InfoSphere Guardium e a nuvem Amazon, Parte 1: Explore as vulnerabilidades e as instâncias de banco de dados Amazon RDS

O número crescente de bancos de dados relacionais na nuvem acentua a necessidade de proteção de dados e auditoria. O IBM InfoSphere® Guardium® oferece segurança e monitoramento do banco de dados em tempo real, auditoria de banco de dados de baixa granularidade, geração automatizada de relatórios de conformidade, controle de acesso no nível dos dados, gerenciamento de vulnerabilidade do banco de dados e autodetecção de dados sensíveis na nuvem. Com o Amazon Relacional Database Service (RDS), você pode criar e usar suas próprias instâncias de banco de dados na nuvem e criar seus próprios aplicativos ao redor delas. Esta série de duas partes explora como usar o Guardium para proteger informações do banco de dados na nuvem. Este artigo descreve como usar a avaliação de vulnerabilidade e descoberta com as instâncias de banco de dados do Amazon RDS. A parte 2 aborda como o Guardium usa o Amazon S3 para executar backup e restauração.

Sean C. Foley, Sr. Systems Analyst and Software Engineer Manager, IBM

Sean FoleySean Foley é analista de sistemas senior e gerente de engenharia de software no grupo de pesquisa e desenvolvimento do Guardium, que desenvolve recursos de segurança para a plataforma Guardium. Ele passou a fazer parte do IBM Software Group em 2002 para trabalhar no desenvolvimento de VMs Java integradas e produtos de suporte. Sean foi líder técnico na equipe de desenvolvimento do produto IBM WebSphere Real Time. Antes de fazer parte da IBM, ele trabalhou na Zuccotto, em Ottawa, no Canadá, em sistemas operacionais com Java integrado e na Logica, na Irlanda, desenvolvendo interfaces de rede e de usuário para software de servidor de sistema de mensagens de texto para dispositivos móveis. Sean é bacharel em matemática pela Universidade de Queen e mestre em matemática pela Universidade de Toronto.



Azadeh Ahadian, Technical Enablement Specialist, IBM

Photo: Azadeh Ahadian Azadeh Ahadian é engenheira de software com mais de 10 anos de experiência no setor de desenvolvimento de ferramentas e aplicativos de software. Ela é especialista em ativação no grupo de ativação do Guardium, no IBM Silicon Valley Lab, em San Jose, CA, nos Estados Unidos. Azadeh é bacharel em engenharia de software e mestre em ciência da computação com ênfase em bioinformática.



25/Abr/2014

Introdução

O Amazon Web Services (AWS) consiste em uma coleção de serviços remotos de computação que abrangem a plataforma de computação em nuvem da Amazon. Dois destes serviços são:

  • O Amazon Simple Storage Service (S3), que consiste em um serviço da web para armazenamento de arquivos online e que oferece o armazenamento por meio de interfaces de serviço da web (REST, SOAP).
  • O Amazon Relational Database Service (RDS), um serviço da web de banco de dados relacional distribuído escalável. Com o Amazon RDS, você pode criar e usar suas próprias instâncias de banco de dados na nuvem e criar seus próprios aplicativos ao redor delas.

Neste artigo, veja as informações necessárias para aproveitar a plataforma IBM InfoSphere Guardium para avaliar a segurança de seus bancos de dados e reforçá-los na nuvem Amazon. Aprenda a:

Conhecer todos os produtos InfoSphere Guardium para ter segurança dos dados em tempo real.

  • Usar o Guardium para trabalhar com o Amazon RDS e descobrir instâncias de banco de dados na nuvem Amazon.
  • Acessar essas instâncias no Guardium usando origens de dados.
  • Iniciar avaliações de vulnerabilidade nessas instâncias de banco de dados na nuvem Amazon.

Computação em nuvem

A computação em nuvem consiste em uma computação distribuída por uma rede como a Internet. A nuvem é a coleção de redes e recursos de computação distribuída. Ela está se tornando cada vez mais conhecida e difundida. Conforme mais fluxos de trabalho e dados estão sendo transferidos para a nuvem, o mesmo está acontecendo com o InfoSphere Guardium. A computação em nuvem requer pelo menos a mesma proteção e segurança de dados disponível para outros recursos de computação e armazenamento de dados. Porém, dada a natureza disseminada da Internet, a proteção e a segurança dos dados são ainda mais importantes para a nuvem.

