Imperva提出四大要點(diǎn) 助力大數(shù)據(jù)安全保護(hù)

　　2018年，將有更多企業(yè)轉(zhuǎn)用大數(shù)據(jù)存儲(chǔ)敏感數(shù)據(jù)，隨之帶來(lái)的安全隱患也與日俱增。大數(shù)據(jù)與典型的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)(RDBMS)有天壤之別，很多企業(yè)尚未做好充分的預(yù)防準(zhǔn)備。

　　Gartner把大數(shù)據(jù)定義為三“高”：高量級(jí)、高速率、高多樣化。Imperva對(duì)這三點(diǎn)進(jìn)行了解釋?zhuān)捍髷?shù)據(jù)的數(shù)據(jù)庫(kù)存儲(chǔ)了越來(lái)越多的數(shù)據(jù)，其中敏感數(shù)據(jù)的比重越來(lái)越高，覆蓋了所有本地部署和云端的不同技術(shù);同時(shí)，大數(shù)據(jù)解決方案正在以比此前快很多的速率演變;不同供應(yīng)商的技術(shù)之間存在高度的不一致，安全保護(hù)沒(méi)有萬(wàn)靈藥，必須有能力應(yīng)對(duì)多樣化的場(chǎng)景。

　　針對(duì)大數(shù)據(jù)安全保護(hù)的這些難點(diǎn)和復(fù)雜性，Imperva在年初提出了降低大數(shù)據(jù)風(fēng)險(xiǎn)時(shí)應(yīng)該首要考慮的四個(gè)要點(diǎn)，提倡以一種分層的方式進(jìn)行思考，四個(gè)要點(diǎn)分別如下：

　　數(shù)據(jù)庫(kù)發(fā)現(xiàn)和數(shù)據(jù)分類(lèi)

　　大數(shù)據(jù)可以存儲(chǔ)敏感數(shù)據(jù)，而敏感數(shù)據(jù)的存儲(chǔ)地點(diǎn)需要判定。數(shù)據(jù)發(fā)現(xiàn)可以看做是一個(gè)兩階段的過(guò)程：第一，發(fā)現(xiàn)你所有的大數(shù)據(jù)數(shù)據(jù)庫(kù)的地點(diǎn);第二，了解它們是否存儲(chǔ)敏感數(shù)據(jù)(如果是的話(huà)，存儲(chǔ)的是哪種敏感數(shù)據(jù))。

　　發(fā)現(xiàn)所有的大數(shù)據(jù)數(shù)據(jù)庫(kù)并不是一次性的工作，而應(yīng)該隨著大數(shù)據(jù)數(shù)據(jù)庫(kù)不斷增長(zhǎng)的容量和多樣性而定期開(kāi)展。同樣，識(shí)別敏感數(shù)據(jù)也是一項(xiàng)復(fù)合型任務(wù)。大數(shù)據(jù)的結(jié)構(gòu)可以是半結(jié)構(gòu)化的(例如，MongoDB)，所以手動(dòng)執(zhí)行這項(xiàng)任務(wù)就會(huì)相當(dāng)煩冗，評(píng)估結(jié)果也很快會(huì)過(guò)時(shí)。所以，投資數(shù)據(jù)發(fā)現(xiàn)解決方案，永遠(yuǎn)是值得的。

　　IMPERVA SecureSphere 數(shù)據(jù)庫(kù)安全方案可找尋企業(yè)內(nèi)部的正在提供服務(wù)的數(shù)據(jù)庫(kù)，管理者可依據(jù)清查結(jié)果，對(duì)該企業(yè)數(shù)據(jù)庫(kù)服務(wù)進(jìn)行全盤(pán)了解，可協(xié)助管理者知悉目前企業(yè)內(nèi)部網(wǎng)絡(luò)有哪些數(shù)據(jù)庫(kù)正在被使用，是否有未知或可疑的數(shù)據(jù)庫(kù)在企業(yè)網(wǎng)絡(luò)內(nèi)活動(dòng)?如果發(fā)現(xiàn)有未知或可疑的數(shù)據(jù)庫(kù)提供服務(wù)，管理者可迅速確認(rèn)該服務(wù)是否為員工非法建立或惡意使用的數(shù)據(jù)庫(kù)，在確認(rèn)后可決定是否要立即終止該服務(wù)，還是要將該數(shù)據(jù)庫(kù)服務(wù)納入監(jiān)控，以降低數(shù)據(jù)庫(kù)安全事件發(fā)生的可能。

