5 mars 2015

Lorsqu’on parle de sécurité, les premiers éléments qui viennent en tête sont les firewalls, IPS/IDS, proxies ou encore les antivirus, les solutions APT et autres joyeusetés. Avec ça, il y a déjà de quoi se protéger un minimum.

Mais la richesse d’une entreprise n’est elle pas plutôt dans ses données? Les données produites, enrichies et utilisées au quotidien qui sont stockées communément dans des bases de données…ça vous rappelle quelque chose? Votre base de données client, de coordonnées bancaires, de mots de passe… Vos applications favorites comme Sharepoint qui s’appuient elles aussi sur des bases de données… Les exemples sont nombreux.

L’actualité ne cesse de mettre en avant ces failles avec des quantités faramineuses de comptes volés ou encore de gros soucis de configurations de la part des administrateurs de bases de données. Dernier exemple en date, MongoDB qui autorise l’accès par défaut au localhost (bindIp 127.0.0.1) mais qui est généralement supprimé pour plus de commodités ce qui a pour effet…de l’ouvrir à tout le monde : 40 000 bases de données touchées !

Aujourd’hui, je vais donc vous donner quelques éléments sur la protection de vos bases de données afin d’éviter quelques déconvenues 🙂

 

Qu’est-ce qu’un pare-feu de base de données?

Les pare-feux de base de données sont de la même famille que les pare-feux d’applications web (WAF) et surveillent les bases de données pour identifier et protéger contre les attaques spécifiques visant à accéder à des informations sensibles stockées dans les bases de données. Ils permettent également de surveiller et d’auditer tous les accès aux bases de données et de générer des rapports de conformité comme PCI, SOX, etc.

Plusieurs modes de déploiement sont possibles via :

  • des appliances
    • inline : devant le serveur de base de données ou au niveau de la gateway si plusieurs serveurs sont à sécuriser permettant ainsi de sécuriser et auditer les serveurs
    • tap : via un port-mirroring, le trafic est simplement analysé permettant d’auditer les bases
  • des agents installés sur le serveur de base de données pour surveiller les événements de bases de données locales et contrôler les accès administrateurs.

Bien évidemment, il est possible de faire travailler agents et appliances en même temps pour contrôler aussi bien les accès via le vlan de production que les accès administrateurs.

 

Comment le pare-feu de base de données protège les bases de données?

Ils comprennent un ensemble de politiques de sécurité prédéfinies et personnalisables pour identifier les attaques de base de données basées via des signatures. Ainsi, les requêtes SQL entrantes sont comparées aux signatures, qui sont mis à jour fréquemment par les fournisseurs pour identifier les attaques connues sur la base de données.

Mais toutes les attaques sur les bases de données ne peuvent être connues. Les pare-feux de base de données construisent – à la manière d’un WAF – une liste blanche des requêtes SQL approuvées. Toutes les requêtes entrantes sont donc également comparées à cette liste blanche et sont droppées si elles ne correspondent pas au comportement appris.

Injection SQL et Buffer Overflow sont deux types d’attaques de base de données couramment utilisées et les pare-feux de base de données peuvent facilement les bloquer. Parfois, le vol de credentials peut entraîner des tentatives de piratage de bases de données, mais vu que les pare-feux de base de données surveillent les activités irrégulières en permanence, ces tentatives peuvent être identifiées.

 

Bonnes pratiques pour la sécurité de base de données:

  • Les comptes inutilisés devraient être supprimés et les comptes partagés doivent être évités pour l’accès aux bases
  • Crypter le contenu des bases, spécialement si du contenu sensible y est stocké
  • Les privilèges doivent être adaptés en fonction du type de compte (lecture seule vs. Insertion/suppression de contenu)
  • L’accès aux utilisateurs privilégiés devrait être contrôlés et restreint à certaines portions de la base de données
  • Il peut être préférable de mettre à jour le contenu de la base de données via les applications autorisées seulement plutôt que de mettre à jour la base directement
  • Utiliser une authentification externe (LDAP/RADIUS) plutôt que locale et adapter les droits en fonction des groupes d’appartenance

IMP-database

 

Imperva propose via ses appliances Securesphere un ensemble de fonctionnalités permettant :

  • D’enregistrer tous les accès aux données sensibles
  • De signaler ou de bloquer les attaques aux bases de données et les activités non autorisées en temps réel
  • De détecter les vulnérabilités des bases de données et appliquer des correctifs virtuels
  • D’identifier les droits d’accès excessifs et les utilisateurs dormants, et permettre un cycle de validation complet des droits
  • D’accélérer la gestion des incidents et les enquêtes post-mortem avec des analyses avancées
Partager :

Auteurs