Diversos fornecedores oferecem plataformas de computação em nuvem. A Amazon conta com ofertas de nuvem populares e comercialmente disponíveis. A oferta de nuvem da Amazon, chamada Amazon Web Services (AWS), inclui uma ampla seleção de serviços de computação que vão de uma variedade de armazenamentos de dados ao poder computacional, bancos de dados, analítica, implementação de aplicativos e diversos aplicativos.


InfoSphere Guardium

InfoSphere Guardium é uma solução de proteção e auditoria de banco de dados de informações corporativas que ajuda as empresas a protegerem e a fazerem auditoria das informações de diversos conjuntos de origens de dados relacionais e não relacionais.

O Guardium pode proteger e monitorar diversas origens de dados, inclusive:

  • Armazéns de dados de grande escala, como Netezza, GreenplumDB e Teradata.
  • Distribuições de Hadoop, como Big Insights, Cloudera e HortonWorks.
  • Bancos de dados NoSQL, como CouchDB, MongoDB e Cassandra.
  • DB2, IMS e VSAM para IBM System z.
  • Outros tipos diferentes de armazenamentos de dados e protocolos, como o Microsoft Sharepoint, CIFS, HTTP e FTP.

E, é claro, todos os servidores de bancos de dados relacionais (RDBMS) conhecidos e tradicionais também são suportados:

  • Banco de dados do Oracle e MySQL
  • Microsoft SQL Server
  • PostgreSQL de software livre
  • Sybase
  • Produtos de banco de dados da IBM DB2 e Informix

Origens de dados no InfoSphere Guardium

No Guardium, uma origem de dados representa qualquer origem de dados potencial, um banco de dados específico, um arquivo ou qualquer outra origem de dados. Para muitos aplicativos Guardium, a origem de dados é uma instância de banco de dados. O InfoSphere Guardium oferece suporte ao ciclo de vida da proteção de segurança de dados, desde a descoberta de dados sensíveis ao monitoramento e auditoria, à avaliação de segurança e ao fortalecimento dos bancos de dados. Cada tipo de origem de dados oferece suporte a um subconjunto de recursos do InfoSphere Guardium. Quando uma origem de dados é criada, primeiro ela é associada a um aplicativo do Guardium que indica para que essa origem será usada.

Detalhes da origem de dados

Há diversos aplicativos definidos no InfoSphere Guardium que usam origens de dados: auditoria, avaliações de segurança, auditoria de mudanças, classificação, domínios personalizados, análise de banco de dados, monitoramento de valor, reprodução e outros. Depois que uma origem de dados é definida para o Guardium, ele sabe como acessar o banco de dados através do aplicativo específico para o qual a origem foi definida.

Você pode definir diferentes parâmetros para acessar origens de dados, inclusive:

  • Nome do usuário
  • Uma senha
  • Host
  • Porta
  • Nome do serviço
  • Nome do banco de dados
  • Propriedades de conexão
  • Diretório do sistema de arquivos
  • Vários detalhes específicos do banco de dados

Em alguns casos, o tipo de banco de dados não é um nome de fato. O tipo de banco de dados pode indicar um protocolo, como HTTP ou FTP, ou até mesmo um único arquivo, todos os quais podem ser conectados ao Guardium e podem executar seus aplicativos de segurança. Diferentes aplicativos do Guardium exigem diferentes tipos de acessos ao banco de dados. Normalmente, você forneceria ao Guardium os privilégios mínimos exigidos pelos aplicativos que usam a origem de dados, os quais podem incluir informações de login para alguns aplicativos do Guardium. A avaliação de vulnerabilidade do Guardium, por exemplo, exige um alto nível de acesso administrativo ao banco de dados, então, você forneceria um nome de usuário e uma senha ao banco de dados que possui o nível de acesso exigido.

Origens de dados na nuvem

Além do local, há pouca diferença entre uma origem de dados que reside em determinada empresa e uma origem de dados que reside na nuvem. Qualquer recurso de segurança do Guardium pode funcionar igualmente bem em origens de dados localizadas no Amazon AWS (sendo iguais também todas as outras coisas). E, como a nuvem pode ser alcançada e usada por todos, o Guardium pode fornecer software e serviços especialmente adequados ao Amazon AWS para qualquer cliente que use origens de dados no Amazon AWS.

