InfoSphere Guardium y la nube Amazon, Parte 1: Explorar las instancias de las bases de datos y las vulnerabilidades de Amazon RDS

El creciente número de bases de datos relacionales en la nube acentúa la necesidad de protección de datos y auditoría. IBM InfoSphere® Guardium® ofrece seguridad de bases de datos en tiempo real y monitoreo, auditoría fina de bases de datos, reportes de cumplimiento automatizados, control de accesos a nivel de datos, administración de vulnerabilidad de bases de datos y auto descubrimiento de datos sensibles en la nube. Con el Servicio de Base de Datos Relacional de Amazon (RDS) usted puede crear y usar sus propias instancias de bases de datos en la nube y construir sus propias aplicaciones a su alrededor. Esta serie de dos partes explora la forma de usar Guardium para proteger información de bases de datos en la nube. Este artículo describe la forma de usar el descubrimiento y la valoración de vulnerabilidad de Guardium con instancias de bases de datos Amazon RDS. La Parte 2 cubrirá la forma en la que Guardium usa Amazon S3 para el respaldo y restauración.

Ahadian Azadeh, Technical Enablement Specialist, IBM

Azadeh AhadianAzadeh Ahadian es una ingeniero de software con más de 10 años de experiencia en la industria en aplicación de software y desarrollo de herramientas. Es una especialista de habilitación en el grupo de habilitación Guardium en el Laboratorio de Silicon Valley IBM en San Jose, CA. Azadeh tiene una licenciatura en Ingeniería de Software y una maestría en Ciencias de Cómputación con concentración especial en BioInfomatics.



Sean Foley, Sr. Systems Analyst and Software Engineer Manager, IBM

Sean FoleySean Foley es un analista de sistemas sénior y gerente de ingenieros de software en el grupo de investigación y desarrollo Guardium que desarrolla funciones de seguridad para la plataforma Guardium. Se unió al Grupo de Software de IBM en 2002 para desarrollar VMs para Java y productos de soporte. Sean era líder técnico en el equipo de desarrollo del producto WebShpere Real Time de IBM. Antes de IBM, trabajó en Zuccotto en Ottawa en sistemas operativos para Java y en Logica en Irlanda desarrollando interfaces de usuario y de red para software de servidor de mensajes de texto móviles. Sean tiene una licenciatura en matemáticas de la Universidad de Queen y una maestría en matemáticas de la Universidad de Toronto.



27-02-2014

Introducción

Amazon Web Services (AWS) es una colección de servicios de cómputo remotos que conforman la plataforma de cómputo en la nube de Amazon. Dos de estos servicios son:

  • Amazon Simple Storage Service (S3), que es un servicio Web de almacenamiento en línea que proporciona almacenamiento a través de interfaces de servicios Web (REST, SOAP).
  • Amazon Relational Database Service (RDS), que es un servicio Web escalable distribuido de base de datos relacional. Con Amazon RDS usted puede crear y usar sus propias instancias de bases de datos en la nube y construir sus propias aplicaciones a su alrededor.

En este artículo, obtenga la información que necesita para apalancar la plataforma InfoSphere Guardium de IBM para evaluar su seguridad de la base de datos y endurecer sus bases de datos en la nube Amazon. Aprenda cómo:

Aprenda todo acerca de los productos InfoSphere Guardium para la seguridad de los datos en tiempo real.

  • Use Guardium para trabajar con Amazon RDS para descubrir las instancias de bases de datos en la nube Amazon.
  • Acceda a esas instancias dentro de Guardium utilizando datasources.
  • Lance evaluaciones de vulnerabilidad en esas instancias de bases de datos en la nube Amazon.

Cómputo en la nube

El cómputo en la nube es cómputo que está distribuido sobre una red como Internet. La nube es la colección de recursos y redes distribuidas de cómputo. El cómputo en la nube se está haciendo más popular y dominante conforme más flujos de trabajo y datos se están mudando a la nube, también. El cómputo en la nube requiere al menos la misma seguridad de datos y protección que cualquier otro recurso de cómputo y almacenes de datos. Dada la naturaleza dominante de Internet, si bien, la seguridad y protección de los datos son incluso más importantes en la nube.

Varios proveedores ofrecen las plataformas para el cómputo en la nube. Amazon proporciona ofertas populares de nubes comercialmente disponibles. La oferta de nube de Amazon, llamada Amazon Web Services (AWS), incluye una amplia selección de servicios de cómputo que abarcan la gama desde almacenamiento de datos al poder de cómputo, bases de datos y analítica hasta el despliegue de aplicaciones a varias mismas aplicaciones.


