IBM Security

Guardium Data
Protection
Visión general de la
Solución
Estuardo Romero
Security Technical Specialist
IBM Security Guardium: Modern Data Security Consulting, Systems
Integration, and Managed
Discover Protect Analyze Respond Comply Security Services

Data Security Hub: Guardium Insights for Cloud Pak for Security
Data Security Strategy

Guardium Data Guardium Data Guardium Vulnerability

Protection Encryption Assessment
Data Discovery
1touch.io Inventa Guardium Key Lifecycle Guardium Data
(Data Discovery) Manager Risk Manager
Data Security Governance

Environments and Data Sources

Managed DAM
Multicloud | Databases | Big Data | Documents | Applications | Endpoints | Mainframes

Integrations and Orchestration Managed Data Encryption

Integrations and orchestration
SOAR | SIEM | IAM | IT Ops and Service Management
 Principales motivadores para la protección de datos.
Regulatory Compliance Governance
IBM Discover and Classify
1touch.io
Gestión de riesgos y compliance – GRC
IBM Guardium Data IBM Guardium Data
Protection Protection
Gobernanza de Datos

POLÍTICAS, PROCESOS y PROCEDIMENTOS

DATA Gestión de Consentimento y Privacidad
AT REST

Risk Exposure Access Management

• Fuga de datos sensibles. Gobernanza de Identidades
DIRECTORS

• Datos sensibles abandonados,

Gestión de Perfiles
anonimato, criptografía.
• Sin control de las actividades de uso y DLP
datos compartidos sin consentimiento.
CASB
• Políticas inconsistentes de protección
PAM
y privacidad de datos. DATA
IN MOTION
Journey to Cloud Threat Management
• Ciclo de vida de los datos en la nube, IBM Guardium Data IBM Guardium Data
Protection Protection SIEM
desde su creación hasta su descarte.
IBM Guardium Data SOAR
• Transformación Digital impulsa la IBM Guardium Insights
Encryption
proliferación de datos. EDR
• Datos en todos los lugares, exigiendo IBM Data Risk Manager
Patch Mgmt
una postura proactiva sobre
Gobernanza y Protección de Datos. Vulnerability Mgmt
Guardium Data Protection: Resumen de la solución

✓ Supports hybrid multicloud data protection with

consistent data security policies across environments
Oracle NoSQL
Hadoop Teradata and holistic risk views
Protect data in cloud environments DB2 DB2 WH
• Databases and data warehouses
Protect data in databases &
big data platforms • Big Data
• Files
• Mainframe and z/OS
• Cloud: AWS, Azure, Google Cloud, IBM Cloud, Oracle
Guardium Protect data in files Cloud, Database-as-a-Service
& file systems
Supported Platform Database for Data Activity Monitoring →

✓ Broad platform support and massive scalability for the

Protect data on-premises
environments largest on-premise and cloud environments
Protect data in
Detailed system requirements and supported platforms →
mainframes
Protección de Datos - Cómo funciona Guardium?
Ambiente
Mainframe:
DB2, VSAM, Files Políticas de
Seguridad

Ambiente DB: Monitoreo de Dashboard de

DB2, Oracle, SQL, Monitoreo
Informix, etc. Actividades
Guardium
Análisis de
Vulnerabilidades Consola
Centralizada Registros de
Ambiente
Filesystem: Identificación de Compliance

datos sensibles

Bloqueo de
Actividades Análisis

Ambiente BIG Sospechosas de

Vulnerabilidades
DATA: Hadoop,
No SQL, Cloudera,
Repositorio de Eventos
etc.
de Auditoria

Alertas
Agente de Monitoreo
Overview Técnico de
Guardium Data Protection
Arquitectura de Escaneo
Database Discovery Servidor de Datos
Escaneo de puertos de red