O Amazon AWS fornece o Amazon RDS, que permite aos usuários criarem e usarem diversas instâncias de bancos de dados com facilidade e rapidez. Atualmente, os tipos de bancos de dados suportados são o Oracle, o MySQL, o Microsoft SQL Server e o PostgreSQL. O Guardium possibilita que você detecte as instâncias no Amazon RDS e defina com facilidade e rapidez as origens de dados de cada origem de dados descoberta. Com o Guardium, é possível configurar com rapidez e facilidade o Amazon RDS para que as origens de dados fiquem acessíveis para aplicativos do Guardium. O Guardium facilita uma rápida inicialização das avaliações de vulnerabilidade nessas origens de dados. Essa coleção de recursos no Guardium que facilita a segurança do Amazon RDS é chamada de RDS Discovery.


Introdução ao RDS Discovery

Você pode acessar o RDS Discovery na GUI do Guardium. A GUI do Guardium pode ser acessada por um navegador da Internet. Aponte o navegador para a porta 8443 no nome do host ou no endereço IP do dispositivo Guardium usando o protocolo HTTPS (https://hostname:8443). Efetue logon na GUI do Guardium usando suas credenciais de acesso fornecidas pelo gerente de acesso ao Guardium. Se você efetuou logon com o ID do usuário administrador, pode navegar até a página do Amazon RDS Discovery clicando na guia Tools, conforme mostra a Figura 1.

Figura 1. Amazon RDS Discovery

Inicialmente, a página exibirá duas caixas de texto nas quais você deve inserir uma Chave de acesso e uma Chave de acesso secreta, bem como uma grade de regiões da Amazon.

O Amazon SDK usado pelo Guardium exige que o usuário forneça uma chave secreta para permitir o acesso ao Guardium. Para obter sua chave secreta, acesse sua página da web Credenciais de segurança do AWS (no menu superior direito depois de efetuar logon no aws.amazon.com). Na página Credenciais de segurança, você pode acessar chaves, recuperar o ID de uma chave criada anteriormente ou criar novas chaves. As chaves secretas servem para que aplicativos como o Guardium acessem sua conta do Amazon AWS após sua solicitação.

O Guardium não salva suas informações em seu próprio armazenamento de dados, não envia sua chave para outros locais, nem a usa para outros fins. A chave é salva temporariamente, para sua conveniência, no sistema do Guardium durante a sessão de login. Se você sair e retornar à página do RDS Discovery, os campos de chave serão preenchidos automaticamente. No entanto, essas informações são descartadas quando você efetua logoff.

Toda a comunicação do servidor do Guardium para o Amazon AWS ocorre através de uma conexão HTTPS criptografada.


Regiões da Amazon

Os recursos de computação em nuvem da Amazon são hospedados em instalações de datacenter em diferentes regiões do mundo. Cada local de datacenter, chamado de região, representa uma área geográfica separada. Cada região contém vários locais diferentes chamados de zonas de disponibilidade (AZ). Os usuários do AWS podem inserir recursos, como instâncias e dados, em diversas regiões. Os recursos não são replicados nas regiões, a menos que você o faça explicitamente. Cada região é completamente independente, e os serviços fornecidos podem ser diferentes uns dos outros, embora o Amazon RDS esteja disponível em todas as regiões. Qualquer atividade do Amazon RDS que você inicia é executada apenas em uma região.

A lista de regiões, mostrada na Tabela 1, foi gerada dinamicamente por uma consulta da Amazon. Se, por exemplo, a tabela de regiões não aparecer, pode ser que seu dispositivo Guardium não tenha acesso à Internet. Para acessar o Amazon AWS, forneça ao dispositivo acesso à nuvem da Amazon pela Internet (caso contrário, o Guardium não poderá acessar suas instâncias do RDS).

Tablela 1. Regiões da Amazon
RegiãoNome,Data de lançamento
Leste dos EUA (Virgínia do Norte)us-east-12006
Oeste dos EUA (Califórnia do Norte)us-west-12009
Oeste dos EUA (Oregon)us-west-22011
AWS GovCloud (EUA) us-gov-west-12011
União Europeia (Irlanda)eu-west-12007
América do Sul (São Paulo, Brasil)sa-east-12011
Ásia-Pacífico (Cingapura)ap-southeast-12010
Ásia-Pacífico (Tóquio)ap-northeast-12011
Ásia-Pacífico (Sydney)ap-southeast-22012
China (Pequim)Em breve

O RDS Discovery do Guardium permite que você descubra instâncias do RDS simultaneamente em qualquer número de regiões da Amazon. Selecione quais regiões você deseja consultar quanto às instâncias do RDS.


Resultados da descoberta

Depois que você insere seu ID de chave secreta e sua chave secreta e seleciona uma ou mais regiões para serem consultadas, basta clicar em Descobrir para recuperar as informações sobre suas instâncias de banco de dados do RDS nessas regiões.

