Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entrenamiento - Guardium Data Protection
Entrenamiento - Guardium Data Protection
Guardium Data
Protection
Visión general de la
Solución
Estuardo Romero
Security Technical Specialist
IBM Security Guardium: Modern Data Security Consulting, Systems
Integration, and Managed
Discover Protect Analyze Respond Comply Security Services
Data Security Hub: Guardium Insights for Cloud Pak for Security
Data Security Strategy
datos sensibles
Bloqueo de
Actividades Análisis
Alertas
Agente de Monitoreo
Overview Técnico de
Guardium Data Protection
Arquitectura de Escaneo
Database Discovery Servidor de Datos
Escaneo de puertos de red
Data Classification
DBMS
Conexiones con la BD
Config
Vulnerability Analysis File
CAS Agent
• DESCUBRE
• MONITOREA
• PROTEGE
Guardium
Agentes S-TAP • AUTOMATIZA
• Visibilidad de la red y de la conexión local • Sin hardware adicional y menor costo de implementación
• Separa el monitoreo de seguridad de la gestión de modificación • El tráfico especifico puede ser filtrado para que no todo el tráfico
de bases de datos sea enviado al Colector.
• Soporta tráfico encriptado:
✓ SSH/IPSEC, Oracle ASO, SQL Server SSL ✓ Esto reduce significativamente la carga de la red.
• No requiere ningún cambio de ambiente en la base de datos • Menos de 5% de impacto en el desempeño del servidor de datos
• Instalado solo una vez en cada sistema, independientemente de
cuantas instancias y tipos de bases de datos estén en ejecución
Arquitectura con Múltiples Colectores
Arquitectura Altamente Escalable y Disponible S-TAPs
o Load Balancing
o Fail-over
Colectores o Redundancia
o Capturan y analizan en tiempo real
S-TAP
o Aplicación de las políticas
DB2
o Scanning
IMS
Collectors Data Sets
Collectors
Aggregator
Central Manager
Collectors
Aggregator
Central Manager
Agregadores o Funciones de gestión centralizadas
o Colectan datos de reportes desde múltiples Collectors o Salud del ambiente
colectores u otros agregadores o Aplicación de parches/actualizaciones
10
o Provee visibilidad entre los colectores o Gestión de políticas
o Reduce la carga de registros de los colectores o Puede funcionar como CM y agregador
o autónomo
Arquitectura & Sizing
Referencia a la documentación:
https://www.ibm.com/support/pages/node/6481035
Flujo entre S-TAP y Guardium Collector
STAP hace una copia de la
información y envía el Guardium
appliance para Guardium Collector
Servidor de
base de STAP Sniffer
datos
Sniffer analiza, normaliza y registra los
Sniffer puede
datos apropiados en un repositorio
enviar señales de
interno
control para STAP
STAP Sniffer
Sniffer recibe todo el tráfico de BD
Servidor de BD del STAP, entonces analiza, hace el
Actividades del cliente de BD Actividades del servidor de BD parsing y registra los datos
para el servidor de BD para el cliente de BD
Client/Server network
Client/Server network Failed Login connections
connections Messages
Sessions
Session starts (log in) SQL Errors (log in / log out)
SQL Requests
Result sets SQL Requests
(commands)
(commands)
Session ends (log out)
SQL Errors
Native
Audit Universal
Logs Connector Sniffer
Docker Guardium
¿Qué captura?
La BD graba o envía logs Hace Pull (o recibe
para su almacenamiento Sesiones: quién o qué está vía Push) de logs de
intercambiando datos con la BD la BD
Puede afectar el desempeño Requests: cuáles datos están siendo
porque la BD trabaja más accedidos y quien está accediendo Transforma los
logs en un
Puede impactar los Erros: que excepciones ocurren formato
requisitos de universal que
almacenamiento y los costos Result sets: qué datos están siendo Sniffer entiende
enviados al cliente a partir de un
request
Monitoreo basado en proxy
01000111 01110101 …
Server
Agent (proxy) 01000111 01110101 01100001 01110010 …
01000111 01110101 …
Client Docker Sniffer
Guardium Guardium
¿Qué captura?
