縱觀全球數(shù)據(jù)庫安全態(tài)勢,關(guān)系型數(shù)據(jù)庫2017年持續(xù)成為數(shù)據(jù)竊取者的主要目標�,而大數(shù)據(jù)平臺的建立與發(fā)展(如Hadoop,NoSQL數(shù)據(jù)庫和DBaaS等)更加劇了數(shù)據(jù)安全風險�����。
Gartner發(fā)布“2017全球數(shù)據(jù)庫安全市場趨勢報告”(以下簡稱“報告”),對全球數(shù)據(jù)庫安全風險����,應對技術(shù)以及未來發(fā)展趨勢進行了深度剖析,數(shù)據(jù)泄露或篡改風險可能導致企業(yè)面臨無法通過審計導致的資產(chǎn)負債����,監(jiān)管罰款,盈利受損或客戶投訴等諸多負面影響�。基于報告中的研究結(jié)果����,技術(shù)戰(zhàn)略規(guī)劃者需要重新評估其數(shù)據(jù)庫的安全狀況。
數(shù)據(jù)庫安全發(fā)展幾大趨勢:
很少有數(shù)據(jù)庫安全產(chǎn)品能夠適應越來越復雜應用場景�����,這些場景可能涉及關(guān)系數(shù)據(jù)庫管理系統(tǒng)(RDBMS)�,Hadoop,NoSQL和數(shù)據(jù)庫即服務(DBaaS)���。
數(shù)據(jù)庫遷移到云上���,用戶對云端數(shù)據(jù)安全性以及如何管理更為關(guān)心��。
除了DAP之外��,數(shù)據(jù)庫安全中如加密�,脫敏���,正在越來越受歡迎����,以應對快速變化的安全合規(guī)要求���。
用戶當今面臨的最常見的數(shù)據(jù)庫安全威脅
SQL注入攻擊:利用數(shù)據(jù)庫自身的漏洞發(fā)起攻擊
緩沖區(qū)溢出:目前最為普遍的數(shù)據(jù)庫漏洞之一
默認設置或弱口令:可能被黑客或內(nèi)部人員惡意利用
配置錯誤:一些可能形成安全風險的配置項
用戶帳戶破壞:這可能是指黑客或內(nèi)部人員對低權(quán)限賬戶或默認賬戶的惡意或非法操作
數(shù)據(jù)所在地 - 各種數(shù)據(jù)隱私,健康�,財務和信用卡的相關(guān)規(guī)定需要對數(shù)據(jù)訪問進行限定,對數(shù)據(jù)泄露事件進行通知�����。
企業(yè)和組織對哪些數(shù)據(jù)保護技術(shù)更加關(guān)注�����?
根據(jù)Gartner的2016年最終用戶安全支出調(diào)查, 52%的受訪者表示計劃實施DCAP和DLP�����,同時��,53%有意實施UEBA���,42%計劃在未來兩年實施CASB�����。用戶對這些技術(shù)的興趣越來越大��,主要是由于組織對數(shù)據(jù)保護日益增長的關(guān)注����,以及遵守諸如歐盟“一般數(shù)據(jù)保護條例”(GDPR)等更強的法規(guī)���。
提供給用戶的數(shù)據(jù)庫安全建議:
1�����、將DCAP�、DAP及DLP 集成,以獲得更安全的數(shù)據(jù)庫
大數(shù)據(jù)平臺�����,云SaaS和云計算IaaS環(huán)境的出現(xiàn)正在推動企業(yè)回顧他們的安全策略�����,而過去他們只需要專注于傳統(tǒng)RDBMS和文件服務器����。可選的途徑是有限的�,并且由于許多組織的數(shù)據(jù)環(huán)境的孤立性質(zhì),它們?nèi)狈Π踩呗缘囊恢滦院屯叫?���。DCAP(data-centric audit and protection )以數(shù)據(jù)為中心的審計和保護)可以使組織能夠跨非結(jié)構(gòu)化,半結(jié)構(gòu)化和結(jié)構(gòu)化的存儲庫或類別�����,集中管理數(shù)據(jù)安全策略和訪問控制��。DCAP工具還可以對敏感數(shù)據(jù)集進行分類和發(fā)現(xiàn)���。此外���,可以通過集中管理和監(jiān)視用戶和管理員的權(quán)限和活動來訪問敏感數(shù)據(jù)。讓DCAP基于數(shù)據(jù)安全治理(DSG)策略基礎(chǔ)上�,為企業(yè)提供數(shù)據(jù)保護各環(huán)節(jié)上的核心能力。
Gartner總結(jié)的DCAP在數(shù)據(jù)保護的各個環(huán)節(jié)提供的核心功能
提供一個單一的管理控制臺��,使數(shù)據(jù)安全策略應用和流程策略可以跨越多個數(shù)據(jù)存儲庫(這里稱為數(shù)據(jù)倉庫)�����。
能夠在所有數(shù)據(jù)孤島分類和發(fā)現(xiàn)敏感數(shù)據(jù); RDBMS或數(shù)據(jù)倉庫; 非結(jié)構(gòu)化數(shù)據(jù)文件格式; 半結(jié)構(gòu)化格式��,如SharePoint; 半結(jié)構(gòu)文件共享平臺�����,如Hadoop; 以及SaaS或基礎(chǔ)設施即服務(IaaS)環(huán)境中的云存儲����。