Uma grade de instâncias descobertas aparecerá abaixo da lista de regiões, como mostra a Figura 2.

Figura 2. Instâncias descobertas

Para criar a grade, o servidor da GUI do Guardium entrará em contato ao mesmo tempo com todas as regiões selecionadas para consultar a Amazon quanto às instâncias criadas, conforme mostra a Figura 3.

Figura 3. Contatos com regiões do AWS

A coluna com o rótulo Acessível na Figura 2 exibirá uma marca de seleção verde ou um X vermelho indicando se o Guardium poderá se conectar à instância em questão. Uma instância do RDS será considerada acessível se for pública e tiver o status “available”. Os possíveis valores de status são:

  • available
  • creating
  • backing-up
  • deleted
  • deleting
  • failed
  • modifying
  • rebooting
  • resetting-master-credentials

Para cada instância de banco de dados, seu status atual e se ela é pública aparecem na coluna Detalhes das instâncias descobertas, como mostra a Figura 4. Você não poderá criar um grupo de segurança ou uma origem de dados do Guardium para uma instância inacessível porque essas seleções serão descartadas.

Outros detalhes para cada instância serão exibidos, como o nome do banco de dados, o host, a porta, a região na qual foi encontrado e se ele tem uma nuvem particular virtual (VPC) na Amazon.

Você pode usar a grade da Figura 4 para criar grupos de segurança da Amazon e origens de dados do Guardium, e iniciar avaliações de vulnerabilidade em instâncias selecionadas do RDS na grade. É possível fazer tudo isso sem sair da página do RDS Discovery.

Figura 4. Seleções de grade de descoberta

As últimas quatro colunas, mostradas na Figura 5, indicam detalhes sobre os grupos de segurança do Guardium e as origens de dados do Guardium que foram criadas anteriormente para tais instâncias de bancos de dados. Na primeira vez que você exibir uma instância de banco de dados na grade, haverá alguns X vermelhos nas colunas Grupo de segurança e Origem de dados. Use o botão de comando Atualizar, que aparecerá no canto superior direito da página, para exibir os dados mais recentes se alguma das instâncias, grupos de segurança ou origens de dados tiver sido alterada em algum local. Todos esses itens podem ser alterados simultaneamente de outras formas e por outros usuários através do acesso ao Console da web da Amazon, usando a GUI do Guardium em um navegador separado ou usando a CLI da Guardium.

O botão Update também é útil se você quer atualizar a exibição da grade para que ela se ajuste à janela do navegador, caso você tenha redimensionado a janela.

A caixa de filtragem exibida acima das instâncias na Figura 1 busca oferecer uma facilidade de uso. Insira o texto na caixa para filtrar a tabela e exibir apenas as linhas que correspondem ao texto filtrado.


Erros

Sempre que uma operação for realizada, seja a operação de descoberta ou uma operação em uma ou mais instâncias do banco de dados, é possível que ocorram erros. Se houver algum erro, o botão Errors... será exibido no canto inferior direito da página, como mostra a Figura 5. O botão Errors... ficará visível ou invisível com cada operação realizada e mostrará apenas os erros produzidos pela operação anterior.

Figura 5. Botão Errors

Alguns erros podem ser originados no Amazon AWS ou podem ser produzidos pelo próprio código da Amazon. Tais erros não serão traduzidos. Eles aparecem exatamente como foram recebidos da Amazon. A janela também mostrará a você a região que produziu o erro.

Por exemplo, um erro comum ocorre quando o usuário insere um valor errado para a chave secreta ou para o ID da chave secreta. Quando isso acontece, cada região se recusa a aceitar a solicitação do Guardium conforme o servidor entra em contato com cada região. A Figura 6 mostra um exemplo de uma mensagem de erro para credenciais inválidas.

Figura 6. Erro de credenciais inválidas

A Tabela 2 resume alguns erros comuns e traz dicas de solução para esses problemas.

