Seguridad de aplicaciones y bases de datos con F5 BIG-IP ASM e IBM InfoSphere Guardium

Updated August 07, 2014

Introducción

La tecnología de la información reconoce que una defensa en profundidad es la mejor práctica para la protección de los sistemas. La defensa en profundidad refuerza la infraestructura y los sistemas mediante un enfoque de seguridad por capas. Los firewalls se sitúan en el extremo de la red y los mecanismos de seguridad suelen implementarse en cada segmento. Si los atacantes sortean la primera capa, la siguiente debería atraparlos.

En TI, emplear una estrategia de defensa en profundidad implica redundancia: colocar múltiples interaciones de un mecanismo defensivo en el camino del atacante. La resistencia que ofrece un firewall lo hace un componente de defensa fundamental pero, para lograr un sistema verdaderamente seguro, la fortificación debe basarse también en el contexto. Un sistema con contexto tiene en cuenta el entorno o las condiciones que rodean un evento para tomar una decisión informada sobre cómo aplicar la seguridad. Esta es una parte especialmente importante de la protección de una base de datos.

Según estos principios, F5 e IBM han ido más allá en su larga colaboración para ofrecer una mayor seguridad para las aplicaciones de bases de datos basadas en la web. La integración entre F5 BIG-IP Application Security Manager (ASM) e IBM InfoSphere Guardium proporciona información analítica más detallada sobre la seguridad de las aplicaciones y los ataques a las bases de datos (como la inyección de SQL y otros de los 10 ataques principales de OWASP) mediante informes correlacionados.

Seguridad contextual de la base de datos

Una base de datos es el principal repositorio y mecanismo de recuperación de los datos críticos de una empresa, por lo que proteger esa base de datos resulta crucial. A medida que el tráfico de las aplicaciones se desplaza por la web, los datos confidenciales quedan expuestos a nuevas vulnerabilidades y ataques a la seguridad. Existen tecnologías independientes que protegen contra los ataques a la web o a la base de datos, pero su desconexión entre sí significa que carecen de contexto. Las organizaciones necesitan una solución de seguridad de aplicaciones web y bases de datos de extremo a extremo para proteger los datos, los clientes y, en última instancia, el negocio.

La inyección de SQL es un ataque en el que el atacante inserta un código malicioso en una cadena que, a continuación, pasa a la base de datos y se ejecuta. Esto se consigue normalmente introduciendo una consulta de SQL o un guion de comando en un campo de entrada del usuario, como el campo de la contraseña. El atacante, básicamente, está tratando de eludir los servidores de la aplicación para manipular la base de datos directamente. Un ataque exitoso podría suponer únicamente una entrada no autorizada, o podría facilitar toda la base de datos que contiene nombres de usuario, contraseñas y otra información confidencial. Una solución típica de seguridad de bases de datos, que puede proteger contra un ataque de este tipo, no tiene la visibilidad necesaria para reunir información como el nombre del host del atacante, el nombre de usuario, la IP del cliente y el navegador. Aunque puede detectar que una determinada consulta de SQL no es válida, no puede descifrar quién ha realizado la solicitud.

Seguridad de extremo a extremo

En la solución combinada, BIG-IP ASM proporciona datos de seguridad del front-end de la aplicación, mientras que InfoSphere Guardium correlaciona esos datos con los suyos propios de la base de datos del back-end para facilitar los informes y la visibilidad que las empresas actuales necesitan para mantener la seguridad.

Un firewall de aplicaciones web (WAF), por el contrario, recoge información del lado del usuario para poder basar las decisiones de la política en el contexto del usuario. Un WAF supervisa cada solicitud y respuesta del navegador a la aplicación web, y consulta una política para determinar si permite la acción y los datos. Utiliza información como el usuario, la sesión, las cookies y otros datos contextuales para decidir si la solicitud es válida. Los WAF se centran principalmente en los ataques HTTP y HTTPS, y realizan un trabajo estupendo a la hora de frustrar ese tipo de tráfico malicioso. También pueden bloquear la mayoría de los ataques dirigidos a bases de datos que se inician a través de un navegador. Sin embargo, dada la complejidad de la detección de los ataques de inyección de SQL en el nivel de la aplicación web (es decir, la falta de contexto relacionado con SQL, la comprensión del protocolo SQL), los WAF no son una solución de prevención de inyección de SQL infalible. Existe la posibilidad de que se produzcan falsos positivos o que se pasen por alto ataques.

