System M (B) Inferenzprävention M (A) Zugangskontrolle einer Datenbank M (A) Zugriffskontrolle einer Datenbank M (A) Gewährleistung der Datenbankintegrität M (C) Aufteilung von Administrationstätigkeiten bei Datenbanksystemen M (A) Kontrolle der Protokolldateien eines Datenbanksystems M 3.18 (A) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung M 4.67 (B) Sperren und Löschen nicht benötigter Datenbank-Accounts M 4.68 (A) Sicherstellung einer konsistenten Datenbankverwaltung M 4.69 (B) Regelmäßiger Sicherheitscheck der Datenbank BSI: IT-Grundschutz M 4.70 (C) Durchführung einer Datenbanküberwachung 2013 International Business Machines Corporation 5

6 Typische Anforderungen des Auditors Dokumentation von Benutzerzugriffen privilegierter / persönlicher Benutzer Accountmanagement-Aktivitäten (GRANT, REVOKE etc.) Administrativen Kommandos, Utilities etc. Zugriffen auf sensible Objekte (z.b. Kreditkartendaten) Einhaltung von Best Practices Schutz vor SQL-Injection Regelmäßige Prüfung ordnungsgemäßer Datenbankkonfiguration Erstellung und Prüfung von Berichten über diese Dokumentation 2013 International Business Machines Corporation 6

7 Typische Anforderung des Auditierten GET OUT OF MY WAY International Business Machines Corporation 7

8 Typische Anforderungen des Auditierten (konstruktiv) Minimale Konfigurations- und Administrationsaufwände Integration in bestehende Landschaft Authentifizierung Rechte- und Rollenkonzept Ggf. existierende Alarmierungsketten Minimaler Overhead Einfluss auf den Mainframe Speicheranforderungen für Audit-Logs 2013 International Business Machines Corporation 8

9 Database Activity Monitoring in Echtzeit mit Guardium Granulares Echtzeitmonitoring, Auditing und Reporting über sämtliche Datenbankaktivitäten: SQL Statements mit Host Variablen & Statement Text Berechtigungsvergabe DDL Statements DB2 Commands (IBM) Utility-Aufrufe Logins/Logouts Security Exceptions Wer? Was? Wann? Wo? Wie? 2013 International Business Machines Corporation 9

10 Architekturüberblick von Guardium mit DB2 for z/os DB2 for z/os Datenbank-Nutzer Guardium S-TAP for DB2 on z/os: - Datensammler für DB2 for z/os - Abgeschirmte Administration Guardium Collector Appliance: - Forensisch belastbares Audit- Repository - Hardware oder Software Auditor 2013 International Business Machines Corporation 10

11 Appliance-basierter Lösungsansatz von Guardium Betrieb als gehärtete Appliance auf einem dedizierten Server (physisch oder virtuell) Kein Zugriff auf verwendetes Repository und Betriebssystem (Red Hat Enterprise Linux) Verwaltung über Command Line Interface oder Web-GUI (per https Verbindung) 2013 International Business Machines Corporation 11

12 Funktionsweise des Filtering in der S-TAP Architektur Guardium Appliance TCP/IP Streaming S-TAP Agent ADHADB2A Stage 2 Filtering ziip eligibel z/os LPAR (mind. V1.9) DB2 for z/os Subsystem DB2A (V8, V9, V10) IFI (DB2 Filtering) Grants/Revokes Logins/Logouts DB2 Commands IBM Utilities Audit SQL Collector ADHCDB2A Stage 0 / 1 Filtering SQL & DDL Statements 2013 International Business Machines Corporation 12

13 Einsatz von Guardium in heterogenen Umgebungen DB2 for z/os Datenbank-Nutzer DB2 LUW Oracle SQL Server Hohe Skalierbarkeit + IMS VSAM Guardium Aggregator Appliance: - Zentrale Audit Policy Verwaltung - Zentrales Auditing Repository Auditor Auditor 2013 International Business Machines Corporation 13

14 Proaktive Security Tests mit Vulnerability Assessment Testet die Verwundbarkeit eines DB2 Subsystems auf Basis von Labor Best Practices und Security Standards Neben einem Scoring (nutzbar zu Vergleichszwecken) bietet Guardium direkt Lösungsvorschläge Vorgefertigte Tests der Guardium Library, u.a. auf: Sicherheitsrelevante DB2 zparms & PTFs Vergebene Berechtigungen & verwaiste User IDs Login-Verhalten und erfolglose Login-Versuche + weitere selbstdefinierte Tests 2013 International Business Machines Corporation 14

15 Durch Standardschnittstellen ist Guardium leicht integrierbar SIEM (QRadar, ArcSight, EnVision, Tivoli, etc.) SNMP Dashboards (HP OpenView, Tivoli, etc.) Directory Services (Active Directory, LDAP, etc.) Send Alerts (CEF, CSV, syslog) Change Ticketing Systems (Remedy, Peregrine, etc) Authentication (RSA SecurID, RADIUS, Kerberos) Applications (Oracle EBS, SAP, PeopeSoft, Siebel) Long Term Storage (EMC Centera, IBM TSM FTP, SCP, etc.) Application Servers (WebSphere, JBoss, Oracle IAS etc.) 2013 International Business Machines Corporation 15