Tablela 2. Solução de problemas comuns
ProblemaDetalhesResolução
Government region is inaccessibleA região do governo do AWS não pode ser acessada. A maioria dos clientes não poderá usar a região do governo. Selecione apenas as regiões nas quais você tem instâncias do RDS. A mensagem de erro que aparece será a mesma mensagem de erro recebida quando você insere uma chave ou um ID de chave incorreto.Não selecione a região chamada “us-gov-west-1” na grade de regiões.
Invalid credentialsA chave secreta ou o ID de chave inserido está incorreto.Insira novamente seu ID de chave secreta e sua chave secreta. Para evitar erros de digitação, use as funções de copiar e colar no navegador ou use os atalhos Control-C e Control-V para copiar e colar o texto selecionado.
Invalid time or date, Signature not yet current O AWS recusará o acesso se a entrada de data e hora no dispositivo Guardium que estiver se conectando ao AWS estiver incorreta em mais de 15 minutos. (Levando em consideração os fusos horários e o horário de verão.) O dispositivo deve ter a hora local correta.Defina o fuso horário e a data e hora para as configurações locais.

Grupos de segurança da Amazon

Os grupos de segurança permitem o acesso às instâncias de banco de dados do Amazon RDS pela Internet. Eles são como firewalls comuns, conforme mostra a Figura 7. O acesso é concedido por uma lista de intervalos de endereço IP de roteamento interdomínios sem classes (CIDR). Como todos os outros serviços do Amazon AWS, os grupos de segurança são organizados por região. Pode haver vários grupos de segurança em cada região e diversos intervalos de endereço IP CIDR em cada um desses grupos.

Figura 7. Acesso de controle dos grupos de segurança

Cada intervalo de IP CIDR descreve um endereço e uma máscara: ip1.ip2.ip3.ip4/mask. A máscara funciona nos bits à extrema esquerda. Cada banco de dados pode ser associado a vários grupos de segurança. Se algum dos intervalos de IP CIDR em qualquer um desses grupos conceder acesso a determinado endereço IP, o banco de dados poderá ser acessado por esse IP. A Tabela 3 mostra exemplos de intervalos de IP CIDR.

Tablela 3. Exemplos de intervalos de IP CIDR
IP CIDRCorrespondências
0.0.0.0/0A máscara de 0 corresponde a 0 bits em um endereço, permitindo assim acesso de qualquer lugar
192.168.12.0/23A máscara de 23 bits é 255.255.254.0, então ela representa o intervalo 192.168.12.0 a 192.168.13.255
1.2.3.4/32A máscara de 32 bits corresponde a todos os bits no endereço, então o IP CIDR corresponde exatamente a um endereço 1.2.3.4

Um grupo de segurança da Amazon não tem relação com um grupo do Guardium ou com um criador de grupos do Guardium. Os grupos de segurança da Amazon são construções exclusivas da Amazon e o Guardium não mantém registro de nenhum deles. O Guardium oferece funções simples para criar um grupo de segurança especificamente para acesso do Guardium e para adicionar outros intervalos de IP CIDR a esse grupo. No entanto, depende de cada cliente a forma como seus grupos de segurança serão configurados. A funcionalidade do Guardium é adicionada para uma maior conveniência, mas não é necessariamente obrigatória.

Um usuário pode ter um único grupo já criado para a organização inteira. Ou ainda, ele pode não ter grupos próprios e precisar criar um para permitir o acesso de um dispositivo Guardium. Os usuários podem criar um grupo para o Guardium seja pelo botão fornecido ou ao acessar o console da web do Amazon AWS.

Não importa como os grupos de segurança são criados e configurados, para que o Guardium se conecte a uma instância do RDS, o dispositivo Guardium deve receber acesso por pelo menos um intervalo de IP CIDR listado em pelo menos um grupo de segurança conectado à instância do RDS.

Grupos de segurança

Há dois tipos de grupos de segurança que se aplicam a instâncias do RDS: VPC ou RDS. Algumas contas do RDS em algumas regiões criam todas as instâncias do RDS em um VPC padrão.

As instâncias do banco de dados do RDS dentro de um VPC usam grupos de segurança do VPC. As instâncias do banco de dados do RDS que não estão dentro de um VPC usam grupos de segurança do RDS. Quando uma instância do RDS está dentro de um VPC, há um único local no AWS para definir e gerenciar as regras de acesso à rede para todos os recursos de computação do AWS no VPC, inclusive instâncias do banco de dados. Use o comando do console EC2 para gerenciar grupos de segurança do VPC. Use o comando do console do RDS para gerenciar grupos de segurança do RDS.

Seu console do RDS pode informar se você tem um VPC padrão, o que significa que você estará usando os grupos de segurança do VPC, em vez de grupos de segurança do RDS.

O botão Security Group é habilitado quando instâncias são selecionadas, como mostra a Figura 8. Selecione o botão para executar as seguintes três ações:

  1. Criar um grupo de segurança do Guardium (se não houver um).
  2. Adicionar o endereço IP do dispositivo Guardium conforme visto pela Amazon (se ainda não houver um).
  3. Adicionar instâncias do banco de dados selecionado para o grupo (se ainda não estiverem associadas).

