“客户名称”
WEB应用与数据库安全解决方案
January, 2011
Version 1.0
PROPRIETARY NOTICE
The information contained in this document constitutes information that is commercial or financial and confidential or privileged and should be considered confidential.
PROPRIETARY INFORMATION
The information contained in this document is proprietary to Edvance Limited and is tendered for purposes of review and evaluation only. This document shall not be reproduced, in whole or in part, nor shall the information contained herein be used by or disclosed to others except as expressly authorized by Edvance Limited.
REVISON HISTORY
CONTACT INFORMATION
TABLE OF CONTENT
1项目概述 ------------------------------------------------------------------------------------------------------------------------------- 2 2供应商概况 ---------------------------------------------------------------------------------------------------------------------------- 3 2.1关于安领 ------------------------------------------------------------------------------------------------------------------------- 3 2.2方案设计前提 ------------------------------------------------------------------------------------------------------------------ 3 3方案介绍 ------------------------------------------------------------------------------------------------------------------------------- 5 3.1系统架构设计 ------------------------------------------------------------------------------------------------------------------ 5 3.2方案优势 ------------------------------------------------------------------------------------------------------------------------- 8 3.3I MPERVA 公司及产品介绍 -------------------------------------------------------------------------------------------------- 10
3.3.1关于Imperva ----------------------------------------------------------------------------------------------------------- 10
3.3.2Imperva方案简介 ---------------------------------------------------------------------------------------------------- 10 3.4I MPERVA解决方案的领先技术 ------------------------------------------------------------------------------------------- 12
3.4.1WEB应用监控与保护 ----------------------------------------------------------------------------------------------- 12
3.4.2结构化数据监控与保护 -------------------------------------------------------------------------------------------- 12