　　企業(yè)內(nèi)部數(shù)據(jù)庫(kù)眾多，數(shù)據(jù)庫(kù)中的數(shù)據(jù)表中存在相當(dāng)多企業(yè)的敏感數(shù)據(jù)，時(shí)間一久，管理者已無(wú)法掌握敏感數(shù)據(jù)的分布情況，IMPERVA SecureSphere 數(shù)據(jù)庫(kù)安全方案也可針對(duì)數(shù)據(jù)庫(kù)進(jìn)行敏感數(shù)據(jù)找尋與分類(lèi)，協(xié)助管理者了解企業(yè)的敏感數(shù)據(jù)位于眾多數(shù)據(jù)庫(kù)的何處，也可根據(jù)分類(lèi)結(jié)果，對(duì)企業(yè)為在數(shù)據(jù)庫(kù)的敏感數(shù)據(jù)進(jìn)行相對(duì)應(yīng)的安全管理，以降低敏感數(shù)據(jù)被濫用或被竊取的機(jī)率，確保企業(yè)形象與運(yùn)營(yíng)。

　　內(nèi)部人員威脅

　　安全保護(hù)措施，數(shù)據(jù)庫(kù)機(jī)器物理訪問(wèn)的控制，以及數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限的限制，仍無(wú)法抵御惡意或失守的內(nèi)部人員。來(lái)自?xún)?nèi)部的威脅要求一套不同的安全措施來(lái)應(yīng)對(duì)。例如，一個(gè)監(jiān)控異常數(shù)據(jù)訪問(wèn)的解決方案，包括如數(shù)據(jù)庫(kù)管理員(DBA)這樣的高優(yōu)先級(jí)用戶(hù)。僅僅基于何人在何時(shí)登入何種資源(即登入/登出一個(gè)數(shù)據(jù)庫(kù))的典型模式的行為模型是不夠用的。真正的需求是要提前識(shí)別出潛在的惡意數(shù)據(jù)濫用，這就要求對(duì)在被訪問(wèn)的精確數(shù)據(jù)中潛入更深(即，在登錄后，何種記錄被訪問(wèn)以及未被訪問(wèn))。

　　DBA(Database Administrator)為數(shù)據(jù)庫(kù)最高權(quán)限管理者，數(shù)據(jù)庫(kù)從無(wú)到有，到可以提供企業(yè)運(yùn)營(yíng)服務(wù)使用，DBA功不可沒(méi)，但也因?yàn)镈BA擁有最高權(quán)限，相對(duì)于這個(gè)職位對(duì)數(shù)據(jù)庫(kù)也存在最大的威脅性，而DBA對(duì)數(shù)據(jù)庫(kù)的聯(lián)機(jī)及管理絕大部分是透過(guò)SSH、Telnet及遠(yuǎn)程桌面等方式或進(jìn)入數(shù)據(jù)中心機(jī)房直接登入數(shù)據(jù)庫(kù)進(jìn)行管理，這類(lèi)行為，從網(wǎng)絡(luò)上是無(wú)法監(jiān)控的，IMPERVA SecureSphere 數(shù)據(jù)庫(kù)安全方案，針對(duì)DBA此類(lèi)行為也提供了監(jiān)控方法，可在數(shù)據(jù)庫(kù)服務(wù)器上安裝IMPERVA SecureSphere 代理程序(Agent)，借由這個(gè)代理程序，DBA對(duì)數(shù)據(jù)庫(kù)服務(wù)器管理與訪問(wèn)行為都可納入監(jiān)控，當(dāng)然我們相信絕大多數(shù)的DBA都是奉公守法不做非分之想，但將DBA的行為納入監(jiān)控記錄，除了可以幫助企業(yè)完善數(shù)據(jù)庫(kù)審計(jì)的完整性，也可幫助DBA分清責(zé)任，因?yàn)閿?shù)據(jù)庫(kù)安全事件發(fā)生時(shí)，第一個(gè)被懷疑的往往是DBA，如今有了獨(dú)立的審計(jì)機(jī)制，可幫助DBA確認(rèn)該事件是否為其所為。

　　易受攻擊性測(cè)試

　　目前，大數(shù)據(jù)數(shù)據(jù)庫(kù)的安全保護(hù)基準(zhǔn)只有寥寥幾種。例如，CIS最近剛發(fā)布了一個(gè)MongoDB的安全保護(hù)基準(zhǔn)(要求注冊(cè))。

　　企業(yè)應(yīng)按時(shí)測(cè)試，發(fā)現(xiàn)易受攻擊性的存在，采取行動(dòng)，修補(bǔ)漏洞。有的漏洞很容易修補(bǔ)，只需要更新補(bǔ)丁，但是有一些要求重新設(shè)置系統(tǒng)，補(bǔ)上那些讓你易受攻擊的安全漏洞。與RDBMS相比，這個(gè)領(lǐng)域尚未成熟，迎來(lái)真正可用的基準(zhǔn)，尚需時(shí)日。