Proxy liviano que Sesiones: quién o qué está Hace el “trabajo
hace una copia del intercambiando datos con la pesado”
trafico de la BD BD
Analiza
Sin impacto en el Requests: cuáles datos están
continuamente el
servidor de la BD siendo accedidos y quien está
tráfico recibido de
accediendo
los agentes
Leve impacto en el Erros: que excepciones
tráfico ocurren Controla los agentes
Result sets: qué datos están en base a políticas
siendo enviados al cliente a
partir de un request
Para cumplir con varios casos de uso de protección de BDs críticas usted precisa de
flexibilidad para la recolección de datos
Beneficios:
• Gestión de contenedores simple
• Load Balancing integrado
• Auto deploy/restart
• Auto Scale
Sniffer
0100 SELECT * FROM Verb: SELECT
0111 1 2 3 4
contacts; Object: contacts
0110
Sniffer
Data
Verb: SELECT
Stream 1 2 3 4
Object: contacts
o
Universal Snif Analyzer Parser Logger
Connector
Guardium
Data Guardium Universal Connector
(Logstash Pipeline) Sniffer
Source
Logstash Logstash Logstash
Input Plugin Filter Plugin Output Plugin
Docker Container
Disponibilidad de Universal Connector
26
Entrega y Uso de los Conectores
USAGE: Precio escalable en base al consumo permite que los clientes comiencen de a
poco con usuarios y recursos iniciales y escalen fácilmente.
Documento de referencia disponible en Seismic: IBM Cloud Pak for Security Pricing and Licensing FAQ.docx
https://ibm.seismic.com/Link/Content/DCdRpj7cdJ38b8QRdG2bQC39jqq3
CP4S – GEN 3 Parts Numbers
*Consulte al SQO para obtener los precios actualizados
cloud).
El cliente demostró interés en utilizar:
Etapa 2 – Con la
información provista para
el cliente, se llena la
planilla para calcular los
RUs
Arquitectura - Calculando la cantidad de Colectores y
Agregadores
Etapa 3 – A través de
SASC, podemos tener un
aproximado de la
arquitectura necesaria de
colectores y agregadores.
Fíjese que podemos tener
variaciones de
arquitectura, o sea, modelo
híbrido, cloud, on-premise,
DR y HA. Todo dependerá
de los requerimientos y de
cómo el cliente utiliza su
infraestructura.
Documentación de la Solución
• Guardium Data Protection v11.4 - https://www.ibm.com/docs/en/guardium/11.4
• Supported Platforms and Requirements - https://www.ibm.com/support/pages/node/6441975
• Supported Database for DAM - https://www.securitylearningacademy.com/mod/data/view.php?id=19457
Dudas?
Agradecemos su participación
© Copyright IBM Corporation 2021. All rights reserved. The information contained in these materials is provided for
Síganos en: informational purposes only, and is provided AS IS without warranty, of any kind, express or implied. Any statement of
direction represents IBM’s current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM,
the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in
ibm.com/security the United States, other countries or both. Other company, product, or service names may be trademarks or service marks
of others.
securityintelligence.com Statement of Good Security Practices: IT system security involves protecting systems and information through prevention,
detection and response to improper access from within and outside your enterprise. Improper access can result in
information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems,
including for use in attacks on others. No IT system or product should be considered completely secure and no single
ibm.com/security/community product, service or security measure can be completely effective in preventing improper use or access. IBM systems,
products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve
additional operational procedures, and may require other systems, products or services to be most effective. IBM does not
xforce.ibmcloud.com warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious
or illegal conduct of any party.
@ibmsecurity
youtube.com/ibmsecurity