3.4.3非结构化数据监控与保护----------------------------------------------------------------------------------------- 13
3.4.4动态建模和自动策略------------------------------------------------------------------------------------------------ 15
3.4.5多层次的防护及关联------------------------------------------------------------------------------------------------ 15
3.4.6前后台关联------------------------------------------------------------------------------------------------------------- 16
3.4.7灵活的部署方式 ------------------------------------------------------------------------------------------------------ 17
3.4.8统一的实时告警监控------------------------------------------------------------------------------------------------ 17
3.4.9图形化报表------------------------------------------------------------------------------------------------------------- 18
3.4.10智能的攻击汇总 ------------------------------------------------------------------------------------------------------ 19
3.4.11法规遵从 ---------------------------------------------------------------------------------------------------------------- 20 3.5解决方案扩展 ---------------------------------------------------------------------------------------------------------------- 22
3.5.1处理能力海量扩展--------------------------------------------------------------------------------------------------- 22
3.5.2设备高可用部署选项------------------------------------------------------------------------------------------------ 22
3.5.3与第三方系统集成--------------------------------------------------------------------------------------------------- 23
3.5.4ThreatRadar –业界第一个基于WEB应用的取证系统--------------------------------------------------- 24 4成功案例 ----------------------------------------------------------------------------------------------------------------------------- 25
4.1I MPERVA用户介绍 ------------------------------------------------------------------------------------------------------------ 25 4.2E DVANCE案例分享 ----------------------------------------------------------------------------------------------------------- 27
1 项目概述
(请根据项目情况进行描述)
2 供应商概况
2.1 关于安领
安领科技成立于2002年,全球总部设在香港,2006年在深圳成立国内公司,另设3个分公司(北京、上海和广州)。公司拥有60人以上的专业顾问团队,为用户提供专业的安全顾问服务,专注于:
?网络安全
?系统安全
?应用安全
?数据安全
安领科技拥有一个资深的安全技术顾问团队。目前已经在国内及港澳地区拥有超过150个以上的客户,并为这些客户提供专业的安全顾问与安全服务。
2.2 方案设计前提
为了确保实现项目目标,我们基于以下前提为用户设计解决方案:
?选择正确的方案–安领科技在应用安全方面拥有丰富的实战经验。在本方案中,我们推荐的Imperva SecureSphere能够为用户提供最先进的功能与技术,用于应对所有安
全挑战并满足各种业务需求。事实上,Imperva将会对用户的需求提供一个最佳的应
用安全解决方案。
?详细的前期调研–安领科技在前期已经与用户就Imperva的技术及解决方案进行过详细的讨论。安领科技已经与用户进行了前期的PoC测试并提供了详尽的的PoC测试
报告。这些PoC测试报告将有助于完成本项目的实施工作。
?安全解决方案专家–安领科技在安全解决方案领域有着丰富的经验,并在业内成绩斐然。我们的所有解决方案均是基于对用户的现状及长期规划的全面理解。因此,我们
的解决方案将解决用户业务中的实际问题并立刻为用户的业务带来价值。同时,我们
的解决方案也为将来的业务发展提供很好的扩展能力。
?满足现有业务的需要并预留扩展能力–在我们的方案中将为用户提供丰富的选择,以充分利用现有投资的基础上,通过扩展满足未来业务发展的需求。
3 方案介绍
3.1 系统架构设计
下图为在用户生产环境中的Imperva SecureSphere设备部署架构,同时为用户提供WEB应用以及数据库服务器的安全防御(此图未能完全包含用户网络的实际情况,在正式部署将进行相应的调整):
在我们的方案中,在用户的环境中部署了两台Imperva SecureSphere设备。
一台Imperva SecureSphere以“在线模式”部署在WEB应用负载均衡设备前端,提供WEB应用安全防御功能。这台设备用来监控所有的WEB应用流量以及来自于外网的WEB应用攻击。如果发现任何的WEB应用攻击,这台设备都将根据设定的安全策略进行攻击拦截。
另一台Imperva SecureSphere也以“在线模式”部署在数据库服务器群前端,提供数据安全防御功能。
这台设备监控所有的数据库活动(包括来自于外网以及来自于内网的针对数据库的访问),并在发现数据库异常访问、数据库攻击、数据库入侵时进行报警与拦截。
另外,我们推荐使用Imperva管理服务器用于为这两台SecureSphere设备提供集中式的管理,策略部署、事件报警以及报表处理。
无需网络与设备变更
方案中的Imperva appliance以“二层桥接模式”进行部署,这是一种最高性能、最高效率的部署模式,同时为用户提供最高效率的攻击拦截,而且这种部署模式无需变更现有网络的配置。从而使得我们的部署变得极其简单与快速。
当然,Imperva也支持旁路监听部署模式,也可以在不影响业务的前提下实现高效的事件监控。
Fail-open支持与最低延时
Imperve SecureSphere支持fail-open工作模式,允许在设备出现故障时bypass所有的流量,这样就可以保障用户的WEB应用与数据库不受影响。此外,Imperva SecureSphere能够处理大量的并发事务、在极高的吞吐量下提供微秒级的延时。
为WEB应用与数据库提供应用层保护
当互联网用户访问用户的WEB应用时,所有的HTTP/HTTPS以及数据库流量均被Imperva SecureSphere进行检测。当发现七层(HTTP/HTTPS)攻击、网络层攻击或者被OWASP列出的Top 10应用攻击时,以及检测到特权数据库用户操作违规、恶意数据库访问时,这些攻击与非法事务将被Imperva SecureSphere设备进行拦截并发出相应的报警。
从而,用户的WEB应用将避免遭受应用攻击并最小化数据泄漏风险。
最简单的配置以及自动学习
在部署了Imperva设备以后,SecureSphere的动态建模技术自动地解析应用与数据库流量,并根据应用、数据库架构以及访问行为特征建立全面的特征模型。动态建模实时地、自动地将应用与数据的变更加入到已有的特征模型中。通过将应用请求与已有模型进行比对,SecureSphere能够检测出不能接受的访问行为并精确地防御恶意访问。
通过动态建模,SecureSphere能够动态地捕捉WEB应用与数据库用户名称,并可以将同一特定用户访问进行汇总。从而实现基于用户的统一监控、策略执行与审计。
全面的数据库监控与审计
Imperva SecureSphere监控与审计所有的数据库活动,包括所有的DML, DDL and DCL指令,以及所有完整的查询、查询响应。存储过程、预置语句以及绑定变量均可以被捕捉。连同相关的数据库操作,如数据和时间、源应用程序、主机名和数据库用户,形成一个完整的数据库审计跟踪记录。
通过ADC进行实时安全更新
Imperva ADC,是一个国际化的安全研究组织,持续不断地调查全球范围内的新的风险报告,并从不同的数据库、应用系统攻击中分析攻击特征,并对重要的漏洞进行研究,从而找出最新的威胁。通过这些
研发工作,可以为SecureSphere提供多层次的安全更新,如:特征库更新、协议验证策略、攻击关联规则等。在我们的方案中, Imperva SecureSphere设备将被设置成定期更新ADC。
自动化报表
在我们的方案中,Imperva保护所有的WEB应用与数据库服务器,通过Imperva管理服务器生成统一的WEB应用、数据库报表。Imperva SecureSphere提供丰富的图形化报表以及报表定制,从而让用户可以非常容易地了解当前系统的安全状态,并可以完全达到法规遵从的要求。我们将在系统中启用部分预设报表,根据用户需要定制部分报表。这些报表均可以随时进行查看或者通过邮件定期发送。实时的仪表盘为用户提供针对系统状态、安全事件的汇总查阅。用户可以非常容易地进行报警搜索、保存,所有的报警均链接到相关的安全规则。