A Figura 8 mostra um exemplo.

Figura 8. Grupos de segurança criados

Depois que os grupos tiverem sido criados, você verá os nomes deles na coluna Grupo de segurança do Guardium da grade de instâncias. As instâncias na mesma região compartilharão o mesmo grupo de segurança. A lista de endereços IP CIDR acompanha o nome do grupo de segurança. Como acontece com as instâncias, pode levar algum tempo para que a Amazon crie o grupo. Você pode ver o status “adding” entre colchetes indicando que os grupos não estão prontos para o uso. Por fim, o status ficará como “active”.

Um X vermelho aparecerá na coluna Grupo de segurança do Guardium se esse grupo não tiver sido criado, se o endereço IP associado à instância não estiver no grupo ou se o grupo tiver sido adicionado à lista de instâncias do grupo de segurança. Isso não significa necessariamente que a instância ficará inacessível. Pode haver um grupo de segurança diferente conectado à instância que concede acesso ao intervalo de endereços IP que inclui o dispositivo Guardium. Pode haver um grupo de segurança que concede acesso ao endereço IP do dispositivo Guardium, mas esse grupo foi criado por algum outro meio e possui um nome diferente.

A configuração do grupo de segurança pode ser exclusiva para cada organização. Alguns podem ter um grupo de segurança para toda a organização. Outros podem precisar usar a GUI para criar um grupo de segurança do Guardium que forneça acesso. É o cliente quem decide como vai fornecer acesso à instância do RDS.

Ao adicionar o endereço IP do dispositivo Guardium, conforme visto pela Amazon, a um grupo de segurança para a instância, o acesso deverá ser concedido à instância do RDS. Às vezes a configuração de rede do dispositivo Guardium pode interferir. Nesses casos, o usuário pode adicionar manualmente um intervalo de endereço IP CIDR ao grupo de segurança do Guardium selecionando Add IP Range .

Se houver algum problema de conexão, teste o acesso usando o intervalo de IP CIDR 0.0.0.0/0, que concederá acesso a todos e permitirá que você determine se o problema de conexão está ocorrendo com o grupo de segurança ou com outro componente. No entanto, não use o intervalo de IP CIDR para bancos de dados ativos com informações confidenciais. Para aumentar a segurança, minimize o acesso permitido.

Se quiser remover o grupo de segurança do Guardium para determinada instância do banco de dados ou se quiser remover os intervalos de IP CIDR do grupo de segurança do Guardium, será necessário usar o console do AWS.


Criando uma origem de dados

Para que o Guardium possa trabalhar com uma instância do RDS, crie uma origem de dados para ele. No RDS Discovery, para cada instância à qual você quiser associar uma origem de dados, insira um usuário e senha a serem usados para conectar a instância. Para o usuário, você pode escolher o usuário principal criado quando a instância do RDS foi criada inicialmente ou pode selecionar qualquer outro usuário que tenha sido criado para essa instância de banco de dados. Depois disso, você poderá criar suas origens de dados selecionando essas linhas na grade e clicando em Create/Update Datasources.

Depois que a operação estiver concluída, você verá os nomes das origens de dados na coluna de origem de dados. A origem de dados será armazenada no armazenamento de dados do Guardium e será mostrada na grade em algum momento no futuro, quando você descobrir a mesma instância do RDS. Caso você queira alterar o usuário ou a senha de uma instância, repita a operação.

Se você tiver alguma configuração especializada para a origem de dados ou se quiser testar a conexão do Guardium com a origem de dados, selecione uma única linha com uma origem de dados criada e clique em Datasource Definition.... Depois de selecionada, você verá um formulário padrão de definição de origem de dados que pode ser acessado pelo construtor de definições de origens de dados do Guardium. Todos os detalhes da origem de dados serão exibidos, conforme mostra a Figura 9.

Figura 9. Definição da origem de dados

Ao usar o formulário de definição de origem de dados, você pode fazer qualquer modificação à origem de dados, por exemplo, nas propriedades da conexão ou na descrição. No entanto, a maioria das propriedades não deve ser alterada porque estão de acordo com as configurações da Amazon. O nome da origem de dados é derivado do nome do host, da porta e da região da instância, que são exclusivos para cada uma de suas instâncias do RDS.