InfoSphere Guardium

InfoSphere Guardium es una solución de auditoria de base de datos y protección de información empresarial, que ayuda a las empresas a proteger y auditar información a través de un conjunto diverso de fuentes de datos relacionales y no relacionales.

Guardium puede proteger y monitorear fuentes variadas de datos que incluyen:

  • Almacenes de datos a gran escala como Netezza, GreenplumDB y Teradata.
  • Distribuciones Hadoop como Big Insights, Cloudera y HortonWorks.
  • Bases de datos NoSQL como CouchDB, MongoDB y Cassandra.
  • DB2, IMS y VSAM para IBM System z.
  • Otros diversos tipos de almacenes de datos y protocolos como Microsoft Sharepoint, CIFS, HTTP y FTP.

Desde luego, todos los servidores tradicionales y populares de bases de datos relacionales (RDBMS) también tienen soporte:

  • Oracle Database de Oracle y MySQL
  • SQL Server de Microsoft
  • Código abierto de PostgreSQL
  • Sybase
  • los productos de bases de datos de IBM DB2 e Informix

Datasources en InfoSphere Guardium

En Guardium, una datasource representa cualquier fuente potencial de datos, una base de datos específica, un archivo o cualquier otra fuente de datos. Para muchas aplicaciones Guardium, la fuente de datos es una instancia de base de datos. InfoSphere Guardium le da soporte al ciclo de vida de la protección de seguridad de datos, desde el descubrimiento de datos sensibles, hasta el monitoreo y auditoría, hasta evaluar la seguridad y endurecer las bases de datos. Cada tipo de datasource le da soporte a un sub conjunto de funciones de InfoSphere de Guardium. Cuando se crea una base de datos, primero se asocia con una aplicación Guardium que indica para qué se usara esa datasource.

Detalles de la datasource

Hay varias aplicaciones definidas en InfoSphere Guardium que usan datasources: auditoría, evaluaciones de seguridad, clasificación, auditoría de cambios, dominios personalizados, análisis de bases de datos, monitoreo de valor y otras. Después que se ha definido una datasource para Guardium, Guardium sabe cómo acceder a esa base de datos por la aplicación específica para la que se definió la datasource.

Usted puede definir parámetros diferentes para el acceso a datasource, que incluyen:

  • Nombre del usuario
  • Contraseña
  • Host
  • Puerto
  • Nombre del servicio
  • Nombre de la base de datos
  • Propiedades de la conexión
  • Directorio del sistema de archivos
  • Varios detalles específicos de la base de datos

En algunos casos, el tipo de base de datos no es realmente un nombre. El tipo de la base de datos puede indicar un protocolo como HTTP o FTP, o incluso un sólo archivo, Guardium se puede conectar a todo esto y operar las aplicaciones de seguridad Guardium. Las diferentes aplicaciones Guardium requieren diferentes tipos de acceso a la base de datos. Típicamente, usted le proporcionaría a Guardium los privilegios mínimos requeridos por las aplicaciones que usan datasource, que pueden incluir información de inicio de sesión para algunas aplicaciones Guardium. La evaluación de vulnerabilidad de Guardium, por ejemplo, requiere un alto nivel de acceso administrativo a la base de datos así que usted le proporcionaría un nombre de usuario y contraseña a la base de datos que tenga el nivel de acceso requerido.

Datasources en la nube

Además de su ubicación, hay poca diferencia entre una datasource que reside con una empresa dada y una datasource que existe dentro de la nube. Cualquier función de seguridad Guardium dada puede funcionar igualmente bien en datasources localizadas en Amazon AWS (si todo lo demás es igual). Y, debido a que la nube es alcanzable y utilizable por todos, Guardium puede proveer software y servicios hechos a la medida de Amazon AWS para cualquier cliente que use datasources en Amazon AWS.

Amazon AWS proporciona la Amazon RDS que les permite a los usuarios crear y utilizar diferentes instancias de base de datos rápida y fácilmente. Actualmente los tipos de bases de datos soportadas son Oracle, MySQL, Microsoft SQL Server y PostgreSQL. Guardium proporciona la habilidad para descubrir las instancias en Amazon RDS y le permite definir datasources rápida y fácilmente para cada datasource descubierta. Con Guardium usted puede configurar Amazon RDS rápida y fácilmente para poner esas datasources accesibles a las aplicaciones de Guardium. Guardium hace que sea fácil lanzar rápidamente evaluaciones de vulnerabilidad en esas datasources. Esta colección de características en Guardium que facilitan la seguridad de Amazon RDS se llama Amazon RDS Discovery.


