Tutorial - Como descobrir, classificar e monitorar dados sensíveis em ambiente de bancos de dados com o InfoSphere Guardium

Neste Tutorial, será demonstrado como o InfoSphere Guardium permite buscar e classificar um padrão de dado considerado sensível numa determinada base de dados; definir uma ação para automaticamente adicionar os objetos que atenderem ao padrão especificado em um grupo, e então monitorar o acesso a esse grupo que contém os objetos que armazenam os dados classificados como sensíveis, no caso, exemplificarei utilizando números de cartão de crédito.

Descrição

O InfoSphere Guardium é a solução IBM que permite gerenciar a segurança e o ciclo de vida da conformidade do ambiente de banco de dados através de um console Web unificado.
Todas as políticas, regras e logs de monitoramento são armazenados no coletor, um dispositivo appliance construído sobre um kernel Linux (máquina física ou virtual) que é conectado em numa rede que deve ter acesso à rede dos servidores de bancos de dados.
Os agentes (S-TAPs) baseados em host são responsáveis pelo monitoramento de todo o tráfego de bancos de dados, incluindo o acesso por usuários privilegiados, e os retransmitem aos dispositivos coletores para análise.
Esta abordagem geralmente é preferida pelas empresas por eliminar a necessidade de dispositivos de hardware dedicados em locais remotos e minimizar o impacto no desempenho ao retransmitir todo o tráfego que atender às políticas de monitoração ao coletor.

Neste Tutorial, será demonstrado como o InfoSphere Guardium permite buscar e classificar um padrão de dado considerado sensível numa determinada base de dados; definir uma ação para automaticamente adicionar os objetos que atenderem ao padrão especificado em um grupo (Etapa 1); e então monitorar o acesso a esse grupo que contém os objetos que armazenam os dados classificados como sensíveis, no caso, exemplificarei utilizando números de cartão de crédito (Etapa 2).

Recursos utilizados:
- Máquina virtual do coletor do InfoSphere Guardium versão 8.2;
- Máquina virtual com o sistema gerenciador de banco de dados Oracle instalado;
- Navegador Web para acesso ao coletor.


Etapa 1 – Busca e classificação de um padrão de dado sensível e definição de uma ação para automaticamente adicionar os objetos encontrados em um grupo

Passo 1: Acesso ao console Web

Acessar https://10.10.9.248:8443 (endereço IP atribuído ao coletor e a porta configurada)

Logar como user pot / password guardium

Figura 1 – Acesso ao console Web
Figura 1 – Acesso ao console Web

Clique aqui para ver a figura ampliada

Passo 2: Criar um novo grupo para armazenar objetos sensíveis

Clicar na aba My New Reports
Selecionar Build queries and reports > Group builder

Figura 2 – Acesso ao construtor de grupos
Figura 2 – Acesso ao construtor de grupos

Clique aqui para ver a figura ampliada

Em Create New Group preencher:
Application Type: Public
Group Description: Objetos sensíveis
Group Type Description: OBJECTS
Group Sub Type Description: Informações de cartão de crédito

Figura 3 - Criar um novo grupo para armazenar objetos sensíveis
Figura 3 - Criar um novo grupo para armazenar objetos sensíveis

Clique aqui para ver a figura ampliada

Add > Back

Pronto. O grupo para armazenar os objetos sensíveis já está criado.
O próximo passo descreve como definir uma política de classificação e automaticamente adicionar objetos ao grupo criado anteriormente.

Passo 3: Criar uma política de classificação e adicionar objetos ao grupo Objetos Sensíveis criado no passo anterior

Clicar na aba Discover > Classifier Policy Builder > New...
Preencher:
Name: Política de classificação PCI
Category: PCI
Classification: Cartão de crédito
Save > Edit Rules...

Figura 4 – Criação de uma política de classificação
Figura 4 – Criação de uma política de classificação

Clique aqui para ver a figura ampliada

> Add Rule...
Preencher:
Rule Name: Regra de classificação PCI
Category: PCI
Classification: Cartão de crédito
Rule Type: Search for Data
Column Name Like: %CARD%
Search Expression: [0-9]{16}
Save

Figura 5 – Criação de uma regra de classificação e definição de um padrão de dado para ser verificado
Figura 5 – Criação de uma regra de classificação e definição de um padrão de dado para ser verificado

Clique aqui para ver a figura ampliada

Até este ponto, criamos uma política de classificação chamada Política de classificação PCI e definimos uma regra chamada Regra de classificação PCI, que busca por dados que atendam aos seguintes critérios: possuam a palavra CARD no nome da coluna e o conteúdo com um padrão de dado de 16 dígitos com valor de 0 – 9 (padrão de número de cartão de crédito).