Um recurso útil dessa página é o botão Test Connection, que lhe permite verificar a conexão antes de tentar usar a origem de dados. A Figura 10 mostra uma conexão bem-sucedida. Se você não conseguir se conectar, pode haver diversos motivos.

Figura 10. Conexão bem-sucedida

Se o tempo de conexão expirar, pode ser que seus grupos de segurança não estejam configurados para permitir o acesso do endereço IP de seu dispositivo Guardium. Para verificar seus grupos de segurança:

  • Verifique todos os grupos de segurança usando o console do AWS.
  • Verifique o endereço IP do dispositivo Guardium com o administrador do sistema.
  • Tente se conectar a uma instância de banco de dados de teste com um grupo de segurança que tenha o intervalo de IP CIDR 0.0.0.0/0, que concede acesso a todos.
  • Tente se conectar à instância do banco de dados usando outras ferramentas. Por exemplo, use o cliente MySQL para se conectar a um banco de dados do MySQL ou use a ferramenta SQL*Plus para se conectar a um banco de dados Oracle. Use uma ferramenta genérica de banco de dados, como Razor SQL, para se conectar a qualquer quantidade de bancos de dados de diferentes tipos.

Se seus grupos de segurança estiverem configurados corretamente, pode haver mais três motivos para a falha na conexão. São eles:

  • O uso de uma senha ou de um ID do usuário incorreto. Normalmente, uma caixa de diálogo é exibida indicando esse erro.
  • A instância não está disponível no momento. Verifique o status da instância na grade de instâncias do Guardium ou no console do AWS. A instância não poderá ser acessada se estiver ocorrendo um backup dela, se estiver sendo excluída, modificada, reinicializada, se as credenciais principais estiverem sendo alteradas ou se a instância tiver falhado por algum motivo.

Se o teste de conexão for positivo, você saberá que é possível se conectar perfeitamente à instância do banco de dados do RDS ao executar uma avaliação de vulnerabilidade.

Outras exibições da origem de dados

Origens de dados criadas pelo Amazon RDS Discovery são criadas para o aplicativo de avaliação de segurança. Elas podem ser compartilhadas com outros aplicativos do Guardium, o que pode ser feito navegando até o construtor de origem de dados e marcando a caixa que indica que você deseja compartilhar a origem de dados.

Você tem outras formas tradicionais de visualizar as origens de dados criadas. É possível exibi-las pelo construtor da origem de dados, localizado na guia Tools, conforme mostra a Figura 11.

Figura 11. Construtor de origem de dados

Você também pode ver as origens de dados no relatório de origens de dados na guia Daily Monitor, conforme mostra a Figura 12.

Figura 12. Relatório de origens de dados

Avaliação de vulnerabilidade

A solução Guardium Vulnerability and Threat Management é a primeira etapa do gerenciamento de segurança e conformidade de qualquer ambiente de banco de dados. Os testes, juntamente com o fluxo de trabalho de processo, o ajudam a identificar e tratar as vulnerabilidades do banco de dados de forma automatizada, melhorando as configurações e fortalecendo as infraestruturas.

Com o aplicativo de avaliação de vulnerabilidade do Guardium, as organizações podem identificar e tratar as vulnerabilidades dos bancos de dados de forma consistente e automatizada. O processo de avaliação do Guardium avalia a integridade de seu ambiente de banco de dados e recomenda melhorias ao:

  • Avaliar a configuração do sistema em relação às melhores práticas e localizar as vulnerabilidades ou possíveis ameaças aos recursos do banco de dados, inclusive riscos de comportamento e de configuração.
  • Localizar quaisquer vulnerabilidades inerentes no ambiente.
  • Recomendar e priorizar um plano de ação com base nas áreas descobertas com as vulnerabilidades e os riscos mais críticos. Os relatórios e as recomendações fornecem diretrizes sobre como atender às mudanças de conformidade e elevar a segurança do ambiente de banco de dados avaliado.

Avaliação de vulnerabilidade de instâncias do RDS

Depois que você tiver uma origem de dados para uma instância e tiver certeza de que o dispositivo Guardium tem acesso à instância com um grupo de segurança, será possível iniciar uma avaliação de vulnerabilidade nessa instância. A Figura 13 descreve o processo.

Figura 13. Avaliação de vulnerabilidade de instâncias do RDS

Depois que você selecionar uma ou mais instâncias acessíveis com origens de dados associadas, o botão Launch Vulnerability Assessment será habilitado. A avaliação executará diversos testes de segurança em diversas instâncias do banco de dados, além de criar um relatório dos resultados. Clique em Launch Vulnerability Assessment para iniciar a avaliação das instâncias de banco de dados selecionadas, conforme mostra a Figura 14.

