Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Dringeblieben, oder ich schieße

Test: Datenbank-Extrusion-Prevention-Systeme (DBEP)

Dringeblieben, oder ich schieße

1. März 2008, 11:08 Uhr |
Fortsetzung des Artikels von Teil 1

Dringeblieben, oder ich schieße (Fortsetzung)

Pyn Logic Enzo 2006

Unternehmen installieren Datenbank-Extrusion-Monitore aus viele Gründen: Bedrohungen durch Insider, Datenlecks durch fehlerhafte Web-Applikationen, Angriffe von außen, oder einfach Compliance. Pyn Logic möchte all dies abdecken und preist ihr Enzo-2006 als Universallösung an. Die Funktionen reichen von DBEP bis zu feinfühliger Zugriffssteuerung für Datenbankserver. Um dies zu erreichen, sitzt Enzo zwischen den Clients und dem Datenbankserver und arbeitet als Proxy für alle Verbindungen in beide Richtungen.

Da Enzo auf Software basiert, unterscheidet es sich vom üblichen DBEP-Appliance-Modell – und das ist nicht immer gut. Vorteilhaft ist diese Lösung aber für IT-Abteilungen, die nicht noch eine weitere Black-Box in den Serverraum quetschen können, oder für Organisationen, die an Virtualisierung interessiert sind. Enzo läuft unter Windows, für Testzwecke wurde das Produkt also auf einem Windows-Server-2003-System installiert.

Enzo akzeptiert, verarbeitet und sendet Anfragen direkt. Der Prozess ist zwar für den Client vollkommen transparent, macht Enzo aber auch zu einem Single-Point-of-Failure, der den Zugriff auf Datenbankserver verhindern könnte. Außerdem könnte die Box unter hoher Last zu einem Performance-Flaschenhals werden. Vor dem Kauf sind gründliche Tests angesagt.

Enzo besteht aus drei treffend bezeichneten Komponenten: einer Director-Management-Schnittstelle fürs Monitoring und die Administration, einem Windows-Dienst, der einen Port abhört und das Management der Engine vom Director aus ermöglicht, und einer Engine-Proxy- und Enforcement-Komponente, die mit den im Director definierten Regeln arbeitet.

Enzo verlangt weder Baselines noch Geschäftslogik oder erweitertes Wissen über die zu Grunde liegende Datenbankstruktur. Das Produkt setzt basierend auf MAC- oder IP-Adressen, einem vom Administrator definierten Schedule, der Client-Identität oder der Applikation einfach die eingestellten Regeln durch. Man kann sich das eher als eine Stateful-Datenbank-Firewall vorstellen, weniger als ein Pakete untersuchendes IPS oder IDS. Der Administrator erledigt die schweren Regeldefinitionen. Ein wenig Hilfe erhält er dabei von den auf Hosts oder dem Netzwerk basierenden ACLs.

Die einzigartige Feature-Sammlung des Produkts dreht sich um die Client-Authentifizierung. Der Administrator definiert Zugriffsrechte über ein Alias, das sich völlig von dem in der Datenbank selbst verwendeten unterscheiden kann. Nehmen wir einmal an, der Client-Zugriff ist in Enzo unter Verwendung des in Active-Directory existierenden Kontos »John Doe« definiert. Greift der Client nun durch Enzo als John Doe auf die Datenbank zu, übersetzt Enzo die Verbindung in eine andere Client-Identität, um die Transaktion durchzuführen. Das ist nützlich, wenn Applikationen, die mehrere IDs nutzen, über ein einzelnes Konto mit der Datenbank kommunizieren, das Unternehmen aber trotzdem eine genaue Protokollierung aller Client-Aktivitäten benötigt. Enzo erledigt die Übersetzung und liefert einen Audit-Trail.

Das Produkt unterstützt die Zwei-Faktoren-Authentifikation mit RSA und Cryptocard. Für den Test stand ein Kit von Cryptocard zur Verfügung. Das zusätzliche Setup war nicht der Rede wert. Der einzige Nachteil dieser Lösung mit dem Client-Alias und der Zwei-Faktoren-Authentifizierung ist, dass das Produkt Oracle nicht unterstützt.

Enzo unterstützt wie Securesphere die Benachrichtigung via Syslog und SMTP-Server. Sind auf den empfangenden Servern gescheite Filter und Regeln eingerichtet, können Administratoren bösartige Aktivitäten fast in Echtzeit erkennen. Enzo protokolliert alle Ereignisse über eine ODBC-Verbindung auch in einer Datenbank.

Die eingebauten Berichtsfähigkeiten sind schlicht, das Produkt bietet aber eine schnelle Übersicht, was aktuell mit jeder Enzo-Engine vor sich geht. Die meisten Unternehmen werden einen Security-Information-Manager (SIM) einrichten, um die durch Syslog oder ODBC verfügbaren Logs zu nutzen.

Kleinere Organisationen werden Enzo-2006 passend finden. Ihnen liefert das Produkt feingliedrigen Client-Zugriff, Konto-Aliasing und eine zusätzliche Schicht Sicherheit zwischen Clients und Datenbankservern. Dem Produkt fehlen aber Features, beispielsweise SSL-Verschlüsselung, Regeln für die Entdeckung aktueller Datenlecks und eine automatische Aufzählung von Datenbanken, Clients und Nutzungsmustern. Unternehmen mit einer riesigen Anzahl von Datenbanken und mehreren Tausend Clients werden bei Enzo einige vermissen.

  1. Dringeblieben, oder ich schieße
  2. Dringeblieben, oder ich schieße (Fortsetzung)
  3. Guardium SQL Guard
  4. Crossroads StrongBox DB Protector
  5. Dringeblieben, oder ich schieße (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Xelion GmbH

Xelion GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
easybell GmbH

easybell GmbH
Securepoint GmbH

Securepoint GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
Vodia Networks GmbH

Vodia Networks GmbH