Data Classification

DBMS
Conexiones con la BD

Config
Vulnerability Analysis File

CAS Agent

Clasificación de Datos Análisis de Sistema de Auditoria de Configuración (CAS)

o Número de líneas Vulnerabilidades o Archivos de config.
configurables para su escaneo o CVE o Variables de ambiente y registros
(default 2000 líneas)
o Retorna solamente los
o STIG o Otros componentes del SO
metadatos: Tabla/Columna o CIS
Arquitectura de Monitoreo: Software TAP o S-TAP
Servidores de Aplicaciones
Guardium
Collector Appliance
Servidores de Datos
(DB, Warehouses, Files, Big Data)

• DESCUBRE
• MONITOREA
• PROTEGE
Guardium
Agentes S-TAP • AUTOMATIZA

• Visibilidad de la red y de la conexión local
• Separa el monitoreo de seguridad de la gestión de modificación
de bases de datos
• Soporta tráfico encriptado:
✓ SSH/IPSEC, Oracle ASO, SQL Server SSL
• No requiere ningún cambio de ambiente en la base de datos
• Instalado solo una vez en cada sistema, independientemente de
cuantas instancias y tipos de bases de datos estén en ejecución
• Sin hardware adicional y menor costo de implementación
• El tráfico especifico puede ser filtrado para que no todo el tráfico
sea enviado al Colector.
✓ Esto reduce significativamente la carga de la red.
• Menos de 5% de impacto en el desempeño del servidor de datos
Arquitectura con Múltiples Colectores
 Arquitectura Altamente Escalable y Disponible S-TAPs
o Load Balancing
o Fail-over
Colectores o Redundancia
o Capturan y analizan en tiempo real
S-TAP
o Aplicación de las políticas
DB2
o Scanning
IMS
Collectors Data Sets

Collectors

Aggregator
Central Manager

Collectors

Aggregator

Central Manager
Agregadores o Funciones de gestión centralizadas
o Colectan datos de reportes desde múltiples Collectors o Salud del ambiente
colectores u otros agregadores o Aplicación de parches/actualizaciones
10
o Provee visibilidad entre los colectores o Gestión de políticas
o Reduce la carga de registros de los colectores o Puede funcionar como CM y agregador
o autónomo
Arquitectura & Sizing

1. Cuántas bases de datos por S-TAP en un mismo servidor?

• +- 6 bases de datos
2. Cuántos servidores de BD por colector?
• 6 (puede ir de 5 a 25) bases de datos por colector
3. Cuántos colectores por agregador?
• 6 a 8 colectores por agregador

Utilice la herramienta de Sizing disponible en SASC - https://sasc.ibm.com

Arquitectura – Requerimientos para Virtual Appliance

• Soporta los siguientes virtualizadores: • Especificaciones mínimas:

• VMware Virtualization – ESX 5.1 superior • CPU: 4-8 vCPU (x86 Intel o AMD)
• Microsoft Hyper-V • Memoria: 24-32 GB de RAM
• Red Hat Enterprise Virtualization • Disco: 300 GB (7200-15000 RPM)
• Especificaciones recomendadas:
• Soporta las siguientes nubes: • CPU: 8-24 vCPU (x86 Intel o AMD)
• Amazon AWS • Memoria: 32-64 GB de RAM
• Google Cloud Provider • Disco: 2 TB o superior (7200-15000 RPM)
• Microsoft Azure
• IBM Cloud e Oracle OCI Disco para:
• Collectors: 300-600 GB
• Aggregators: 600-1000 GB
*El tamaño del disco depende de los requerimientos de
retención y el volumen de datos

Referencia a la documentación:
https://www.ibm.com/support/pages/node/6481035
Flujo entre S-TAP y Guardium Collector
STAP hace una copia de la
información y envía el Guardium
appliance para Guardium Collector
Servidor de
base de STAP Sniffer
datos
Sniffer analiza, normaliza y registra los
Sniffer puede
datos apropiados en un repositorio
enviar señales de
interno
control para STAP

El cliente solicita El servidor de la base

información del de datos responde con Importante
servidor de la base de información apropriada
datos • STAP es un agente liviano que copia
información para el appliance de
Guardium, donde todo el trabajo
pesado es hecho
• Sniffer = efectúa el procesamiento
pesado

Cliente de banco de datos

Información analizada en el proceso
(monitoreo, auditoria y políticas)