Figura 14. Caixa de diálogo Vulnerability Assessment

É possível inserir a descrição de uma avaliação de vulnerabilidade existente ou uma nova descrição. Você também pode inserir os destinatários do relatório da avaliação. No entanto, todos os campos da caixa de diálogo são opcionais. Clique em OK para iniciar a avaliação. Outra caixa de diálogo indicará se a avaliação foi iniciada com sucesso. Uma avaliação é iniciada em um processo de auditoria, que consiste em um processo executado em plano de fundo do dispositivo Guardium. O processo de auditoria executa suas tarefas associadas sucessivamente, registra os resultados e fornece os resultados para um ou mais usuários.

Se uma avaliação de vulnerabilidade com a descrição em questão ainda não existir, ela será criada. Se uma nova avaliação de segurança for criada, ela será criada com as origens de dados da instância do RDS selecionadas e todos os testes disponíveis relevantes para esses tipos de bancos de dados, sejam Oracle, MySQL, SQL Server ou PostgreSQL.

Se a avaliação de segurança já existir, as origens de dados de instância do RDS selecionadas serão adicionadas à avaliação (caso ainda não estejam lá). Se a avaliação existente não tiver nenhum teste, todos os testes disponíveis relevantes para os tipos de bancos de dados serão adicionados. Caso contrário, os testes permanecerão inalterados.

Um processo de auditoria será criado para a avaliação de vulnerabilidade, a menos que ele já exista. Ele terá a mesma descrição da avaliação e conterá apenas uma tarefa: a avaliação de segurança. O processo será enviado para execução imediata, embora ele possa levar um tempo para ser concluído.

Depois que a avaliação estiver concluída, o resultado será distribuído a todos os destinatários.

Exibições do processo de auditoria

Depois que o processo de auditoria é iniciado, na GUI é possível visualizar o status no Guardium Job Queue e no Audit Process Log. Ambos esses relatórios estão disponíveis na guia Guardium Monitor da GUI.

Você também pode acessar os resultados manualmente pelo construtor de processo de auditoria, conforme mostra a Figura 15.

Figura 15. Construtor do processo de auditoria

Os resultados do processo de auditoria incluem resultados dos testes individuais em relação às instâncias do banco de dados. Um gráfico tabular resume todos os testes executados na avaliação. Uma seção abrangente dos resultados oferece:

  • Uma descrição detalhada dos testes executados.
  • Informações sobre a instância do RDS de destino.
  • O status de aprovação ou reprovação de cada teste, informações de gravidade e os motivos do status.
  • Informações sobre os testes em si e as referências externas relacionadas às origens dos testes.

Mais informações sobre avaliações de vulnerabilidade

Este artigo contém apenas um resumo das avaliações de vulnerabilidade. Há inúmeras informações de segurança nas avaliações de vulnerabilidade, mas os detalhes estão além do escopo deste artigo. Recursos traz mais informações sobre as avaliações de vulnerabilidade do InfoSphere Guardium.


Resumo

As organizações estão se mudando para a nuvem para reduzir os custos com o armazenamento de dados e com a manutenção de uma infraestrutura própria de tecnologia da informação. A mudança para a nuvem introduz novos desafios para a segurança de dados. O Guardium já é perfeitamente adequado a ambientes de nuvem pública e privada. O recurso do Guardium de descobrir, avaliar e fortalecer instâncias do Amazon RDS com facilidade pode ajudá-lo a proteger os dados na nuvem pública. Os benefícios relacionados à nuvem também estão sincronizados à missão do Guardium de fornecer uma solução corporativa consistente para segurança, proteção de dados e auditoria.

Fique atento à Parte 2 desta série, que discute como o Guardium usa o Amazon S3 para operações de backup e restauração.

Recursos

Aprender

Obter produtos e tecnologias

  • Avaliação de vulnerabilidade do InfoSphere Guardium.
  • Avalie produtos da IBM da maneira mais adequada para você: faça o download de uma avaliação de produto, experimente um produto online, use um produto em um ambiente de nuvem ou passe algumas horas no SOA Sandbox aprendendo a implementar a Arquitetura Orientada a Serviços de forma eficiente.

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Information Management, Cloud computing
ArticleID=969722
ArticleTitle=InfoSphere Guardium e a nuvem Amazon, Parte 1: Explore as vulnerabilidades e as instâncias de banco de dados Amazon RDS
publish-date=04252014