Empezar con RDS Discovery

Usted accede a RDS Discovery en el GUI de Guardium. El GUI de Guardium es accesible desde un navegador de Internet. Apunte el navegador al puerto 8443 en el nombre del host o la dirección IP del dispositivo Guardium utilizando el protocolo HTTPS (https://hostname:8443). Inicie sesión en el GUI de Guardium utilizando sus credenciales de acceso Guardium proporcionadas por su gerente de acceso Guardium. Si abrió la sesión con la id de usuario admin, usted puede navegar a la página de Amazon RDS Discovery haciendo clic en la pestaña Tools como en la Figura 1.

Figura 1. Amazon RDS Discovery
the Guardium Amazon RDS initial screen

Inicialmente la página mostrará dos cajas de texto, donde usted captura una Clave de Acceso y una Clave Secreta de Acceso y una matriz de las regiones de Amazon.

El Amazon SDK utilizado por Guardium requiere que el usuario proporcione una clave secreta para permitir el acceso a Guardium. Para obtener su clave secreta, vaya a su página Web AWS Security Credentials (en el menú superior derecho después de haber iniciado sesión en aws.amazon.com). Desde la página Security Credentials usted puede acceder a claves, recuperar la id clave de una clave creada anteriormente, o crear nuevas claves. Las claves secretas están destinadas a aplicaciones como Guardium para acceder a su cuenta Amazon AWS a su solicitud.

Guardium no guarda su información de claves en su propio almacén de datos, envía la clave a otra parte, no utilice la clave para ningún otro propósito. La clave se guarda temporalmente, para su conveniencia, en el sistema Guardium durante su sesión de registro. Si usted sale y regresa a la página RDS Discovery los campos de las claves se llenarán automáticamente. Sin embargo, esa información se descarta cuando termina la sesión.

Todas las comunicaciones del servidor Guardium a Amazon AWS ocurren a través de una conexión HTTPS cifrada.


Regiones Amazon

Los recursos de cómputo en la nube de Amazon están albergados en instalaciones de centros de datos en diferentes partes del mundo. Cada sitio de centro de datos, llamado una región, representa un área geográfica distinta. Cada región contiene múltiples sitios distintos llamados Zonas de Disponibilidad (AZs). Los usuarios AWS pueden colocar recursos, como instancias y datos, en regiones múltiples. Los recursos no se replican de una región a otra a menos que lo haga usted mismo específicamente. Cada región es totalmente independiente y los servicios proporcionados pueden diferir en cierto grado de región en región, aunque Amazon RDS está disponible actualmente en todas las regiones. Cualquier actividad de Amazon RDS que inicie opera en una sola región.

La lista de regiones, que se muestra en la Tabla 1, se genera dinámicamente al consultar a Amazon. Si, por ejemplo, la tabla de regiones no logra aparecer, puede significar que su dispositivo Guardium no tiene acceso a Internet. Para acceder a Amazon AWS, usted le debe proporcionar al dispositivo el acceso a la nube Amazon a través de Internet (de otra manera Guardium no podrá acceder a sus instancias RDS).

Tabla 1. Regiones Amazon
RegiónNombreFecha de lanzamiento
EUA Este (Virginia del Norte) us-east-12006
EUA Oeste (California del Norte)us-west-12009
EUA Oeste (Oregón)us-west-22011
AWS GovCloud (EUA) us-gov-west-12011
UE (Irlanda)eu-west-12007
América del Sur (Sao Paulo, Brasil)sa-east-12011
Asia Pacífico (Singapur)ap-sotheast-12010
Asia Pacífico (Tokio)ap-northeast-12011
Asia Pacífico (Sidney)ap-southeast-22012
China (Beijing)Llega pronto

Guardium RDS Discovery le permite descubrir instancias RDS en cualquier número de regiones de Amazon simultáneamente. Seleccione las regiones que quiera consultar para sus instancias RDS.


Resultados del descubrimiento

Después de haber capturado su id de clave secreta y seleccionado una o más regiones que consultar puede hacer clic en Discover para recuperar la información acerca de sus instancias de base de datos RDS en esas regiones.

Aparecerá una matriz de instancias descubiertas bajo la lista de regiones, como en la Figura 2.