Selecione o ícone de Lápis para editar a regra
Clicar em New Action
Preencher:
Action Name: Adicionar para grupo
Action Type: Add To Group of Objects
Object Group: Objetos sensíveis
Actual Member Content: Fully Qualified Name (Schema.Object)

Save > Save

Figura 6 – Criação de uma ação para automaticamente adicionar os objetos encontrados ao grupo de objetos chamado Objetos sensíveis
Figura 6 – Criação de uma ação para automaticamente adicionar os objetos encontrados ao grupo de objetos chamado Objetos sensíveis

Clique aqui para ver a figura ampliada

Através da criação desta ação chamada Adicionar para grupo, todo objeto encontrado que atender à política de classificação será adicionado ao grupo Objetos sensíveis criado no Passo 2.

Passo 4: Configurar um processo de classificação

Dentro de Classification selecionar Classification Process Builder >New...
Preencher:
Process Description: Processo de classificação PCI
Classification Policy: Política de classificação PCI
Add Datasource > osprey_system_ORACLE(Classifier) > Add > Apply > OK
Selecionar Run Once Now > OK

Figura 7 – Execução do processo de classificação
Figura 7 – Execução do processo de classificação

Clique aqui para ver a figura ampliada

Até este ponto, criamos um novo processo de classificação que executa a política Política de classificação PCI, criada no Passo 3, no banco de dados Oracle (previamente configurado).
Ao clicar em Run Once Now iniciamos a execução do processo de classificação.

Dentro de Classification selecionar Guardium Job Queue e acompanhar o Status da execução.

Figura 8 – Acompanhar a execução do processo de classificação
Figura 8 – Acompanhar a execução do processo de classificação

Clique aqui para ver a figura ampliada

Aguardar o Status estar COMPLETED
Quando a execução do processo estiver concluída, seguir as instruções abaixo para visualizar o resultado.

Dentro de Classification selecionar Classification Process Builder > Processo de classificação PCI > View Results

Neste ponto, é possível verificar a relação dos objetos que atenderam à política especificada, ou seja, possuem alguma coluna com a palavra CARD e armazenam dados de 16 dígitos com conteúdo de 0-9.

Dentro de Process Run Log selecionar o ícone de Óculos referente à Process Complete

Figura 9 – Visualização do resultado do processo de classificação
Figura 9 – Visualização do resultado do processo de classificação

Clique aqui para ver a figura ampliada

Em Detail, é possível verificar o total de objetos analisados e a quantidade de objetos que foram adicionados ao grupo Objetos sensíveis

Figura 10 – Detalhes do resultado do processo de classificação
Figura 10 – Detalhes do resultado do processo de classificação

Clique aqui para ver a figura ampliada

Para verificar os 12 objetos que foram adicionados ao grupo de Objetos sensíveis, acessar a aba My New Reports > Build Queries and Reports > Group builder
Em Modify Existing Groups selecionar Objetos sensíveis > Modify

Verificar os objetos que foram adicionados ao grupo.

Figura 11 – Objetos adicionados ao grupo Objetos sensíveis
Figura 11 – Objetos adicionados ao grupo Objetos sensíveis

Clique aqui para ver a figura ampliada

Terminamos a primeira etapa deste Tutorial, que tem como objetivo demonstrar a funcionalidade de busca e classificação de objetos que contêm dados sensíveis e automaticamente adicioná-los em um grupo de objetos.
Agora vamos iniciar a segunda etapa, que aborda os passos necessários para criar uma política de monitoração que irá gerar um alerta toda vez que o usuário system acessar algum dos objetos que compõem o grupo Objetos Sensíveis, ou seja, objetos que possuem número de cartão de crédito.