La respuesta es una solución conjunta de F5 e IBM que vincula un firewall de aplicaciones web con una solución de seguridad de bases de datos. La integración de F5 BIG-IP ASM e IBM InfoSphere Guardium ofrece la protección de bases de datos por la que es conocida IBM con la inteligencia contextual que se incorpora a todas las soluciones de F5. BIG-IP ASM proporciona los datos del front-end de la aplicación. InfoSphere Guardium correlaciona esos datos con los suyos propios de la base de datos del back-end para proporcionar los informes y la visibilidad que las empresas de hoy en día necesitan para mantener la seguridad.

El poder del trabajo conjunto de BIG-IP ASM e InfoSphere Guardium radica en la notificación consolidada de los ataques y la capacidad para establecer políticas en la capa de la aplicación web, que se coordinan en la capa de la base de datos. Con F5 e IBM, la base de datos de una empresa está protegida por una arquitectura de defensa en profundidad por capas, respaldada por la información contextual necesaria para tomar decisiones informadas e inteligentes sobre los incidentes de seguridad de la base de datos. Se trata de un enfoque integral que permite a las empresas adaptarse rápidamente frente a las amenazas cambiantes y que proporciona las capacidades de notificación y elaboración de informes necesarias para adecuarse a las normativas de auditoría y cumplimiento.

Protección de dos niveles, de extremo a extremo

La asociación entre F5 e IBM tiene un largo historial de producción de soluciones integradas. Por ejemplo, BIG-IP ASM ha sido durante mucho tiempo compatible con Security AppScan de IBM, anteriormente un producto de Rational que analiza las aplicaciones en busca de vulnerabilidades. BIG-IP ASM es un WAF avanzado que proporciona una protección completa en el extremo de la red contra una amplia variedad de ataques basados en la web. Analiza cada solicitud HTTP/HTTPS y bloquea los posibles ataques antes de que lleguen al servidor de aplicaciones web. IBM InfoSphere Guardium es la primera línea de defensa para las bases de datos, ya que proporciona una supervisión en tiempo real de la actividad de las bases de datos en la red. La tecnología basada en la gramática SQL, de gran precisión, bloquea las transacciones no autorizadas, lo que ayuda a evitar que los ataques lleguen a la base de datos. InfoSphere Guardium se implementa entre el servidor de aplicaciones web y la base de datos. Proporciona protección contra los ataques originados dentro o fuera de la red y funciona analizando la intención de las instrucciones SQL enviadas a la base de datos. No depende del reconocimiento de la sintaxis de las amenazas de seguridad conocidas, por lo que puede bloquear ataques no vistos anteriormente. Resulta fácil de implementar, ya que no requiere cambios en las aplicaciones ni en las bases de datos existentes.

Cómo funcionan BIG-IP ASM e InfoSphere Guardium juntos

BIG-IP ASM e IBM InfoSphere Guardium trabajan conjuntamente notificando las infracciones, previniendo la fuga de datos y proporcionando a los auditores la gobernanza que necesitan para el cumplimiento normativo.

Trabajar juntos para detectar y notificar infracciones

Cuando se detectan amenazas a los datos, la solución combinada supervisa, alerta o bloquea la amenaza, y la identidad del usuario se comparte entre BIG-IP ASM e InfoSphere Guardium. En el caso de una inyección de SQL maliciosa, InfoSphere Guardium bloquearía la inyección al instante y registraría la acción, pero no puede determinar quién ha tratado de realizar la infracción. BIG-IP ASM recoge el nombre de usuario, el cliente, el navegador, la información de la sesión, la hora, las cookies, la URL, la instrucción SQL, etc. A continuación, el motor de elaboración de informes de IBM correlaciona los datos de BIG-IP ASM con los suyos propios y genera un informe en el que se indica que ha habido un intento de infracción, con los datos críticos necesarios para determinar quién ha ocasionado el evento. Las alertas activadas y los informes detallados que lo acompañan proporcionan una notificación inmediata sobre el tipo y la gravedad de la amenaza.