Figura 2. Instancias descubiertas
La matriz de instancias descubiertas aparecerá debajo de la matriz de regiones

Para producir la matriz, el servidor Guardium GUI se pondrá en contacto simultáneamente con todas las regiones que seleccionó para consultar en Amazon acerca de las instancias que creo, como en la Figura 3.

Figura 3. Ponerse en contacto con las regiones AWS
Contacting AWS regions

La columna etiquetada Accesible en la Figura 2 mostrará ya sea una marca de verificación verde o una X roja que indica si Guardium podrá conectarse a la instancia. Una instancia RDS se considera accesible o si es pública y tiene el estado “disponible”. Los valores posibles de estado son:

  • disponible
  • creando
  • respaldando
  • eliminado
  • eliminando
  • falló
  • modificando
  • reinciando
  • restableciendo credenciales maestras

Para cada instancia de base de datos, su estado actual y si es pública se muestran en la columna de Detalles de las instancias descubiertas, como en la Figura 4. Usted no podrá crear un grupo de seguridad Guardium o una datasource para una instancia inaccesible porque esas selecciones se deshabilitarán.

Se mostrarán otros detalles para cada instancia, como el nombre de la base de datos, el host y el puerto, la región en la que se encontró y si tiene una nube virtual privada asociada (VPC) en Amazon.

Usted puede usar la matriz en la Figura 4 para crear grupos de seguridad Amazon y datasources Guardium y lanzar evaluaciones de vulnerabilidad en instancias RDS seleccionadas en la matriz. Usted puede hacer todo esto sin salir de la página RDS Discovery.

Figura 4. Selecciones en la matriz de descubrimiento
Contacting AWS regions

Las cuatro columnas finales, que se muestran en la Figura 5, indican los detalles acerca de los grupos de seguridad Guardium y las datasources Guardium que se crearon anteriormente para esas instancias de bases de datos. La primera vez que ve una instancia de base de datos en la matriz habrá Xs rojas en las columnas del Grupo de Seguridad y Datasource. Use el botón Actualizar que aparecerá en la parte superior derecha de la página para mostrar los últimos datos si cualquiera de las instancias, grupos de seguridad o datasources se han cambiado en otra parte. Todos estos artículos se pueden cambiar simultáneamente de otras formas y por otros usuarios al acceder a la Consola Web Amazon, usando el Guardium GUI en un navegador distinto, o usando el Guardium CLI.

El botón Actualizar también es útil sin quiere volver a mostrar la matriz para que encaje en la ventana del navegador si ha cambiado el tamaño de la ventana del navegador.

La caja de filtro, que se muestra sobre las Instancias en la Figura 1, es para facilidad de uso. Capture texto en la casilla para filtrar la tabla y mostrar sólo las filas que igualan al texto del filtro.


Errores

Siempre que se ejecuta una operación, ya sea la operación de descubrimiento o una operación en una o más de las instancias de bases de datos, pueden ocurrir errores. Si hay cualquier error resultante el botón de Errores... se hará visible en la parte derecha inferior de la página, como en la Figura 5. El botón Errores... se hará visible o invisible con cada operación que usted ejecute y mostrará sólo los errores que se produjeron en la operación anterior.

Figura 5. Botón de errores
The Errors button will appear below the grid to the right

Algunos errores se pueden originar en Amazon AWS o producirse por el propio código de Amazon. Dichos errores no se traducirán; aparecerán exactamente como se recibieron de Amazon. La ventana también le mostrará la región que produjo el error.

Por ejemplo, un error común ocurre cuando el usuario captura incorrectamente la clave secreta o la id de la clave secreta. Cuando esto sucede, cada región rechazará aceptar la solicitud de Guardium cuando el servidor Guardium contacte a cada región. La Figura 6 muestra un ejemplo del mensaje de error para las credenciales inválidas.

Figura 6. Error de credenciales inválidas
Invalid credentials error

La Tabla 2 resume unos cuantos errores comunes y proporciona consejos de diagnóstico para resolver los problemas.