3.2 方案优势
Imperva SecureSphere解决方案具有如下优势,协助用户以最小的运维成本及最大的安全保
障实现关键业务的持续运作。
低风险–方案中推荐的Imperva SecureSphere 设备部署模式为二层透明桥接或者旁路监控,
无需改变用户的现有应用、系统、网络架构。
低总体拥有成本–Imperva SecureSphere为用户提供自动化的攻击特征及防御策略更新,通
过报表引擎自动分化报表,通过动态建模技术在应用发生变更时自动更新WEB应用架构以及
数据库架构。
高投资回报–Imperva SecureSphere解决方案能够降低用户用于系统安全管理方面的日常运
维成本,包括设备运行成本、管理成本、支持成本以及应用开发成本。
增强用户的WEB及数据库服务器安全– Imperva SecureSphere解决方案增强用户的现有应用
及数据库系统的安全防护能力,从而在达到OWASP (https://www.doczj.com/doc/4317069918.html,)组织列出的防御最严重
的十大应用与数据库安全风险的要求。.
Imperva SecureSphere 与于其他友商的WEB应用安全防火墙、数据防火墙有着非常大的区别,
其技术优势如下:
?精确的WEB应用与数据库安全保护–SecureSphere的WEB应用防火墙与数据库防火墙综合了动态的白名单策略模型、即时更新应用特征、会话跟踪以及攻击关联检测,
从而实现最准确的攻击检测。
?自动的、直观的管理–Imperva的动态建模技术,自动地学习应用的架构、元素以及期望的使用方式,从而正确的保护应用。简单易用的WEB与数据库管理界面使得日
常配置工作非常的简单易行。
?透明部署–包括透明二层桥接、代理以及旁路监听,确保无需变更用户的现有网络架构。
?数据泄漏保护– SecureSphere检测出向的流量用于保护敏感数据不被泄漏。
?超强性能、超低延时–数G的处理能力以及微秒级的系统延时,SecureSphere能够轻易地满足大多数数据中心的需求。
?灵活的高有效部署–包括Fail-open网卡、专用的IMPVHA协议以及VRRP协议支持,确保在任何环境中的零风险部署。
?运营级集中管理–当扩展到保护大型的、分布式的数据中心时,通过MX管理服务器为多个SecureSphere设备提供集中式的配置、监控以及报表从而为用户提供精确的安全防御,自动化管理,灵活的部署以及强大的集中配置和报告。
3.3 Imperva 公司及产品介绍
3.3.1 关于Imperva
数以千计世界领先的企业、政府组织和服务提供商都依赖于Imperva 解决方案来防止数据泄漏、符
合合规性要求以及管理数据风险。
Imperva 应用程序防御中心 (ADC) 是一家世界级的安全研究组织,其 SecureSphere 在应对不断升
级的安全威胁方面拥有一流的保护能力,这是 Imperva 对其数据安全卓越性的强有力的证明。
Imperva SecureSphere 是市场领先的数据安全与合规性解决方案。SecureSphere 能够保护敏感数
据免受黑客和无恶意内部人士的侵犯,提供了快速经济地实现监管合规性的途径,并且建立了一种
可重复流程,以降低数据风险。
3.3.2 Imperva方案简介
SecureSphere解决方案是业界最佳、效率最高的解决方案,能够完全满足用户业务系统的安全、
审计、部署以及按需运维等方面的需求。
通过Imperva专用的动态建模技术,为用户建立合法的应用使用模型,并可以根据应用的变化进
行自动调整、更新,从而真正实现最小的运维人力投入。
安全
通过动态建模,关联攻击鉴定,数据库活动异常检测,从网络到应用防御已知攻击的发生,常
规的安全风险特征升级,SeucreSphere为用户提供全面的、精准的安全防御。
实时监控与审计
SecureSphere为用户提供完全的、实时的数据库监控与审计。当非授权的数据库访问、活动发生时,用户可以轻易地跟踪到数据泄漏的根源。SecureSphere为用户提供可定制的审计策略用于确定哪些数据需要进行审计,并可以轻松地将审计数据分类形成图形化的、易阅读的报表。
部署
凭借Imperva专有的透明检测技术,SecureSphere为用户提供了多种的部署方案,并保证在部署中无需网络或应用程序的更改。
基于内核的透明检测技术同时为用户提供数G的处理能力,微秒级的系统延时以及高有效部署方案,从而保证满足按需数据中心的所有需求。
SecureSphere也可以为用户提供透明的反向代理工作模式,为用户提供内容修改功能,并无需改动现有的网络部署。
运行
动态建模不仅仅适用于安全策略的设置,也是SecureSphere设备自动运行的基础。动态建模技术保证用户无需手动创建和更新合法应用策略列表。
此外,SecureSphere也通过直观的WEB图形管理界面为用户提供电信级的集中管理模式。安全仪表板、详细的报警以及图形报表更充分提升了SecureSphere的运行效率。
3.4 Imperva解决方案的领先技术
3.4.1 WEB应用监控与保护
Web应用层防护
SecureSphere 系统保护用户的WEB应用攻击,例如SQL注入、Cookie毒化、参数篡改、路
