為云中的數(shù)據(jù)庫(kù)創(chuàng)建企業(yè)級(jí)安全性
2019年10月12日
跨不同平臺(tái)和云計(jì)算提供商托管的數(shù)據(jù)庫(kù)和其他數(shù)據(jù)存儲(chǔ)設(shè)施為網(wǎng)絡(luò)攻擊者提供了誘人的目標(biāo)�。通過(guò)在暗網(wǎng)市場(chǎng)上出售或加以利用竊取的大量信息,網(wǎng)絡(luò)攻擊者賺取巨額資金�����,其中包括利用個(gè)人和財(cái)務(wù)信息盜取資金或欺詐和勒索。企業(yè)的數(shù)據(jù)庫(kù)泄露行為違反GDPR法規(guī)和其他法規(guī)(例如即將出臺(tái)的《加利福尼亞消費(fèi)者保護(hù)法》)��,除了數(shù)據(jù)泄露遭受的損失之外�,這些企業(yè)還有可能面臨巨額罰款。
因此��,各種規(guī)模企業(yè)的數(shù)據(jù)庫(kù)經(jīng)常受到持續(xù)的網(wǎng)絡(luò)攻擊����。很多網(wǎng)絡(luò)入侵通常在更長(zhǎng)時(shí)間內(nèi)未被檢測(cè)到,這意味著數(shù)據(jù)庫(kù)需要受到被動(dòng)和主動(dòng)安全系統(tǒng)的保護(hù)���。
這說(shuō)起來(lái)容易做起來(lái)難�。隨著數(shù)據(jù)庫(kù)基礎(chǔ)設(shè)施變得越來(lái)越復(fù)雜�����,保護(hù)其中信息的措施也變得越來(lái)越復(fù)雜��。企業(yè)現(xiàn)在擁有可以托管在任何地方的數(shù)據(jù)庫(kù)(即內(nèi)部部署數(shù)據(jù)中心�、混合云、公共云和私有云),這意味著對(duì)于最終的保護(hù)需要統(tǒng)一的安全�����、風(fēng)險(xiǎn)和符合性問(wèn)題的策略��。由于云計(jì)算環(huán)境中缺乏安全性的標(biāo)準(zhǔn)���,使其安全保護(hù)變得更加復(fù)雜�。亞馬遜��、微軟和其他云計(jì)算提供商經(jīng)常使用非常不同的工具和流程�����,這使得企業(yè)在操作多云設(shè)置時(shí)更加難以管理���。
在尋求保護(hù)云中數(shù)據(jù)庫(kù)的安全性時(shí),企業(yè)必須采取通常用于內(nèi)部部署數(shù)據(jù)中心的所有安全措施���。例如���,企業(yè)仍然有必要知道那里有哪些資產(chǎn),如何管理訪問(wèn)以及有哪些數(shù)據(jù)驗(yàn)證和保護(hù)。但是���,許多企業(yè)組織錯(cuò)誤地認(rèn)為自己的云計(jì)算提供商將會(huì)滿足其所有隱私和安全需求��,而實(shí)際上他們?nèi)匀槐仨氉约撼袚?dān)最終的安全責(zé)任����。
了解自己的資產(chǎn)
隨著組織的成長(zhǎng)��、合并或收購(gòu)其他組織���,他們的數(shù)據(jù)庫(kù)資產(chǎn)和體系結(jié)構(gòu)可能會(huì)擴(kuò)展并變得越來(lái)越復(fù)雜���。它們可以基于任何平臺(tái)上的任何位置,但是要確保無(wú)縫的業(yè)務(wù)流程�,必須將它們鏈接在一起。在具有不同本地?cái)?shù)據(jù)保護(hù)和隱私法律的國(guó)家中�����,這可能會(huì)構(gòu)成嚴(yán)重的安全威脅�,尤其是對(duì)于基于或已創(chuàng)建的數(shù)據(jù)庫(kù)而言。如果安全團(tuán)隊(duì)不知道如何配置和保護(hù)數(shù)據(jù)庫(kù)��,則威脅級(jí)別會(huì)增加。在更糟糕的情況下�����,安全團(tuán)隊(duì)甚至根本不會(huì)意識(shí)到數(shù)據(jù)庫(kù)的存在�����。