設置和監(jiān)控特殊用戶身份(包括高權(quán)限用戶,如管理員和開發(fā)人員)訪問數(shù)據(jù)的權(quán)限�。
通過可定制的安全預警來監(jiān)測用戶實時訪問數(shù)據(jù)的行為����,阻止不可接受的用戶行為���、訪問類型�����、或物理訪問�。
創(chuàng)建用戶可訪問數(shù)據(jù)和安全事件的審計報告���,其中可定制的詳細信息可以滿足明確的管理規(guī)定或標準的審計流程要求�����。
防止個別用戶和管理員訪問特定的數(shù)據(jù)�����。這也可以通過加密���,令牌標記化,脫敏��,校正或阻止來實現(xiàn)��。
DCAP核心功能的總結(jié)
DAP(Data Audit and Protection)——作為DCAP的關(guān)鍵類別組成���,因為其提供了數(shù)據(jù)庫中發(fā)生的活動的警報和報告�。技術(shù)功能包括對數(shù)據(jù)庫的發(fā)現(xiàn)和分類�,漏洞管理,應用關(guān)聯(lián)分析��,入侵防御��,對非結(jié)構(gòu)化數(shù)據(jù)安全性的支持��,身份和訪問管理集成以及風險管理支持����。
DLP(Data leakage prevention)——提供對敏感數(shù)據(jù)的可見性,無論是在端點上使用�,在網(wǎng)絡上運動還是靜止在文件共享上。使用DLP���,組織可以實時保護從端點或電子郵件中提取的非結(jié)構(gòu)化數(shù)據(jù)���。DLP工具不用于掃描和分類數(shù)據(jù)庫內(nèi)的數(shù)據(jù)��。DCAP和DLP之間的根本區(qū)別在于DCAP工具更多地側(cè)重于組織內(nèi)用戶訪問的數(shù)據(jù)���,而DLP更側(cè)重于將離開組織的數(shù)據(jù)。
數(shù)據(jù)加密——考慮性能和成本��,企業(yè)傾向只為最敏感的數(shù)據(jù)保存進行數(shù)據(jù)庫加密���。在加密方法上戶還關(guān)心保格式加密和無鑰匙加密等技術(shù)����,加密密鑰和休眠數(shù)據(jù)的令牌問題也是令用戶頭痛的問題�����。
數(shù)據(jù)脫敏——數(shù)據(jù)脫敏技術(shù)旨在防止濫用敏感數(shù)據(jù)���,該技術(shù)為用戶提供虛構(gòu)且實用的數(shù)據(jù)�,與加密和令牌標記化不同����,它是一種不可逆過程,其中數(shù)據(jù)經(jīng)歷單向轉(zhuǎn)換。反過來�����,數(shù)據(jù)不能通過篡改來顯示����,因為它是自動化的����,而不是基于授權(quán)。這些方法已被金融部門廣泛采用�����。此外�,其他行業(yè)(如醫(yī)療保健,政府和石油和天然氣)的用戶對脫敏的興趣也在增長�����。
2�����、數(shù)據(jù)庫遷移云端后的安全考慮
云數(shù)據(jù)庫云服務的日益普及�,對數(shù)據(jù)庫安全環(huán)境產(chǎn)生了重大影響��。今天的數(shù)據(jù)庫安全客戶期望靈活的部署選項��,并希望能夠在具備本地部署����、云端部署和混合部署的產(chǎn)品中進行選擇���。為此��,數(shù)據(jù)庫安全市場中的更多廠商正在開發(fā)和引入基于云版本的服務�?��?纯慈ツ曛饕漠a(chǎn)品開發(fā)公告�����,數(shù)據(jù)庫安全廠商清楚地看到了提供超越本地部署的選項的巨大價值����。
雖然越來越多的數(shù)據(jù)庫服務正在向云端轉(zhuǎn)移�,但類似線下的數(shù)據(jù)安全策略一樣需要。遷移到云可以降低成本��;然而��,如果沒有合適的安全產(chǎn)品����,這些節(jié)省的成本很可能被抵銷掉���。DBaaS是一個不錯的選擇,然而�����,許多組織在綜合評估后覺得無法采用��;常見的原因是由于安全性要求��,基于云的數(shù)據(jù)庫服務在安全上的能力不足�。一些DBaaS平臺開始提供平臺自身的數(shù)據(jù)安全保護、檢測以及數(shù)據(jù)驅(qū)動的安全功能(例如�,Microsoft Azure SQL和Amazon Redshift)。然而�����,更復雜的功能如訪問權(quán)限分析,DCAP�����,數(shù)據(jù)脫敏��,集中管控等�,只能通過云平臺之外的獨立第三方服務商提供。
本文由9年專注數(shù)據(jù)安全的安華金和���,根據(jù)Gartner《Market Trends: Database Security, Worldwide, 2017 》編譯分析����,撰寫成稿�,為廣大安全從業(yè)者提供參考,如需轉(zhuǎn)載����,請注明出處。
產(chǎn)品咨詢:4000 258 365 