径遍历以及更多攻击(详见列表)。动态评估技术自动创建WEB应用的使用和结构的正向安
全模型,包括URL、http形式、参数、隐藏的域、Cookie、事务ID以及应答代码等。当用户
和网络应用进行交互时,SecureSphere 系统密切监视他们的活动,并与安全模型比较。任何
攻击的企图都将被监测到,并被阻止。
Web服务层防护
SecureSphere的互联网服务网关主要针对XML、SOAP和WSDL等应用进行保护。如同
SecureSphere系统的应用防火墙功能一样,服务网关采用Imperva公司的动态评估技术建立
合法应用行为的安全模型,包括XML URL、SOAP行为、XML元素和XML属性。所有篡改网
络服务应用模式或者变量的企图都会被识别出来,并加以阻止和防范。
Web入侵防护系统(IPS)
SecureSphere IPS对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务
器、应用服务器和操作系统软件的弱点(例如,IIS、Apache和Windows 2000)。
SecureSphere的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。
SecureSphere系统同时提供多网络协议的Snort兼容的特征库,符合http协议和来自“应用
防御中心”–Imperva自己内部的安全研究组织,的高级应用保护特征。SecureSphere 系统
提供定时更新服务,确保安全保护的时效性。
3.4.2 结构化数据监控与保护
SecureSphere 数据库防火墙(DBF) 解决方案旨在为关键数据库平台提供业内最好的自动化保
护。它通过实时活动阻止来控制对数据库的访问并抵御欺诈、滥用和外部攻击。通过提供对数
据库活动的全面了解,企业可以实现全面的数据库安全和合规性解决方案。
保护、审计与报告对所有敏感数据的访问
SecureSphere 可确保企业能够保护所有敏感数据并区分其优先级。基于网络的全网数据库服
务器的发现可确保感知度。基于数据库包含的数据类型对数据库进行分类可帮助企业映射所发
现的服务器并区分其优先级,并能了解哪些服务器属于法规监管的范围而需要更严格的控制。
SecureSphere 包含一套完整的平台评估测试、RDBMS 漏洞评估和最佳做法。这有助于企业
纠正和控制其数据库的配置并实现整体漏洞管理策略。这些评估测试与Imperva 应用防护中心(ADC) 研究小组的最新研究保持一致。用户可以从漏洞工作台应用虚拟补丁来阻止企图滥用。
行为评估提供用户和应用程序对数据库中存储的数据的访问与操作情况。通过捕获活动细节
(如用户、事件的日期和时间、源、目标以及所使用的工具/应用程序等)并构建全面的行为模型,SecureSphere 能够提供详细的分析和报警,并可选择阻止异常活动。
SecureSphere 包含一套完整的预定义安全与审计规则,可以快速实现以保护任何数据库环境。
这些规则基于“黑名单”和“白名单”安全模块,这些模块可持续更新:“黑名单”由
Imperva ADC 研究小组来更新,而“白名单”由 Imperva 正在申请专利的动态建模技术来更新,这项技术可持续自动检测并纳入有效的更改,使管理员不必再手动创建和更新包含了成百上千
个数据库对象、用户和 SQL 查询的冗长白名单。
作为一个独立的安全解决方案,SecureSphere 不需要启用自身审计工具,也不依赖 DBA 来执
行和维护。SecureSphere 利用网关设备来监视网络通信,利用简易SecureSphere 代理来捕获本地活动并消除盲点。
高效率的用户权限管理
SecureSphere 捕获提供每个事务处理的“谁、什么、何时、何处和如何”的详细审计线索。
审计线索存储在一个安全的外部硬件存储库中,可通过只读视图来访问。为了确保审计线索的
完整性,还可以对其进行签名或加密。
SecureSphere 持续地实时监视和分析所有数据库操作,因此可以快速响应并阻止非法活动。
SecureSphere 监视网络和对数据库的直接访问并捕获所有数据库活动,这些活动包括DML、DDL 和DCL 活动、查询活动(SELECT)、存储过程更改、触发器和数据库对象更改以及SQL 错误和数据库登录活动。SecureSphere还监视(还可选择审计)数据库响应以确保不会泄漏
敏感数据。
虚拟补丁保护未知的数据库风险
SecureSphere 监视实时数据库活动时会检查各种操作系统和协议级以及SQL 活动级的数据库攻击,以提供准确的实时保护。非法更改、欺骗性活动以及数据库攻击可以在到达受保护系统
之前从网络上阻止或在系统自身上阻止。虚拟补丁有助于透明地保护存在漏洞但无法修补或修
改的系统。
3.4.3 非结构化数据监控与保护
旨在审计文件活动和管理权限的传统方法不适用于大多数组织。第三方管理工具和其他广泛使用的解决方案(例如目录服务组和嵌入到操作系统中的文件审计功能)没有随着组织变化或非结构性数据的数量和增长而保持同步。
Imperva SecureSphere 文件安全产品针对储存在文件服务器和网络附加储存(NAS) 设备中的文件,提供实时文件监控、审计、安全和用户权限管理。SecureSphere 审计所有文件访问,以确定文件数据的所有者和使用人。它通过警告和随时拦截未经授权的访问,来保护敏感文件数据。它通过清晰的相关报告和分析,加快取证调查。