　　只要是軟件，就會(huì)存在著安全性的漏洞，所以軟件開(kāi)發(fā)商一直會(huì)發(fā)布補(bǔ)丁(Patch)修補(bǔ)已知的安全漏洞，但軟件的補(bǔ)丁修補(bǔ)并非隨時(shí)可修，因?yàn)橛锌赡苄扪a(bǔ)后會(huì)造成數(shù)據(jù)庫(kù)服務(wù)因此被影響而導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)可用性及穩(wěn)定性的問(wèn)題。但數(shù)據(jù)庫(kù)存在著安全漏洞畢竟對(duì)數(shù)據(jù)庫(kù)安全還是存在著潛在的風(fēng)險(xiǎn)，如此企業(yè)對(duì)數(shù)據(jù)庫(kù)安全的補(bǔ)丁更新與否陷入了兩難之境，IMPERVA 有專(zhuān)業(yè)的ADC(Application Defense Center) Team ，ADC成員中有非常多數(shù)據(jù)庫(kù)專(zhuān)家，他們會(huì)持續(xù)收集數(shù)據(jù)庫(kù)易受攻擊及安全漏洞數(shù)據(jù)，然后通過(guò)更新機(jī)制(ADC Update)將數(shù)據(jù)庫(kù)安全漏洞與被攻擊簽名(Signature)，更新至使用IMPERVA SecureSphere 數(shù)據(jù)庫(kù)解決方案的客戶(hù)系統(tǒng)中，雖然客戶(hù)本身的數(shù)據(jù)庫(kù)安全漏洞并未修補(bǔ)，但I(xiàn)MPERVA SecuerSphere DBF(Database Firewall)可以對(duì)利用數(shù)據(jù)庫(kù)安全漏洞之不正常訪問(wèn)行為或惡意攻擊行為立即予以阻攔，如此可在數(shù)據(jù)庫(kù)安全漏洞修補(bǔ)前，提供防御機(jī)制，猶如一道數(shù)據(jù)庫(kù)的虛擬補(bǔ)丁(Virtual Patch)，讓企業(yè)可兼顧數(shù)據(jù)庫(kù)的可用性及安全性。

　　數(shù)據(jù)庫(kù)行為監(jiān)控

　　大數(shù)據(jù)數(shù)據(jù)庫(kù)中每一天的用戶(hù)行為和應(yīng)用都應(yīng)加以監(jiān)控，不放過(guò)任何可疑的行為�？梢栽O(shè)置警報(bào)(觸發(fā)人工行為)或者設(shè)定規(guī)則，當(dāng)發(fā)現(xiàn)不正當(dāng)?shù)脑L問(wèn)時(shí)，自動(dòng)拒絕用戶(hù)或應(yīng)用的訪問(wèn)。如果大數(shù)據(jù)數(shù)據(jù)庫(kù)包括敏感數(shù)據(jù)，那么還需要根據(jù)法規(guī)的要求來(lái)進(jìn)行監(jiān)控(以及/或者限制)敏感數(shù)據(jù)的訪問(wèn)。

　　大數(shù)據(jù)保護(hù)絕非小事。大數(shù)據(jù)的數(shù)據(jù)庫(kù)、架構(gòu)、應(yīng)用以及技術(shù)的多樣性，意味著需要一個(gè)綜合性的解決方案來(lái)保護(hù)你的大數(shù)據(jù)環(huán)境，還需要尋找一個(gè)能夠提供數(shù)據(jù)庫(kù)發(fā)現(xiàn)和評(píng)估、抵御內(nèi)部人員威脅的漏洞防護(hù)以及易受攻擊性測(cè)試的解決方案。這個(gè)解決方案還要提供持續(xù)的監(jiān)控和審計(jì)，隨時(shí)識(shí)別不正當(dāng)?shù)幕蚩梢傻男袨�。而這些解決方案，正是Imperva致力投入的方向。

　　現(xiàn)今電子商務(wù)相當(dāng)發(fā)達(dá)，每日以兆計(jì)算的交易讓傳統(tǒng)普及的關(guān)聯(lián)性數(shù)據(jù)庫(kù)可能無(wú)法滿(mǎn)足需求，大數(shù)據(jù)數(shù)據(jù)庫(kù)的應(yīng)用已成為趨勢(shì)，IMPERVA SecureSphere數(shù)據(jù)庫(kù)安全方案，除了可支持眾多的傳統(tǒng)關(guān)系數(shù)據(jù)庫(kù)外，也可支持主流的大數(shù)據(jù)數(shù)據(jù)庫(kù)的審計(jì)與安全保護(hù)，如Cloudera,Hoodop,MangoDB等，同樣能為客戶(hù)提供這些已漸為趨勢(shì)的大數(shù)據(jù)數(shù)據(jù)庫(kù)記錄重要的數(shù)據(jù)庫(kù)訪問(wèn)行為和異常告警，讓企業(yè)在享受大數(shù)據(jù)數(shù)據(jù)庫(kù)所提供的巨量事務(wù)數(shù)據(jù)處理能力與分析的優(yōu)點(diǎn)外，亦可透過(guò)IMPERVA SecureSphere數(shù)據(jù)庫(kù)安全方案幫助企業(yè)兼顧大數(shù)據(jù)數(shù)據(jù)庫(kù)的安全。