STAP Sniffer
Sniffer recibe todo el tráfico de BD
Servidor de BD del STAP, entonces analiza, hace el
Actividades del cliente de BD Actividades del servidor de BD parsing y registra los datos
para el servidor de BD para el cliente de BD
Client/Server network
Client/Server network Failed Login connections
connections Messages
Sessions
Session starts (log in) SQL Errors (log in / log out)
SQL Requests
Result sets SQL Requests
(commands)
(commands)
Session ends (log out)
SQL Errors

Result sets son enviados por STAP, pero

son descartados por Sniffer
Cliente de BD
Result sets
Opciones de Monitoreo
1) Basado en Agente (S-TAP)

Agent 01000111 01110101 01100001 01110010 01100100 01101001 01110101 01101101…

Sniffer
Guardium
Guardium

2) Sin Agente (Logs Nativos & *Data Streams)

Native
Audit Universal
Logs Connector Sniffer
Docker
Guardium

3) Basado en Proxy (External S-TAP)

01000111 01110101 …
Server
Agent (proxy) 01000111 01110101 01100001 01110010 …
Client
01000111 01110101 …
Docker
Sniffer
Guardium Guardium
Monitoreo basado en agente

01000111 01110101 01100001 01110010 01100100 01101001 01110101 01101101…

Agent Sniffer
Guardium ¿Qué captura? Guardium

Componente Sesiones: quién o qué está Hace el “trabajo

liviano que hace intercambiando datos con la BD pesado”
una copia del
trafico de la BD Requests: cuáles datos están siendo Analiza continuamente
accedidos y quien está accediendo el tráfico recibido de
Diseñado para los agentes
Erros: que excepciones ocurren
tener un impacto
mínimo en la Controla los agentes en
Result sets: qué datos están siendo
performance de la base a políticas
enviados al cliente a partir de un
BD request
Monitoreo sin un agente vía Universal Connector

Native
Audit Universal
Logs Connector Sniffer
Docker Guardium
¿Qué captura?
La BD graba o envía logs Hace Pull (o recibe
para su almacenamiento Sesiones: quién o qué está vía Push) de logs de
intercambiando datos con la BD la BD
Puede afectar el desempeño Requests: cuáles datos están siendo
porque la BD trabaja más accedidos y quien está accediendo Transforma los
logs en un
Puede impactar los Erros: que excepciones ocurren formato
requisitos de universal que
almacenamiento y los costos Result sets: qué datos están siendo Sniffer entiende
enviados al cliente a partir de un
request
Monitoreo basado en proxy

01000111 01110101 …
Server
Agent (proxy) 01000111 01110101 01100001 01110010 …
01000111 01110101 …
Client Docker Sniffer
Guardium Guardium
¿Qué captura?
Proxy liviano que Sesiones: quién o qué está Hace el “trabajo
hace una copia del intercambiando datos con la pesado”
trafico de la BD BD
Analiza
Sin impacto en el Requests: cuáles datos están
continuamente el
servidor de la BD siendo accedidos y quien está
tráfico recibido de
accediendo
los agentes
Leve impacto en el Erros: que excepciones
tráfico ocurren Controla los agentes
Result sets: qué datos están en base a políticas
siendo enviados al cliente a
partir de un request
Para cumplir con varios casos de uso de protección de BDs críticas usted precisa de
flexibilidad para la recolección de datos

