無論面對駭客攻擊或人為竊取,存放著企業營運寶貴資料數據的資料庫,都是最需要保護的關鍵目標,然而許多企業卻幾乎對於資料庫毫無安全保護措施。其實從存取加密、網站與資料庫防火牆到稽核管理,業界有許多資料庫安全機制,其中可辨識並記錄誰進行過哪些操作的資料庫活動監視(DAM)方案,也是資料庫稽核管控的重要措施,更進一步亦有內建阻斷等防護機制,以防止未經批准的人員任意存取。
如今隨著法規遵循與個資外洩事件頻傳,又有什麼新興發展得以因應?本專題將走訪業界專家,從實務需求面來看資料庫稽核與防護的發展近況。
特權帳號職責分工 全程追溯滿足稽核需求
從三大層面下手 奠定資料庫防護基礎
去年底,美國知名零售業者Target傳出多達1.1億筆的客戶資料外洩。今年(2014年)初,南韓爆發信用卡公司委外工程師監守自盜,從資料庫系統中複製上億筆信用卡個人資料至隨身碟攜出,並轉賣獲取利益。日前南韓再爆金融機構因銷售終端機的資料遭竊,估計也有超過上億筆信用卡用戶個資外洩。從接二連三的重大資安事件中不難發現,數位資料中隱含的金錢利益已成竊取行為主要動機。即使是建置於內部機房重地、已擁有實體隔離保護的核心資料庫系統,都可能被內部人員或外來入侵行為突破,為企業帶來資料外洩風險。
搭配應用程式防火牆 同步實現防護與稽核
搭配雲端資料庫運作 DAM服務商機有潛力
以專屬設備搭配代理程式建置資料庫活動監控架構的iMPERVA,在業界頗有名氣,代理商亞利安科技資安技術支援部經理王添龍認為,其特色主要是iMPERVA SecureSphere不僅為Log搜集器,供事後稽核之用,亦可提供WAF(Web Application Firewall)模組,因此在記錄的同時,也可發現異常連線行為、非法工具掃描網頁系統等行為,依據事前制定的控管政策即時阻斷或發出告警。
持續強化Log處理效能 監控之餘還能創造分析價值
因應DB交易全記錄需求 效能與完整性兩全其美
以純軟體式監控資料庫活動的IBM InfoSphere Guardium,難免會遇到用戶擔心影響線上資料庫運行效能。對此台灣IBM軟體事業處資深技術顧問張寅建說明,其實Guardium特別之處是不耗用資料庫系統資源,因為其架構是將耗用資源的工作交由另一台控管伺服器來執行,資料庫系統上則是安裝S-TAP代理程式,負責擷取資料庫系統記錄傳送到控管伺服器,需佔用的資源並不多。其他像是資料分析、查找、儲存、報表產出等執行動作,都是在控管伺服器上執行,跟線上資料庫系統可說完全區隔。
解決方案不能比風險損失昂貴 靈活採購成本至關重要
彈性部署防護稽核 發揮軟體式方案優勢
企業面對稽核要求,必須建置資料庫活動監控機制,然而近年來本土企業為了撙節IT支出,價格往往成為重要考量,在此情況下,「純軟體式的解決方案,並採以處理器數量計價模式,不僅可彈性部署,相較專屬設備亦便宜許多,成為McAfee在市場上得以勝出的關鍵。」McAfee技術經理許力仁指出。
涵蓋預防、偵查、管理機制 為資料庫安全提供完整防護
健檢資料庫評估安全體質 排定階段性補強計劃
除了提供資料庫系統外,Oracle同樣持續發展並提供整體性的資安防護機制。甲骨文大中華區台灣技術諮詢部資深諮詢經理黃久安即指出,資料庫的安全機制不能僅著重在某些特定功能,而是必須涵蓋「預防」、「偵查」、「管理等三大防護面」。