縱觀全球數(shù)據(jù)庫(kù)安全態(tài)勢(shì),關(guān)系型數(shù)據(jù)庫(kù)2017年持續(xù)成為數(shù)據(jù)竊取者的主要目標(biāo),而大數(shù)據(jù)平臺(tái)的建立與發(fā)展(如Hadoop,NoSQL數(shù)據(jù)庫(kù)和DBaaS等)更加劇了數(shù)據(jù)安全風(fēng)險(xiǎn)。
Gartner發(fā)布“2017全球數(shù)據(jù)庫(kù)安全市場(chǎng)趨勢(shì)報(bào)告”(以下簡(jiǎn)稱“報(bào)告”),對(duì)全球數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn),應(yīng)對(duì)技術(shù)以及未來(lái)發(fā)展趨勢(shì)進(jìn)行了深度剖析,數(shù)據(jù)泄露或篡改風(fēng)險(xiǎn)可能導(dǎo)致企業(yè)面臨無(wú)法通過(guò)審計(jì)導(dǎo)致的資產(chǎn)負(fù)債,監(jiān)管罰款,盈利受損或客戶投訴等諸多負(fù)面影響?;趫?bào)告中的研究結(jié)果,技術(shù)戰(zhàn)略規(guī)劃者需要重新評(píng)估其數(shù)據(jù)庫(kù)的安全狀況。
數(shù)據(jù)庫(kù)安全發(fā)展幾大趨勢(shì):
很少有數(shù)據(jù)庫(kù)安全產(chǎn)品能夠適應(yīng)越來(lái)越復(fù)雜應(yīng)用場(chǎng)景,這些場(chǎng)景可能涉及關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)(RDBMS),Hadoop,NoSQL和數(shù)據(jù)庫(kù)即服務(wù)(DBaaS)。
數(shù)據(jù)庫(kù)遷移到云上,用戶對(duì)云端數(shù)據(jù)安全性以及如何管理更為關(guān)心。
除了DAP之外,數(shù)據(jù)庫(kù)安全中如加密,脫敏,正在越來(lái)越受歡迎,以應(yīng)對(duì)快速變化的安全合規(guī)要求。
用戶當(dāng)今面臨的最常見(jiàn)的數(shù)據(jù)庫(kù)安全威脅
SQL注入攻擊:利用數(shù)據(jù)庫(kù)自身的漏洞發(fā)起攻擊
緩沖區(qū)溢出:目前最為普遍的數(shù)據(jù)庫(kù)漏洞之一
默認(rèn)設(shè)置或弱口令:可能被黑客或內(nèi)部人員惡意利用
配置錯(cuò)誤:一些可能形成安全風(fēng)險(xiǎn)的配置項(xiàng)
用戶帳戶破壞:這可能是指黑客或內(nèi)部人員對(duì)低權(quán)限賬戶或默認(rèn)賬戶的惡意或非法操作
數(shù)據(jù)所在地 - 各種數(shù)據(jù)隱私,健康,財(cái)務(wù)和信用卡的相關(guān)規(guī)定需要對(duì)數(shù)據(jù)訪問(wèn)進(jìn)行限定,對(duì)數(shù)據(jù)泄露事件進(jìn)行通知。
企業(yè)和組織對(duì)哪些數(shù)據(jù)保護(hù)技術(shù)更加關(guān)注?