Consideraciónes Agente Proxy Sin Agente

Encuentra actividades en tiempo real
Detalla las acciones que están siendo ejecutadas
Uso de políticas proactivas
Soporta segregación de funciones (SoD)
Protege (bloquea, alerta, coloca en cuarentena, ...)
Fácil de instalar
Bajo impacto en el desempeño de la BD
Soporta logs de auditoria para compliance
Soporta detección de amenazas internas
Soporta seguridad y protección de datos
Monitoreo en la Nube: External S-TAP
Beneficios:
• Capacidad para monitorear servicios en nube donde la
instalación del agente no es posible
• También puede ser usado on-premise cuando la
instalación del agente no es deseable
• Los contenedores basados en Docker pueden ser
instalados manualmente o por medio de Kubernetes
• Solución orgánica basada en la tecnología S-TAP
• Intercepción de tráfico real-time TCP/IP SSL y texto claro
• El tráfico local puede ser monitoreado c/ reglas de DNS /
reglas de entrada
• Soporta BD en contenedores y DBaaS
• Redacción, bloqueo y alerta
• Fácil de integrar con el pipeline de SecDevOps
• Auto-deploy & auto-scale con Kubernetes
• Certificado en Docker y RHOS. Disponible en Docker Hub
• Soporta: AWS Aurora, Oracle RDS, MySQL, PostgreSQL,
SQL Server, SQL DW, Redshift, Redis, MongoDB,
MongoAtlas, MariaDB
• Para una lista actualizada consulte:
https://www.ibm.com/support/pages/node/6441975
External S-TAP – Protección de datos en nube híbrida

Beneficios:
• Gestión de contenedores simple
• Load Balancing integrado
• Auto deploy/restart
• Auto Scale

Kubernetes reduce el riesgo

(¡y el miedo!) de ejecutar un
servicio de proxy!
Monitoreo en la Nube: Datastreams y Logs Nativos
Logs Nativos
TCP/TLS • Fáciles de usar
• Costos extras para el almacenamiento
de logs
• Pasivo, no en tiempo real
• Datos limitados (sin fallas de SQL o de
result set)
• Soporte incluido:
• AWS Oracle RDS v11,12, 18 y 19
• Para una lista actualizada
consulte:
https://www.ibm.com/docs/en/guar
dium/11.4?topic=protection-cloud-
database-service-native-audit
Datastreams: AWS Kinesis & Azure Event Hub
• Fáciles de usar
• Depende de los proveedores de nube
• Soporte limitado a la BD
• Pasivo, no en tiempo real
• Datos limitados (sin fallas de SQL o de result set)
• Soporte incluido:
• AWS ➔ Oracle, Aurora MySQL y PostgreSQL
• Azure ➔ AzureSQL, Cosmos SQL, MomgoDB, Cassandra, Gremlin y Table
• Para una lista actualizada consulte: https://www.ibm.com/support/pages/node/6441975
Sniffer detallado: basado en agente o en proxy

Sniffer
0100 SELECT * FROM Verb: SELECT
0111 1 2 3 4
contacts; Object: contacts
0110

Agente Snif Analyzer Parser Logger

Organiza el Decodifica el Normaliza la Graba la actividad

tráfico tráfico bruto actividad procesada en disco
recibido (con base en la
(sesiones y Extrae el SQL Divide el SQL en política que define
pedidos partes que debe ser
dentro de las Aplica reglas (Comando, almacenada)
sesiones) de política Objeto, Verbo,
Campo, etc)
Sniffer detallado: sin agente

Sniffer
Data
Verb: SELECT
Stream 1 2 3 4
Object: contacts
o
Universal Snif Analyzer Parser Logger
Connector

Organiza el Aplica reglas Normaliza a Graba la actividad

tráfico recibido de política actividades procesada en
(sesiones y disco o la envía
pedidos dentro Divide el SQL en para el pipeline de
de las sesiones) partes ingestión (con
(Comando, base en la política
Normalmente Objeto, Verbo, que define que
documentos Campo, etc) debe ser
JSON almacenada)
Detalles de Universal Conector

Guardium
Data Guardium Universal Connector
(Logstash Pipeline) Sniffer
Source
Logstash Logstash Logstash
Input Plugin Filter Plugin Output Plugin

Setup para Analiza, filtra, Envía eventos en

comunicarse con modifica, un lenguaje que
la BD y eventos transforma y Guardium Sniffer
de pull (también enriquece entiende
puede recibir eventos en el
eventos de push) formato deseado

Docker Container
Disponibilidad de Universal Connector

26
Entrega y Uso de los Conectores

GitHub público para una Configuración de Guardium Insights

colaboración de la comunidad

Página de Git Hub del Universal Connector

https://github.com/IBM/universal-connectors
27
Licenciamiento CP4S
Guardium Data Protection
Vulnerability Assessment
Guardium Insights
Licenciamiento Cloud Pak for Security (CP4S)
Precio y packaging con base en Resource Units (RU’s)
Dos modelos de licenciamiento, un Part Number

ENTERPRISE: precios pensados para una escala corporativa.