這些數(shù)據(jù)庫(kù)為威脅行為者提供了竊取數(shù)據(jù)或破壞系統(tǒng)的巨大機(jī)會(huì)����,而且更糟的是,與通過(guò)其他受保護(hù)程度更高的資產(chǎn)相比�,它提供了更深入企業(yè)網(wǎng)絡(luò)的途徑��。
企業(yè)準(zhǔn)確了解資產(chǎn)是什么以及資產(chǎn)的位置對(duì)于有效的數(shù)據(jù)庫(kù)安全至關(guān)重要����。資產(chǎn)監(jiān)控需要實(shí)時(shí)地進(jìn)行細(xì)化,安全團(tuán)隊(duì)這樣就可以直接獲得數(shù)據(jù)或架構(gòu)的任何變化的警報(bào)�,這表明其安全系統(tǒng)已經(jīng)被滲透。
管理訪問(wèn)
當(dāng)用戶可以從任何地方訪問(wèn)文檔時(shí)�����,控制可以登錄到特定數(shù)據(jù)庫(kù)的人員及其相關(guān)特權(quán)是必不可少的安全措施。特權(quán)用戶訪問(wèn)需要基于角色的規(guī)則和特權(quán)的強(qiáng)大訪問(wèn)管理機(jī)制來(lái)構(gòu)建�。
操作最低權(quán)限的用戶權(quán)限管理策略可確保用戶只能訪問(wèn)資源,并執(zhí)行其工作角色所需的操作�。這限制了企業(yè)對(duì)員工或外部威脅參與者未經(jīng)授權(quán)訪問(wèn)的暴露。
加強(qiáng)職責(zé)隔離是政府和監(jiān)管機(jī)構(gòu)經(jīng)常需要的最佳實(shí)踐指南�����。這種方法要求企業(yè)證明對(duì)敏感數(shù)據(jù)的有效控制����,這不僅是限制風(fēng)險(xiǎn)的一個(gè)好方法,而且還是證明合規(guī)性的一個(gè)有效方法�����。
為了有效地實(shí)施此類(lèi)策略�,企業(yè)安全團(tuán)隊(duì)需要對(duì)異構(gòu)數(shù)據(jù)庫(kù)環(huán)境中的所有權(quán)限進(jìn)行監(jiān)督和控制,以便能夠以一致的方式管理和消除過(guò)多的權(quán)限����。
這也需要定期進(jìn)行監(jiān)視,最好是實(shí)時(shí)監(jiān)視�。每隔30天左右查看一次訪問(wèn)日志可能會(huì)發(fā)現(xiàn)可疑活動(dòng)的跡象,但將為網(wǎng)絡(luò)攻擊者留下未被發(fā)現(xiàn)的很大的時(shí)間窗口���。精明的攻擊者也有可能竊取安全日志并對(duì)其進(jìn)行操作以掩蓋其入侵活動(dòng)����。
除了檢測(cè)潛在威脅之外,實(shí)時(shí)監(jiān)視還可以顯示長(zhǎng)期未使用的數(shù)據(jù)庫(kù)帳戶����,這表明它們可能不再需要訪問(wèn),并且可以取消其特權(quán)�。這是一個(gè)很好的實(shí)踐,因?yàn)橄嚓P(guān)人員可能已經(jīng)更改了工作角色����,并且需要訪問(wèn)不同的數(shù)據(jù)集,或者根本不需要訪問(wèn)�。如果權(quán)限不隨工作角色而改變,某些工作人員可能有權(quán)訪問(wèn)整個(gè)數(shù)據(jù)庫(kù)區(qū)域����,而他們不再有資格通過(guò)過(guò)度暴露的數(shù)據(jù)創(chuàng)建安全問(wèn)題�����。當(dāng)然如果需要���,可以很容易地恢復(fù)特權(quán)�。要實(shí)現(xiàn)對(duì)用戶權(quán)限評(píng)估的這種監(jiān)督和控制,每個(gè)數(shù)據(jù)庫(kù)實(shí)例可能需要80個(gè)工時(shí)�����。因此��,企業(yè)應(yīng)該尋求自動(dòng)化�。