Con dos fuentes de información, BIG-IP ASM e IBM InfoSphere Guardium, los datos correlacionados resultantes son más detallados, lo que hace que la creación de políticas sea más precisa y granular. Con este nivel de detalle, los usuarios maliciosos o aquellos usuarios comprometidos pueden ser aislados, se les puede obligar a volver a autenticarse o se les puede impedir el acceso a la aplicación en tiempo real. La solución de F5 e IBM puede prevenir, desviar o inutilizar los ataques subsiguientes del mismo usuario.

Figura 1: F5 BIG-IP ASM e IBM InfoSphere Guardium correlacionan los eventos de seguridad y los notifican.

Combinarse para evitar la fuga de datos

En el improbable caso de que la información se vea comprometida, BIG-IP ASM aborda el problema en el momento de la respuesta. La función Mask Data de BIG-IP ASM limpia automáticamente los datos confidenciales conforme pasan al usuario, lo que evita cualquier fuga de datos.

Por ejemplo, si un usuario malintencionado burlara el sistema y generara una solicitud de información de tarjeta de crédito a la base de datos, BIG-IP ASM bloquearía esa solicitud o depuraría la salida sustituyendo el número de tarjeta de crédito por asteriscos.

Informar juntos para ganar en cumplimiento

Cuando se utilizan con las herramientas de generación de informes de IBM InfoSphere Guardium, las funciones de prevención de fugas de datos y de detección de infracciones de BIG-IP ASM pueden resultar fundamentales para lograr o mantener el cumplimiento normativo. La elaboración de informes y las auditorías son criterios de primer orden para muchas de las normativas vigentes hoy en día, incluidas las normas del sector de las tarjetas de pago (PCI), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y la Ley Sarbanes-Oxley (SOX). Esta solución puede ayudar a garantizar que las empresas dispongan de la información de cumplimiento normativo más detallada.

Por último, una de las ventajas más significativas de esta solución es que puede proteger cualquier base de datos basada en SQL, incluidas las bases de datos IBM DB2, MySQL, PostgreSQL, Hadoop, Netezza, Oracle Database, Microsoft SQL Server y Sybase.

BIG-IP ASM protege el tráfico web, e IBM InfoSphere Guardium protege el tráfico de la base de datos. BIG-IP ASM pasa la información de inicio de sesión del usuario a InfoSphere Guardium. Si se produce una inyección de SQL, BIG-IP ASM envía todo el contexto del ataque a InfoSphere Guardium. La identidad del usuario ahora puede asociarse con el ataque en los informes, basándose en la sesión y en la cookie de sesión de BIG-IP ASM.

Conclusión

La integración de F5 BIG-IP ASM e IBM InfoSphere Guardium mejora la seguridad de las aplicaciones de bases de datos basadas en la web. Combinadas, las dos soluciones ofrecen a las empresas la protección en capas que los profesionales de la seguridad reconocen como la práctica recomendada, además de la información contextual necesaria para tomar decisiones inteligentes sobre qué medidas tomar cuando se intenta un ataque. La integración entre las soluciones ofrece a los clientes de F5 una mejor protección contra las inyecciones de SQL y a los clientes de bases de datos de IBM informes correlacionados para obtener una información analítica más detallada sobre los ataques de inyección de SQL.

La asociación entre F5 e IBM ha dado lugar a soluciones que permiten a las organizaciones crear infraestructuras de TI ágiles en línea con sus demandas empresariales. Con F5 e IBM, la información sensible de las bases de datos empresariales está siempre segura, disponible y lista para una rápida entrega.