En base al tamaño de la infraestructura de IT o en el tamaño y tipo de BDs a ser protegidas

Licenciado a través de Managed Virtual Servers (MVS)
ENTERPRISE Usuarios ilimitados
Acciones ilimitadas
Uso ilimitado de datos, para soluciones de threat management
Sin cargos de ingestión de datos
Licencia de suscripción disponible

USAGE: Precio escalable en base al consumo permite que los clientes comiencen de a
poco con usuarios y recursos iniciales y escalen fácilmente.

Capacidad de escalar el uso

USAGE Licenciado por Authorized User (AU), Events per Second (EPS), Flows per Minute (FPM) y/o
por Managed Virtual Processor Core (VPC)
Pague solo por lo que usted precisa
Licencia de subscripción disponible
CP4S - Tabla de Relación de RU’s – Todo en un único PN

Documento de referencia disponible en Seismic: IBM Cloud Pak for Security Pricing and Licensing FAQ.docx
https://ibm.seismic.com/Link/Content/DCdRpj7cdJ38b8QRdG2bQC39jqq3
CP4S – GEN 3 Parts Numbers
*Consulte al SQO para obtener los precios actualizados

CP4S Gen 3 100 Pak

Part Type Part # IBM Z Part #
(P) License + 1yr S&S D05M2ZX D05M9ZX
(P) Renewal E05M1ZX E05M8ZX
(P) Reinstate D05M6ZX D05MDZX
(S) Subscription D05M3ZX D05MAZX
(P) Trade Up D05M0ZX D05M7ZX
(S) Upgrade Subscription D05M4ZX D05MBZX
Disaster Recovery CP4S Gen 3 100 Pak
(P) License + 1yr S&S D05MGZX D05MNZX
(P) Renewal E05MFZX E05MMZX
(P) Reinstate D05MKZX D05MSZX
(S) Subscription D05MHZX D05MPZX
(P) Trade Up D05MEZX D05MLZX
(S) Upgrade Subscription D05MIZX D05MQZX

IBM Cloud Pak for Security 1.9

https://www.ibm.com/downloads/cas/LA-ENUSLP21-0494-CA/name/LA-ENUSLP21-0494-CA.PDF
Licenciamento Tradicional – Guardium Data Protection
Licencia Cobertura Métrica

Bases de datos relacionales: DB2, Oracle, MSSQL, Número de servidores o nodos

Data Protection for Databases
MySQL, etc activos
Appliances Oracle Exadata, SAP Hana, Teradata, etc Número de nodos activos en cluster
Data Protection for DataWarehouses

Hadoop y BDs No-SQL Número de nodos activos en cluster

Data Protection for Big Data

BDs as a services. Ex: Amazon RDS Número de cores de procesador

Data Protection for Database Services
utilizados para el servicio
Archivos en file server Número de servidores
Data Protection for Files

Todas las BDs soportadas Número de servidores

Vulnerability Assessment

Colectores Número de colectores

Collector

Agregadores o Central Managers Número de agregadores

Aggregator/Central Manager
¿Qué esta incluido en el licenciamiento de CP4S?
• IBM Security Guardium® Data Protection: ¡QUÉ NO ESTÁ INCLUIDO!:
• IBM Security Guardium Aggregator Software Appliance
• IBM Security Guardium Collector Software Appliance • Hardware appliance
• IBM Security Guardium Data Protection for Databases
• IBM Security Guardium Data Protection for Big Data • Guardium Data Encryption
• IBM Security Guardium Data Protection for Data Warehouses
• IBM Security Guardium Data Protection for Database Services • z/S-TAP
• IBM Security Guardium Data Protection for z/OS
• IBM Security Guardium Data Protection for SAP HANA • Guardium Key Lifecycle Manager
• IBM Security Guardium Data Protection for Files
• Guardium Data Protection for NAS
• IBM Security Guardium Vulnerability Assessment
• Guardium Vulnerability Assessment for Databases • Guardium Data Protection for Sharepoint