數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視(DAM)可以自動(dòng)檢測(cè)數(shù)據(jù)泄露事件或看起來(lái)可疑的用戶活動(dòng)。數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視(DAM)解決方案可以自動(dòng)應(yīng)用操作����,如終止用戶會(huì)話或鎖定帳戶,以及觸發(fā)其他腳本操作�����,例如啟動(dòng)惡意軟件掃描�。此外,該解決方案可用于立即通知安全小組�����,然后安全小組可以進(jìn)行調(diào)查��,并在必要時(shí)采取行動(dòng),防止任何可能的威脅���。
加密和數(shù)據(jù)驗(yàn)證
許多云計(jì)算提供商將為客戶提供運(yùn)行冗余數(shù)據(jù)實(shí)例作為備份措施的選擇�����,這意味著即使服務(wù)器由于任何原因崩潰而不會(huì)丟失信息�。盡管這可能很有用��,但這些冗余實(shí)例可能與世界其他地方的服務(wù)器位于完全不同的服務(wù)器上��。在這種情況下����,企業(yè)有責(zé)任確保每個(gè)包含其數(shù)據(jù)副本的數(shù)據(jù)庫(kù)均已正確配置并保證安全。
這使得了解數(shù)據(jù)的安全性變得更加不確定����。為了消除這種情況,組織應(yīng)該考慮增加更多的加密和細(xì)粒度的數(shù)據(jù)控制�。由于數(shù)據(jù)不是簡(jiǎn)單地在企業(yè)網(wǎng)絡(luò)中存儲(chǔ)、訪問(wèn)和傳輸��,而是通過(guò)不同的服務(wù)提供商在多個(gè)網(wǎng)絡(luò)中��,所有信息都需要在空閑時(shí)��、在使用中和在可能的情況下被加密���。這意味著���,即使有人確實(shí)訪問(wèn)數(shù)據(jù)庫(kù),它們也不能夠在沒(méi)有解密密鑰的情況下讀取數(shù)據(jù)���。
結(jié)論
即使在最簡(jiǎn)單的同質(zhì)環(huán)境中��,保護(hù)數(shù)據(jù)庫(kù)安全也是一項(xiàng)復(fù)雜但必要的任務(wù)�,需要一系列安全策略和過(guò)程�����?����?缙脚_(tái)托管���、本地部署����、在云中或以混合模型部署的數(shù)據(jù)庫(kù)是一個(gè)挑戰(zhàn),即使大型企業(yè)的IT團(tuán)隊(duì)也難以實(shí)施有效的保護(hù)�。用戶越來(lái)越多地使用多個(gè)云計(jì)算服務(wù)提供商的服務(wù)這一事實(shí)使情況變得更加復(fù)雜。諸如GDPR法規(guī)和即將發(fā)布的CCPA等數(shù)據(jù)安全和隱私法規(guī)��,也意味著保護(hù)基于云計(jì)算的數(shù)據(jù)庫(kù)比以往任何時(shí)候都更加重要����。
企業(yè)需要對(duì)基于云計(jì)算的資產(chǎn)采取基于風(fēng)險(xiǎn)的方法,評(píng)估安全事件的潛在威脅和影響�,并將其與對(duì)安全的投資進(jìn)行平衡。
自動(dòng)化數(shù)據(jù)庫(kù)管理的關(guān)鍵要素是保護(hù)云安全的最有效選擇之一�。漏洞管理、用戶權(quán)限管理和活動(dòng)監(jiān)視的關(guān)鍵元素都可以從自動(dòng)化中受益����,從而有助于確保數(shù)據(jù)的安全性,而不會(huì)給資源有限的安全團(tuán)隊(duì)帶來(lái)更大的負(fù)擔(dān)��。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