根據(jù)Gartner的2016年最終用戶安全支出調(diào)查, 52%的受訪者表示計(jì)劃實(shí)施DCAP和DLP,同時(shí),53%有意實(shí)施UEBA,42%計(jì)劃在未來(lái)兩年實(shí)施CASB。用戶對(duì)這些技術(shù)的興趣越來(lái)越大,主要是由于組織對(duì)數(shù)據(jù)保護(hù)日益增長(zhǎng)的關(guān)注,以及遵守諸如歐盟“一般數(shù)據(jù)保護(hù)條例”(GDPR)等更強(qiáng)的法規(guī)。
提供給用戶的數(shù)據(jù)庫(kù)安全建議:
1、將DCAP、DAP及DLP 集成,以獲得更安全的數(shù)據(jù)庫(kù)
大數(shù)據(jù)平臺(tái),云SaaS和云計(jì)算IaaS環(huán)境的出現(xiàn)正在推動(dòng)企業(yè)回顧他們的安全策略,而過(guò)去他們只需要專注于傳統(tǒng)RDBMS和文件服務(wù)器??蛇x的途徑是有限的,并且由于許多組織的數(shù)據(jù)環(huán)境的孤立性質(zhì),它們?nèi)狈Π踩呗缘囊恢滦院屯叫?。DCAP(data-centric audit and protection )以數(shù)據(jù)為中心的審計(jì)和保護(hù))可以使組織能夠跨非結(jié)構(gòu)化,半結(jié)構(gòu)化和結(jié)構(gòu)化的存儲(chǔ)庫(kù)或類別,集中管理數(shù)據(jù)安全策略和訪問(wèn)控制。DCAP工具還可以對(duì)敏感數(shù)據(jù)集進(jìn)行分類和發(fā)現(xiàn)。此外,可以通過(guò)集中管理和監(jiān)視用戶和管理員的權(quán)限和活動(dòng)來(lái)訪問(wèn)敏感數(shù)據(jù)。讓DCAP基于數(shù)據(jù)安全治理(DSG)策略基礎(chǔ)上,為企業(yè)提供數(shù)據(jù)保護(hù)各環(huán)節(jié)上的核心能力。
Gartner總結(jié)的DCAP在數(shù)據(jù)保護(hù)的各個(gè)環(huán)節(jié)提供的核心功能
提供一個(gè)單一的管理控制臺(tái),使數(shù)據(jù)安全策略應(yīng)用和流程策略可以跨越多個(gè)數(shù)據(jù)存儲(chǔ)庫(kù)(這里稱為數(shù)據(jù)倉(cāng)庫(kù))。
能夠在所有數(shù)據(jù)孤島分類和發(fā)現(xiàn)敏感數(shù)據(jù); RDBMS或數(shù)據(jù)倉(cāng)庫(kù); 非結(jié)構(gòu)化數(shù)據(jù)文件格式; 半結(jié)構(gòu)化格式,如SharePoint; 半結(jié)構(gòu)文件共享平臺(tái),如Hadoop; 以及SaaS或基礎(chǔ)設(shè)施即服務(wù)(IaaS)環(huán)境中的云存儲(chǔ)。
設(shè)置和監(jiān)控特殊用戶身份(包括高權(quán)限用戶,如管理員和開(kāi)發(fā)人員)訪問(wèn)數(shù)據(jù)的權(quán)限。
通過(guò)可定制的安全預(yù)警來(lái)監(jiān)測(cè)用戶實(shí)時(shí)訪問(wèn)數(shù)據(jù)的行為,阻止不可接受的用戶行為、訪問(wèn)類型、或物理訪問(wèn)。
創(chuàng)建用戶可訪問(wèn)數(shù)據(jù)和安全事件的審計(jì)報(bào)告,其中可定制的詳細(xì)信息可以滿足明確的管理規(guī)定或標(biāo)準(zhǔn)的審計(jì)流程要求。
防止個(gè)別用戶和管理員訪問(wèn)特定的數(shù)據(jù)。這也可以通過(guò)加密,令牌標(biāo)記化,脫敏,校正或阻止來(lái)實(shí)現(xiàn)。
DCAP核心功能的總結(jié)
DAP(Data Audit and Protection)——作為DCAP的關(guān)鍵類別組成,因?yàn)槠涮峁┝藬?shù)據(jù)庫(kù)中發(fā)生的活動(dòng)的警報(bào)和報(bào)告。技術(shù)功能包括對(duì)數(shù)據(jù)庫(kù)的發(fā)現(xiàn)和分類,漏洞管理,應(yīng)用關(guān)聯(lián)分析,入侵防御,對(duì)非結(jié)構(gòu)化數(shù)據(jù)安全性的支持,身份和訪問(wèn)管理集成以及風(fēng)險(xiǎn)管理支持。