• IBM Security Guardium Insights

• Guardium Insights for IBM Cloud Pak for Security

Cloud Pak for Security part numbers and entitlement

https://www.ibm.com/docs/en/cloud-paks/cp-security/1.9?topic=installing-cloud-pak-security-part-numbers-entitlement
CP4S - Calculadora de RUs

Resource Unit Calculator - Cloud Pak for Security.XLSX

https://ibm.seismic.com/Link/Content/DCdRpj7cdJ38b8QRdG2bQC39jqq3
¿Cómo hacer un proceso de sizing
de licenciamiento y arquitectura?
Calculando los RUs para CP4S - Guardium

Tipo Data Center BD Detalles de la BD Cantidad

Etapa 1 - Trabaje con el On-premise DC1 MS SQL Server 14 8 vCPUs, 24 GB RAM 3
cliente para determinar
cuáles BDs ellos desean Iaas AWS MySQL 5.7.26 4 vCPUs, 8 GB RAM 2
proteger y donde éstas
residen (on-premise o DaaS AWS MySQL 8 12 vCPUs, 32 GB RAM 2

cloud).
El cliente demostró interés en utilizar:

• Guardium Data Protection

Planilla para recolección de información
• Vulnerability Assessment
Calculando los RUs para CP4S - Guardium

Etapa 2 – Con la
información provista para
el cliente, se llena la
planilla para calcular los
RUs
Arquitectura - Calculando la cantidad de Colectores y
Agregadores

Etapa 3 – A través de
SASC, podemos tener un
aproximado de la
arquitectura necesaria de
colectores y agregadores.
Fíjese que podemos tener
variaciones de
arquitectura, o sea, modelo
híbrido, cloud, on-premise,
DR y HA. Todo dependerá
de los requerimientos y de
cómo el cliente utiliza su
infraestructura.

IBM Security Assistant & Solution Center (SASC) - https://sasc.ibm.com

Materiales Disponibles
para partners
Materiales disponibles para Partners
Entrenamientos técnicos de la solución
• Security Learning Academy - https://www.securitylearningacademy.com/

Ambiente de DEMO y laboratorio

• IBM Technology Zone - https://techzone.ibm.com
• IBM Security Demo Central (Seismic)
✓ Click-through demos - Guardium Data Protection y Guardium Insights -
https://ibm.seismic.com/Link/Content/DChJh2Wfp44cRG2WVR7JXXTj6WRG

Herramientas de cotización de licencias y sizing

• Planilla de recolección de información del ambiente del cliente (en la carpeta de Box)
• Planilla de cálculo de RUs de CP4S - https://ibm.seismic.com/Link/Content/DCMkVvNNiFB0yjrjwjioNf2A
• IBM Security Assistant & Solution Center (SASC) - https://sasc.ibm.com

Documentación de la Solución
• Guardium Data Protection v11.4 - https://www.ibm.com/docs/en/guardium/11.4
• Supported Platforms and Requirements - https://www.ibm.com/support/pages/node/6441975
• Supported Database for DAM - https://www.securitylearningacademy.com/mod/data/view.php?id=19457
Dudas?
Agradecemos su participación
Síganos en:
ibm.com/security
securityintelligence.com
ibm.com/security/community
xforce.ibmcloud.com
@ibmsecurity
youtube.com/ibmsecurity
© Copyright IBM Corporation 2021. All rights reserved. The information contained in these materials is provided for
informational purposes only, and is provided AS IS without warranty, of any kind, express or implied. Any statement of
direction represents IBM’s current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM,
the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in
the United States, other countries or both. Other company, product, or service names may be trademarks or service marks
of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention,
detection and response to improper access from within and outside your enterprise. Improper access can result in
information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems,
including for use in attacks on others. No IT system or product should be considered completely secure and no single
product, service or security measure can be completely effective in preventing improper use or access. IBM systems,
products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve
additional operational procedures, and may require other systems, products or services to be most effective. IBM does not
warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious
or illegal conduct of any party.