16 FIDUCIA Projekt, um gesetzliche Anforderungen (MaRisk) im Bereich Database Activity Monitoring optimal umzusetzen Anforderung zu Beginn: Aufzeichnung und systematische Auswertung der Zugriffe hochpriviligierter Datenbanknutzer Ausdehnung des Fokus während der Umsetzung Projektdauer: in etwa 18 Monate 24 Appliances in 3 Schichten (CM, Aggregator, Kollektor) 3000 überwachte Datenbanken Alle persönlichen DB-User werden überwacht Automatisiertes Reporting Etablierte Auditingprozesse gesetzliche Anforderungen der MaRisk ( 25a KWG) ohne Einschränkungen erfüllt Interne Verwendung für forensische Analysen 2013 International Business Machines Corporation 16

17 Warum Guardium? Enterprise Ready Relationales Audit- Repository Fokus auf Sicherheit UND Compliance Keine Änderungen an Datenbanken, Anwendungen, Netzwerk-Infrastruktur nötig. Jahrelange Erfahrung mit den anspruchsvollsten Rechenzentren weltweit. Ständiger Fokus auf Betriebskosten, effiziente Verwaltung und TCO. Breiteste Unterstützung von Datenbanksystemen, einschließlich Z, iseries, Big Data. Anbindung an externe Datenquellen für vereinfachte Konfiguration. Central Manager + Central Audit Repository für zentralen Zugang zu Guardium. Automatisierung von Guardium mittels GuardAPI. Zentrales Patch & Update Management, Rebootfreie Installationen und Upgrades. Aggregierte ( lesbare ) Berichte. Von dort Drill-Down in eigentliche DB-Aktivität. Anonymisierung und Pseudonymisierung (Stichwort Betriebsrat). Relationale Audit-Daten-Speicherung speichert bis zu 95% Speicherplatz im Vergleich zu Flat-Logbasierten Speicheransätzen. Immer 100% Monitoring. Punkt. Treiber auf OS-Kernel-Ebene mit Restart-Fähigkeit für stabiles, zuverlässiges Monitoring. Starke Selbstüberwachung ( no traffic -Alarm, Policy-Änderungen, Appliance-Logins, ) Fokus auf Separation of Duties : kein Root-Zugang zur Appliance, feingranulares Rechtemodell für die Appliance-Weboberfläche. Automatisierung mit Audit & Compliance-Prozessen (z.b. Review & Sign-Off). Guardium DIE Enterprise-Lösung für Datenbanksicherheit und Audit. Holistischer Ansatz für Sicherheit und Compliance International Business Machines Corporation 17

18 Addressing the full data security and compliance lifecycle 2013 International Business Machines Corporation 18

19 2013 International Business Machines Corporation 19

20 Sven Herschel Senior Technical Presales Consultant Pan-European Team Information Management IBM Deutschland GmbH International Business Machines Corporation 20

21 Backup 2013 International Business Machines Corporation 21

22 Security and Compliance concerns are similar in Big Data Structured Unstructured Streaming Big Data Platform Who is running specific big data requests? What map-reduce jobs are they running? Are they trying to download all of the sensitive data for non-authorized purposes?, Is there an exceptional number of file permission exceptions? Are these jobs part of an authorized program list accessing the data? Has some new query application been developed that you were previously unaware existed? Massive volume of structured data movement 2.38 TB / Hour load to data warehouse High-volume load to Hadoop file system Ingest unstructured data into Hadoop file system Integrate streaming data sources Hadoop Cluster Clients 2013 International Business Machines Corporation 22

23 InfoSphere Guardium v9 integrates with QRadar to add data security insights to your security intelligence Security Devices Databases Data Warehouses Hadoop big data environments File shares Servers & Hosts Network & Virtual Activity Database Activity Activity Application Activity Configuration Info Event Correlation Activity Baselining & Anomaly Detection Offense Identification Vulnerability Info User Activity Vulnerability Information In-depth data activity monitoring and security insights from InfoSphere Guardium Extensive Data Sources Deep Intelligence + = Exceptionally Accurate and Actionable Insight Send security alerts from Guardium to QRadar Send audit reports from Guardium to Q1 to enhance analytics NEW Share configuration and real-time policies between Guardium and QRadar 2013 International Business Machines Corporation 23

24 AppScan and Guardium compliment each other when protecting against application attacks Security specialists identify a SQL injection vulnerability in an application by performing an assessment with AppScan Knowing about the existence of a SQL injection vulnerability, security specialists can create a virtual database patch to protect attacker from retrieving sensitive information AppScan Guardium SQL injection probes and attacks by hackers Test and Identify SQL Injection Block Virtual patch (a set of DB blocking rules) prevent a SQL Injection exploit Other AppScan Protections: Cross Site Scripting Parameter Tampering Cookie Poisoning 2013 International Business Machines Corporation 24