Tabla 2. Diagnosticar problemas comunes
ProblemaDetallesResolución
La región de gobierno está inaccesible la region gubernamental AWS no está accesible. La mayoría de los clientes no podrán usar la región de gobierno. Sólo regiones selectas en las que usted tiene instancias RDS. El mensaje de error que aparece será el mismo mensaje de error que cuando ha capturado una clave o id de clave incorrectas.No seleccione la región llamada "us-gov-oeste-1" en la matriz de región.
Credenciales inválidas La clave secreta o la id de clave secreta que capturó es incorrecta.Vuelva a capturar su id de clave secreta o clave secreta. Para evitar errores de tecleo, intente usar las funciones copiar y pegar en el navegador o use los atajos Control-C y Control-V para copiar y pegar el texto que seleccionó.
Hora o fecha inválida, Firma todavía no actualizada AWS rechazará el acceso si la fecha o la hora del dispositivo Guardium que se está conectando a AWS es incorrecta por más de 15 minutos. (Esto no toma en cuenta husos horarios y horarios de verano.) El dispositivo debe tener la hora local correcta. Establezca el huso horario, fecha y hora con los parámetros locales correctos

Grupos de seguridad Amazon

Grupos de seguridadpermitir el acceso a las instancias Amazon RDS DB desde Internet. Son como firewalls simples, como se muestra en la Figura 7. El acceso lo otorga una lista de rangos de direcciones IP sin clase con enrutamiento inter dominios (CIDR). Como todos los demás servicios Amazon AWS, los grupos de seguridad están organizados por región. Pueden haber muchos grupos en cada región y muchas rangos de direcciones CIDR IP;en cada grupo de seguridad.

Figura 7. Control de acceso grupos de seguridad
Security Groups control access

Cada rango CIDR IP describe una dirección y una máscara: ip1.ip2.ip3.ip4/mask. La máscara funciona en los bits en la extrema izquierda. Cada base de datos se puede asociar con múltiples grupos de seguridad. Si cualquiera de los rangos CIDR IP en cualquiera de esos grupos le otorga acceso a una dirección IP dada, entonces se puede acceder a la base de datos desde esa IP. La Tabla 3 despliega una muestra de rangos CIDR.

Tabla 3. Muestra de rangos CIDR IP
CIDR IPCoincide con
0.0.0.0/0La máscara de 0 coincide con 0 bits en la dirección, permitiendo así el acceso desde cualquier parte
192.168.12.0/23La máscara de 23 bits es 255.255.254.0, así que esto representa el rango 192.168.12.0 a 192.168.13.255
1.2.3.4/32La máscara de 32 bits coincide con todos los bits en una dirección, así que la CIDR IP coincide sólo con la única dirección 1.2.3.4

Un grupo de seguridad Amazon no tiene relación con un grupo Guardium o el constructor del grupo Guardium. Los grupos de seguridad de Amazon sólo son un constructo de Amazon y Guardium no mantiene ningún registro de ellos. Guardium proporciona funciones simples para crear un grupo de seguridad específicamente para el acceso de Guardium y para agregar rangos CIDR IP adicionales a ese grupo. Sin embargo, depende de cada cliente decidir exactamente la forma de configurar sus grupos de seguridad. La funcionalidad Guardium se agrega para conveniencia pero no se requiere necesariamente.

Un usuario puede tener un sólo grupo ya creado para toda su organización. O puede no tener grupos propios y necesita crear uno para permitir el acceso desde el dispositivo Guardium. Los usuarios pueden crear un grupo para Guardium ya sea a través del botón provisto o accediendo a la Consola Web Amazon AWS.

Sin importar cómo se crean o configuran los grupos de seguridad, para que Guardium se conecte a una instancia RDS al dispositivo Guardium se le debe otorgar acceso por al menos un rango CIDR IP listado en al menos un grupo de seguridad adjunto a esa instancia RDS.

Grupos de seguridad

Hay dos tipos de grupos de seguridad que aplican a las instancias RDS: VPC o RDS. Algunas cuentas RDS en algunas regiones crean todas las instancias RDS en una VPC estándar.

Las instancias RDS DB dentro de una VPC utilizan grupos de seguridad VPC. Las instancias RDS DB que no están dentro de una VPC utilizan grupos de seguridad RDS. Cuando una instancia RDS está dentro de una VPC, hay un sólo lugar en AWS para definir y administrar las reglas de acceso a la red para todos los recursos de computación AWS en la VPC, que incluyen instancias DB. Utilice la consola EC2 para administrar los grupos de seguridad VPC. Utilice la consola RDS para administrar grupos de seguridad RDS.

Su consola RDS le puede decir si tiene una VPC estándar , lo que significa que estará usando los grupos de seguridad VPC en lugar de los grupos de seguridad RDS.

