以專屬設備搭配代理程式建置資料庫活動監控架構的iMPERVA,在業界頗有名氣,代理商亞利安科技資安技術支援部經理王添龍認為,其特色主要是iMPERVA SecureSphere不僅為Log搜集器,供事後稽核之用,亦可提供WAF(Web Application Firewall)模組,因此在記錄的同時,也可發現異常連線行為、非法工具掃描網頁系統等行為,依據事前制定的控管政策即時阻斷或發出告警。
除了結構化資料的稽核控管,iMPERVA正持續朝向非結構化檔案領域擴展。王添龍指出,非結構化檔案稽核會牽涉到檔案伺服器的通訊協定支援程度,例如NFS、CIFS、FTP等,iMPERVA初期只提供CIFS環境,之後會逐漸補齊。
專屬設備搭配代理程式的運行分工,王添龍說明,代理程式負責的工作大致只有5%,剩下95%的網路連線行為,皆是閘道端以Sniffer方式監看與記錄,不致因此影響線上資料庫效能。「雖然網路設備經常會被質疑封包遺漏問題,但我們從客戶端服務的經驗中發現,主要是企業端網路環境本身就存在掉封包的狀況所導致。」王添龍強調。
 |
| ▲亞利安科技資安技術支援部經理王添龍從服務客戶的經驗中發現,忙碌的IT管理者有時無法掌握架構運行潛在的問題,反而是由客服工程師發現,並提出改善建議,可說是本土代理商重要的價值。 |
由於交換器設備本來就是為Forwarding而設計,平日處理網路連線封包已相當忙碌,再建置Sniffer設備勢必加重交換器負擔,因此交換器在負載能力不足時,自然是優先處理封包的傳遞,無法保證Sniffer的準確度。但只要交換器設備運行效能足夠,Sniffer機制掉封包的狀況自然會減少。
「其實封包遺失若不致過於頻繁,控管機制皆能正常運行,但若監看封包的內容是為了稽核,必須很嚴謹的記錄每一筆流量行為,若出現掉封包的狀況,記錄的資料恐失去準確性與可信賴性,自然會被放大檢視。」王添龍說。因此對於內部網路環境品質不佳的用戶,欲建置資料庫活動監控機制,建議必須再增添可專門用來作複製封包的網路分流器(Test Access Point,TAP),把交換器上接取的封包分成兩條線路傳遞,即可以最低成本來解決這類問題。
至於資料庫活動監控市場下一步的發展,王添龍觀察,目前會有導入需求的企業大多是為了法規遵循,且僅限於特定產業,但法規之下不論公司規模大或小,皆可能遇到訴訟事件,仍有潛在風險性,只是礙於預算,根本無法支付動輒上百萬的IT建置。「待未來雲端服務模式運作成熟後,企業開始採用雲端資料庫服務,資料庫活動監控機制亦可循此新興模式來提供,改以月租費支付模式,較有機會為一般中小企業主所接受。」