SecureSphere 可不断实时监控和审计所有的文件操作,而不影响文件服务器性能或可用性。SecureSphere 创建详尽的审计跟踪,包括用户名称、所访问文件、父文件夹、访问时间、访问操作以及更多内容。为实施职责分离,在外部、安全和加固储存库中保持审计跟踪,储存库的访问专门借助基于角色的访问机制,通过只读窗口进行。
SecureSphere 识别现有的用户访问权限,并加快完整的权限审核周期,以确保敏感文件数据仅可由那些需要了解业务的人员访问。它通过整合和报告所有文件服务器及NAS 设备中的用户访问权限来简化审计。SecureSphere 通过以下方式加快审计周期:
●识别有权访问敏感和高风险文件数据的用户
●突出显示拥有过度访问权限的用户
●发现休眠用户和未使用访问权限
●提供权限审核工作流能力
SecureSphere 文件防火墙通过拦截或警告违背公司政策的访问活动,提供文件保护。基于政策的拦截使管理员防止在 ACL 级别发生错误。灵活的策略框架促进考虑到文件元数据、组织背景、访问活动和数据分类等不同标准的政策制定进程,然后在发现不受欢迎的行为时,采取行动。
SecureSphere 通过分析文件和文件夹使用情况来识别数据所有者。确认所有者对于合规性、安全和 IT 运营至关重要,因为所有者了解其数据的业务相关性,并可就如何管理和保护数据提供重要意见。
只需单击几下,SecureSphere 的交互式屏幕审计分析功能将可直观显示文件数据活动和用户权限。安全、合规和审计人员可利用这些分析来确认与文件活动和用户权限相关的趋势、模式和风险。通过审计数据接近实时状态的多维视图、交互式审计分析简化取证调查,并准确指出安全事件。
SecureSphere 拥有丰富的图解报告功能,使企业能够评测风险并记录遵循SOX、PCI、HIPAA 等法规及其他数据隐私权法律的情况。报告可以定期按需查看或编制和分发。实时仪表盘可提供高级系统状态和安全事件视图。SecureSphere报告平台可立即直观显示安全性、合规性和用户权限管理事宜。
SecureSphere 帮助 IT 运营人员更高效地工作,例如 Windows、储存器、服务台和目录服务管理员。文件活动监控使 IT 运营能够:
●授予访问权限,包括实时准确查看数据所有者和许可
●识别最近没有访问的文件
●依据数据所有者、休眠帐户和未用数据的相关信息,加快数据迁移和目录服务域整合
●简化迁移和整合项目过程中的用户权限审核
3.4.4 动态建模和自动策略
SecureSphere的防护的一个创新是基于应用层交互内容的安全检测。在这个层次建立了非常
深入复杂的策略。即,对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测,对比正常的访问行为基线;如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主
要由设备的自学习功能完成,无需人工干预,而且还可以根据Web应用的变化进行自适应调整。
同时,管理人员还可以进行微调,以得到最优的“充分必要”的策略。
3.4.5 多层次的防护及关联
SecureSphere不仅提供了创新的安全技术手段,如自动建模,防蠕虫扩散、高层协议检测;
同时也整合了各种成熟的技术,如:网络防火墙、入侵检测和防护。特别需要指出的是
SecureSphere的入侵检测技术是专门针对Web服务的,除了基本的Snort特征库,还提供丰富的Web应用和数据库应用的攻击特征库。
SecureSphere整合多种安全手段的目的不仅提供了多层次的安全防护,而且通过各个防护层次间内在的关联,可以极大的提高攻击识别的准确性,降低误报率。这对于时时处于广泛攻击环境下的WEB服务系统是至关重要的。
3.4.6 前后台关联
当今,Web服务系统发展的趋势是,除了提供静态信息的提供外,还提供与多种应用和服务的交互接口。网页交互和动态页面技术越来越多的扮演了核心的角色。同时由于动态页面技术的灵活性,它也成为了Web攻击的热点,包括通过动态页面与后台数据库的连接关系,获取和篡改应用系统的核心信息,如账号密码、用户信息、交易信息等。SecureSphere为Web网站和基于Web的应用提供全面安全防护,包括前台Web服务器和后台数据库;而且可以进行实时的前后台关联。因此SecureSphere可以帮助发现攻击的真正发起源,可以防护通过后门对数据库发起的攻击,提高攻击发现的能力,以及精确的从大量访问流量中阻断攻击流量。
3.4.7 灵活的部署方式
SecureSphere为用户提供多种部署方式,包括特有的完全透明部署,从而保证无需改动用户现有的网络与应用架构。
SecureSphere为用户提供多G的吞吐能力,可同时处理数千个事务,并保证微秒级的系统延时。
?透明二层桥接–提供业界最强的性能
?三层路由–网络分段、路由与地址转换
?反向代理–内容修改、Cookie签名与URL重写
?透明代理–无需改变网络、应用架构的快速的内容处理
?旁路监控–零风险的监控与调查取证
3.4.8 统一的实时告警监控
SecureSphere通过单一的统一界面为管理员提供汇聚的、分级的实时报警管理。这些报警也
可通过email、SNMP或者syslog进行发送。这些报警包含完整的HTTP请求、服务器响应代码、违规描述以及与相关的安全策略和链接。