El botón del grupo de seguridad se habilita cuando se seleccionan instancias, como en la Figura 8. Seleccionar el botón hará tres cosas:

  1. Crear un Grupo de Seguridad Guardium (si no existe).
  2. Agregar la dirección IP del dispositivo Guardium como lo ve Amazon (si no está ahí ya).
  3. Agregar las instancias de base de datos seleccionadas al grupo (si no están ya asociadas).

La Figura 8 muestra un ejemplo.

Figura 8. Grupos de seguridad creados
Created security groups

Después de que han sido creados los grupos usted verá los nombres de los grupos en la columna del Grupo de Seguridad Guardium de la matriz de instancias. Las instancias en la misma región compartirán el mismo grupo de seguridad. La lista de direcciones CIDR IP sigue al nombre del grupo de seguridad. Como con una instancia dada, puede pasar un tiempo antes que Amazon cree ese grupo. Usted podría ver el estado “agregando” entre corchetes lo que indica que los grupos todavía no están listos para usarse. Eventualmente el estado se convertirá en “activo”.

Aparecerá una X roja en la columna del Grupo de Seguridad Guardium si el grupo de seguridad Guardium no ha sido creado, si la dirección IP asociada con la instancia no está en el grupo, o si el grupo no ha sido agregado a la lista de grupos de seguridad de la instancia. Esto no significa necesariamente que la instancia esté inaccesible. Puede haber un grupo de seguridad diferente adjunto a la instancia que le otorga acceso a un rango de direcciones IP que incluyen el dispositivo Guardium. Puede haber un grupo de seguridad que le otorga acceso a la dirección IP del dispositivo Guardium pero ese grupo fue creado por algún otro medio y tiene un nombre diferente.

La configuración de un grupo de seguridad puede ser única para cada organización. Algunas pueden tener un grupo de seguridad para toda su organización. Algunas pueden necesitar utilizar el GUI para crear un grupo de seguridad Guardium que proporcione acceso. Depende del cliente escoger cómo proporcionar el acceso de la instancia RES.

Agregar la dirección IP del dispositivo Guardium, como lo ve Amazon, a un grupo de seguridad para las instancia le debe dar acceso a la instancia RDS. Algunas veces la configuración de la red del dispositivo Guardium puede interferir. En esos casos, el usuario puede agregar un rango de direcciones CIDR IP manualmente al grupo de seguridad Guardium seleccionando el botón Agregar rango IP .

Si hubieran problemas de conexión, puede probar el acceso utilizando el rango CIDR IP 0.0.0.0/0, que otorgará acceso a todas y le permitirá determinar si los problemas de conexión están en la configuración del grupo de seguridad o en algo distinto. Sin embargo, no utilice ese rango CIDR IP para cualquier base de datos en vivo con información sensible. Para mayor seguridad debe minimizar el acceso permitido.

Si quiere eliminar el grupo de seguridad Guardium de una instancia DB dada o quiere eliminar los rangos CIDR IP del grupo de seguridad Guardium, necesita usar la consola AWS.


Crear una datasource

Para que Guardium pueda trabajar con una instancia RDS usted debe crear una datasource para ella. En RDS Discovery, para cada instancia para la que quiere tener una datasource asociada captura una contraseña de usuario y clave de acceso que se usará para conectarse con la instancia. Para el usuario usted puede elegir ya sea el usuario maestro que se creó cuando se creó por primera vez la instancia RDS o seleccionar a cualquier otro usuario que para entonces se haya creado para esa instancia de base de datos. Después de eso, podrá crear sus datasources seleccionando esas filas en la matriz y haciendo clic en Crear/Actualizar Datasources.

Después que termine la operación verá los nombres en la columna datasource. La datasource se almacenará en el almacén de datos de Guardium y se mostrará en la matriz en cualquier momento en el futuro cuando usted descubra la misma instancia RDS. Si desea cambiar el usuario o la contraseña para la instancia, puede repetir la operación.

Si tiene algunas configuraciones especializadas para la datasource, o quiere probar si Guardium se puede conectar exitosamente a esa datasource, usted puede seleccionar una sola fila con un datasource creado y hacer clic en Definición de Datasource.... Una vez seleccionado, usted verá el formato de definición estándar de la datasource que está accesible con el constructor de Definiciones Datasource de Guardium. Todos los detalles de la datasource se mostrarán, como en la Figura 9.

Figura 9. Definición de la Datasource
Datasource Definition

Al usar el formato de definición de la datasource usted puede hacer cualquier modificación a la datasource, como cualesquiera propiedades de conexión o la descripción. Sin embargo, la mayoría de las propiedades no se deben cambiar porque concuerdan con los parámetros en Amazon. El nombre de la datasource se deriva del nombre, puerto y región del anfitrión de la instancia, que juntos son únicos para cada una de sus instancias RDS.