DLP(Data leakage prevention)——提供對(duì)敏感數(shù)據(jù)的可見(jiàn)性,無(wú)論是在端點(diǎn)上使用,在網(wǎng)絡(luò)上運(yùn)動(dòng)還是靜止在文件共享上。使用DLP,組織可以實(shí)時(shí)保護(hù)從端點(diǎn)或電子郵件中提取的非結(jié)構(gòu)化數(shù)據(jù)。DLP工具不用于掃描和分類數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)。DCAP和DLP之間的根本區(qū)別在于DCAP工具更多地側(cè)重于組織內(nèi)用戶訪問(wèn)的數(shù)據(jù),而DLP更側(cè)重于將離開(kāi)組織的數(shù)據(jù)。
數(shù)據(jù)加密——考慮性能和成本,企業(yè)傾向只為最敏感的數(shù)據(jù)保存進(jìn)行數(shù)據(jù)庫(kù)加密。在加密方法上戶還關(guān)心保格式加密和無(wú)鑰匙加密等技術(shù),加密密鑰和休眠數(shù)據(jù)的令牌問(wèn)題也是令用戶頭痛的問(wèn)題。
數(shù)據(jù)脫敏——數(shù)據(jù)脫敏技術(shù)旨在防止濫用敏感數(shù)據(jù),該技術(shù)為用戶提供虛構(gòu)且實(shí)用的數(shù)據(jù),與加密和令牌標(biāo)記化不同,它是一種不可逆過(guò)程,其中數(shù)據(jù)經(jīng)歷單向轉(zhuǎn)換。反過(guò)來(lái),數(shù)據(jù)不能通過(guò)篡改來(lái)顯示,因?yàn)樗亲詣?dòng)化的,而不是基于授權(quán)。這些方法已被金融部門(mén)廣泛采用。此外,其他行業(yè)(如醫(yī)療保健,政府和石油和天然氣)的用戶對(duì)脫敏的興趣也在增長(zhǎng)。
2、數(shù)據(jù)庫(kù)遷移云端后的安全考慮
云數(shù)據(jù)庫(kù)云服務(wù)的日益普及,對(duì)數(shù)據(jù)庫(kù)安全環(huán)境產(chǎn)生了重大影響。今天的數(shù)據(jù)庫(kù)安全客戶期望靈活的部署選項(xiàng),并希望能夠在具備本地部署、云端部署和混合部署的產(chǎn)品中進(jìn)行選擇。為此,數(shù)據(jù)庫(kù)安全市場(chǎng)中的更多廠商正在開(kāi)發(fā)和引入基于云版本的服務(wù)??纯慈ツ曛饕漠a(chǎn)品開(kāi)發(fā)公告,數(shù)據(jù)庫(kù)安全廠商清楚地看到了提供超越本地部署的選項(xiàng)的巨大價(jià)值。
雖然越來(lái)越多的數(shù)據(jù)庫(kù)服務(wù)正在向云端轉(zhuǎn)移,但類似線下的數(shù)據(jù)安全策略一樣需要。遷移到云可以降低成本;然而,如果沒(méi)有合適的安全產(chǎn)品,這些節(jié)省的成本很可能被抵銷掉。DBaaS是一個(gè)不錯(cuò)的選擇,然而,許多組織在綜合評(píng)估后覺(jué)得無(wú)法采用;常見(jiàn)的原因是由于安全性要求,基于云的數(shù)據(jù)庫(kù)服務(wù)在安全上的能力不足。一些DBaaS平臺(tái)開(kāi)始提供平臺(tái)自身的數(shù)據(jù)安全保護(hù)、檢測(cè)以及數(shù)據(jù)驅(qū)動(dòng)的安全功能(例如,Microsoft Azure SQL和Amazon Redshift)。然而,更復(fù)雜的功能如訪問(wèn)權(quán)限分析,DCAP,數(shù)據(jù)脫敏,集中管控等,只能通過(guò)云平臺(tái)之外的獨(dú)立第三方服務(wù)商提供。
本文由9年專注數(shù)據(jù)安全的安華金和,根據(jù)Gartner《Market Trends: Database Security, Worldwide, 2017 》編譯分析,撰寫(xiě)成稿,為廣大安全從業(yè)者提供參考,如需轉(zhuǎn)載,請(qǐng)注明出處。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋(píng)果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢(qián)通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購(gòu)和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋(píng)果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過(guò)熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無(wú)人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開(kāi)展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車(chē)整車(chē)股盤(pán)初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。