Etapa 2 – Criação de uma política de monitoração que irá gerar um alerta toda vez que o usuário system acessar algum dos objetos que compõem o grupo Objetos sensíveis

Passo 5: Criação de uma política de alerta

Acessar https://10.10.9.248:8443
Logar como user pot / password guardium
Acessar a aba Protect > Security Policies > Create a new Policy with no Baseline

Figura 12 – Criação de uma nova política
Figura 12 – Criação de uma nova política

Clique aqui para ver a figura ampliada

Em Policy Definition preencher:
Policy description: Política de alerta > Apply > Edit Rules... > Add Access Rule...
Preencher:
Description: Alertar quando acessar objetos sensíveis
DB User: system
Object Group: Objetos sensíveis

Figura 13 – Configuração da regra de alerta
Figura 13 – Configuração da regra de alerta

Clique aqui para ver a figura ampliada

Add Action
Preencher:
Action: ALERT PER MATCH
Notification Type: SYSLOG

Figura 14 – Configuração da ação de alerta
Figura 14 – Configuração da ação de alerta

Clique aqui para ver a figura ampliada

Add > Apply > Save
Back > Back

A política chamada Política de alerta que acabamos de configurar basicamente diz que toda vez que o usuário do banco de dados system acessar algum dos objetos que pertencem ao grupo Objetos sensíveis, um alerta SYSLOG deve ser gerado. SYSLOG é um alerta gerado no console do Guardium.
O próximo passo é instalar a política criada.

Passo 6: Instalar a política de alerta

Acessar a aba Protect > Security Policies
Clicar em Install Policy
Em Policy Installer selecionar Política de alerta
Em Select an installation action selecionar Install & Override > OK
Em Currently Installed Policies verificar a política instalada

Figura 15 – Verificação da política instalada
Figura 15 – Verificação da política instalada

Clique aqui para ver a figura ampliada

Passo 7: Testar a política instalada

Para testar a política instalada e gerar o alerta, vamos utilizar a máquina virtual do servidor de banco de dados. Vamos acessar o banco de dados Oracle com o usuário system e executar o comando select na tabela joe.creditcard (um dos objetos que foram adicionados ao grupo Objetos sensíveis no Passo 4 – Figura 11).

Acessar a VM do servidor de banco de dados (user root / password guardium)
Abrir o Terminal e seguir os passos:
sqlplus system/guardium
describe joe.creditcard;
select firstname, lastname, cardnumber from joe.creditcard;
exit
exit

Figura 16 – Executando consultas no banco de dados Oracle com o usuário system
Figura 16 – Executando consultas no banco de dados Oracle com o usuário system

Clique aqui para ver a figura ampliada

Figura 17 – Acessando os dados da tabela joe.creditcard
Figura 17 – Acessando os dados da tabela joe.creditcard

Clique aqui para ver a figura ampliada

Após a execução da consulta no banco de dados, vamos acessar o console Web do Guardium para verificar os alertas gerados.

Acessar a aba Protect > Incident Management

Figura 18 – Verificação dos alertas gerados pela política Política de Alerta
Figura 18 – Verificação dos alertas gerados pela política Política de Alerta

Clique aqui para ver a figura ampliada

Verificar os 2 alertas (um para o comando describe e outro para o select) e as informações apresentadas como: horário do alerta, usuário do banco de dados, IP do servidor, IP do cliente, comando executado etc.


Conclusão

Através desse Tutorial foram demonstradas as funcionalidades do InfoSphere Guardium que permitem localizar um padrão de dado numa determinada base de dados e automaticamente adicionar os objetos que atenderam ao padrão especificado em grupo de objetos previamente criado.
Conseguimos compreender o valor da primeira funcionalidade ao criar uma política que monitora o acesso a esse grupo de objetos, no exemplo utilizado, um grupo que contém objetos que armazenam números de cartão de crédito.
É comum as empresas não conhecerem onde o dado sensível está armazenado e isso dificulta a criação/implementação de políticas que garantam a segurança dos dados sensíveis. Através dos recursos do InfoSphere Guardium, conseguimos automatizar o processo de descoberta e classificação de dados sensíveis e assim, criar políticas de monitoração realmente efetivas.

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Information Management
ArticleID=841044
ArticleTitle=Tutorial - Como descobrir, classificar e monitorar dados sensíveis em ambiente de bancos de dados com o InfoSphere Guardium
publish-date=10172012