Una función útil en esta página es el botón de Prueba de Conexión que le permite verificar que se puede conectar exitosamente antes de que trate de usar la datasource. La Figura 10 muestra una conexión exitosa. Si no se puede conectar, hay muchas razones posibles.

Figura 10. Conexión exitosa
Successful Connection

Si la conexión entra en espera puede que de hecho sea que los grupos de seguridad no estén configurados para permitir el acceso a la dirección IP de su dispositivo Guardium. Para verificar sus grupos de seguridad:

  • Verifique todos los grupos de seguridad utilizando la consola AWS.
  • Verifique la dirección IP del dispositivo Guardium con su administrador del sistema.
  • Intente conectarse a una instancia DB de prueba con un grupo de seguridad que tenga el rango CIDR IP 0.0.0.0/0, que otorga acceso a todo.
  • Intente conectarse a la instancia DB usando otras herramientas. Por ejemplo, use el cliente MySQL a una base de datos MySQL o use la herramienta SQL*Plus para conectarse a una base de datos Oracle. Use una herramienta genérica de base de datos como Razor SQL para conectarse a cualquier número de diferentes tipos de base de datos.

Si sus grupos de seguridad están configurados correctamente entonces hay otras razones por las que puede fallar una conexión, como:

  • Una id de usuario o contraseña incorrecta. Típicamente habrá un error que indica esto en el dialogo que aparece.
  • La instancia no está disponible en ese momento. Verifique el estado de la instancia en la matriz de instancias Guardium o en la consola AWS. La instancia no estará accesible si está siendo respaldada, eliminada, modificada, reiniciada, si las credenciales maestras se están cambiando o si la instancia ha fallado por alguna razón.

Si la prueba de conexión pasa, entonces usted sabe que se puede conectar exitosamente a la instancia de bases de datos RDS cuando esté operando una evaluación de vulnerabilidad.

Otras vistas de datasource

Se crean las datasources creadas por Amazon RDS Discovery para la aplicación de la evaluación de seguridad. Se pueden compartir con otras aplicaciones Guardium que usted puede hacer navegando al constructor de Datasource y verificar la casilla que indica que quiere compartir la datasource.

Usted tiene otras formas tradicionales de ver los datasources que ha creado. Los puede ver desde el constructor de datasource, que se encuentra en la pestaña Herramientas como en la Figura 11.

Figura 11. Constructor de Datasource
Datasource Builder

También puede ver las datasources desde el reporte de datasources en la pestaña del Monitor Diario, como en la Figura 12.

Figura 12. Reporte Datasources
Datasources Report

Evaluación de vulnerabilidad

La solución Guardium Vulnerability and Threat Management es el primer paso en la administración de seguridad y el cumplimiento para cualquier ambiente de base de datos. Las pruebas, junto con un proceso de flujo de trabajo, le ayudan a identificar y resolver las vulnerabilidades de la base de datos de manera automática, mejorando por lo tanto las configuraciones y endureciendo infraestructuras.

Con la aplicación Guardium Vulnerability Assessment las organizaciones pueden identificar y manejar las vulnerabilidades de la base de datos de manera consistente y automatizada. El proceso de evaluación de Guardium evalúa la salud de su ambiente de base de datos y recomienda mejoras al:

  • Evaluar la configuración del sistema contra las mejores prácticas y encontrando vulnerabilidades o amenazas potenciales a los recursos de bases de datos que incluyen riesgos de configuración y conductuales.
  • Encontrar cualquier vulnerabilidad inherente en el ambiente.
  • Recomendar y priorizar un plan de acción con base en las áreas descubiertas con los mayores riesgos y vulnerabilidades críticas. Los reportes y recomendaciones proporcionan lineamientos de cómo enfrentar cambios de cumplimiento y elevar la seguridad del ambiente evaluado de la base de datos.

Evaluación de vulnerabilidad de instancias RDS

Después de que tenga una datasource para una instancia y usted sepa que el dispositivo Guardium tenga acceso a la instancia con un grupo de seguridad, usted puede lanzar una evaluación de vulnerabilidad en esa instancia. La Figura 13 delinea el proceso.

Figura 13. Evaluación de vulnerabilidad de instancias RDS
Vulnerability Assessment of RDS Instances

Después de que selecciones una o más instancias accesibles con datasources asociados, se habilita el botón Lanzar la Evaluación de Vulnerabilidad La evaluación operará varias pruebas de seguridad contra un numero de instancias de base de datos y creará un reporte con los resultados. Haga clic en Lanzar la Evaluación de Vulnerabilidad para lanzar la evaluación en la instancia de base de datos seleccionada, como en la Figura 14.

Figura 14. Dialogo de la Evaluación de Vulnerabilidad
Vulnerability Assessment Dialog

Usted puede capturar la descripción de una evaluación de vulnerabilidad existente o una nueva descripción, También puede capturar los recipientes del reporte de la evaluación. Sin embargo todos los campos en el dialogo son opcionales. Haga clic en OK para lanzar la evaluación. Otro dialogo indicará si la evaluación se lanzó exitosamente. Una evaluación se lanza dentro de un proceso de auditoría, que es un proceso que opera en el fondo del dispositivo Guardium. El proceso de auditoría opera sus tareas asociadas en sucesión, registra los resultados y entrega los resultados a uno o más usuarios.

Si una evaluación de vulnerabilidad con la descripción dada no existe ya, entonces se creará. Si se crea una nueva evaluación de seguridad se creará con los datasources de la instancia RDS seleccionada y todas las pruebas disponibles relevantes a esos tipos de bases de datos, ya sean Oracle, MySQL, SQL Server, o PostgreSQL.

Si la evaluación de seguridad ya existe, entonces se agregarán a la evaluación las datasources seleccionados de la instancia RDS (si todavía no están allí). Si la evaluación existente no tiene ninguna prueba, entonces se agregarán todas las pruebas disponibles relevantes a los tipos de bases de datos. De otra manera, las pruebas permanecerán sin cambios.

Se creará un proceso de auditoría para la evaluación de vulnerabilidad a menos que ya exista uno. Tendrá la misma descripción que la evaluación y contendrá sólo una tarea; la evaluación de seguridad El proceso se presentará para ejecución inmediatamente, aunque se pueda llevar un tiempo para que se termine el proceso.

Después que se termina la evaluación, el resultado se distribuye a todos los receptores.

Vistas del proceso de auditoría

Después que ha sido lanzado el proceso de auditoría, en el GUI usted puede ver el estado en la Guardium Job Queue y la Audit Process Log. Estos dos reportes están disponibles en la pestaña del Monitor Guardium en el GUI.

También puede acceder a los resultados manualmente desde el Audit Process Builder, como se muestra en la Figura 15.

Figura 15. Audit Process Builder
Audit Process Builder

Los resultados del proceso de auditoría incluyen los resultados de las pruebas individuales ejecutadas contra las instancias de la base de datos. Una gráfica tabular resume todas las pruebas que se ejecutaron dentro de la evaluación. Una sección de resultados extensa proporciona:

  • Una descripción detallada de las pruebas que se ejecutaron.
  • Información acerca de la instancia RDS meta.
  • El estado de aprobación fracaso de cada prueba, información de severidad y las razones de ese estado.
  • Información acerca de las pruebas mismas y referencias externas relacionadas con el origen de las pruebas.

Más información acerca de las evaluaciones de vulnerabilidad

Este artículo contiene sólo un resumen de la evaluación de vulnerabilidad. Existe una gran cantidad de información de seguridad en evaluaciones de vulnerabilidad pero los detalles van más allá del alcance de este artículo. Recursos tiene más información acerca de InfoSphere Guardium Vulnerability Assessments.


Resumen

Las organizaciones se están moviendo a la nube para reducir los costos de almacenar datos y mantener su propia infraestructura de tecnología de la información. Un movimiento a la nube presenta nuevos retos en la seguridad de datos. Guardium ya es apropiado para ambientes de nube privados e híbridos. La capacidad de Guardium para descubrir fácilmente, evaluar y endurecer instancias Amazon RDS le puede ayudar a proteger sus datos en la nube pública. Los beneficios relacionados con la nube también están sincronizados con la misión de Guardium para proporcionar una solución consistente y para toda la empresa para seguridad, protección de datos y auditoría.

Esté pendiente para la Parte 2 de esta serie, en la que hablaremos cómo Guardium usa Amazon Se para operaciones de respaldo y restauración.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Information mgmt, Cloud computing
ArticleID=966176
ArticleTitle=InfoSphere Guardium y la nube Amazon, Parte 1: Explorar las instancias de las bases de datos y las vulnerabilidades de Amazon RDS
publish-date=02272014