標籤:

Gartner: 2017全球資料庫安全市場趨勢

縱觀全球資料庫安全態勢,關係型資料庫2017年持續成為數據竊取者的主要目標,而大數據平台的建立與發展(如Hadoop,NoSQL資料庫和DBaaS等)更加劇了數據安全風險。

Gartner發布「2017全球資料庫安全市場趨勢報告」(以下簡稱「報告」),對全球資料庫安全風險,應對技術以及未來發展趨勢進行了深度剖析,數據泄露或篡改風險可能導致企業面臨無法通過審計導致的資產負債,監管罰款,盈利受損或客戶投訴等諸多負面影響。基於報告中的研究結果,技術戰略規劃者需要重新評估其資料庫的安全狀況。

資料庫安全發展幾大趨勢:

很少有資料庫安全產品能夠適應越來越複雜應用場景,這些場景可能涉及關係資料庫管理系統(RDBMS),Hadoop,NoSQL和資料庫即服務(DBaaS)。

資料庫遷移到雲上,用戶對雲端數據安全性以及如何管理更為關心。

除了DAP之外,資料庫安全中如加密,脫敏,正在越來越受歡迎,以應對快速變化的安全合規要求。

用戶當今面臨的最常見的資料庫安全威脅

SQL注入攻擊:利用資料庫自身的漏洞發起攻擊

緩衝區溢出:目前最為普遍的資料庫漏洞之一

默認設置或弱口令:可能被黑客或內部人員惡意利用

配置錯誤:一些可能形成安全風險的配置項

用戶帳戶破壞:這可能是指黑客或內部人員對低許可權賬戶或默認賬戶的惡意或非法操作

數據所在地 - 各種數據隱私,健康,財務和信用卡的相關規定需要對數據訪問進行限定,對數據泄露事件進行通知。

企業和組織對哪些數據保護技術更加關注?

根據Gartner的2016年最終用戶安全支出調查, 52%的受訪者表示計劃實施DCAP和DLP,同時,53%有意實施UEBA,42%計劃在未來兩年實施CASB。用戶對這些技術的興趣越來越大,主要是由於組織對數據保護日益增長的關注,以及遵守諸如歐盟「一般數據保護條例」(GDPR)等更強的法規。

提供給用戶的資料庫安全建議:

1、將DCAP、DAP及DLP 集成,以獲得更安全的資料庫

大數據平台,雲SaaS和雲計算IaaS環境的出現正在推動企業回顧他們的安全策略,而過去他們只需要專註於傳統RDBMS和文件伺服器。可選的途徑是有限的,並且由於許多組織的數據環境的孤立性質,它們缺乏安全策略的一致性和同步性。DCAP(data-centric audit and protection )以數據為中心的審計和保護)可以使組織能夠跨非結構化,半結構化和結構化的存儲庫或類別,集中管理數據安全策略和訪問控制。DCAP工具還可以對敏感數據集進行分類和發現。此外,可以通過集中管理和監視用戶和管理員的許可權和活動來訪問敏感數據。讓DCAP基於數據安全治理(DSG)策略基礎上,為企業提供數據保護各環節上的核心能力。

Gartner總結的DCAP在數據保護的各個環節提供的核心功能

提供一個單一的管理控制台,使數據安全策略應用和流程策略可以跨越多個數據存儲庫(這裡稱為數據倉庫)。

能夠在所有數據孤島分類和發現敏感數據; RDBMS或數據倉庫; 非結構化數據文件格式; 半結構化格式,如SharePoint; 半結構文件共享平台,如Hadoop; 以及SaaS或基礎設施即服務(IaaS)環境中的雲存儲。

設置和監控特殊用戶身份(包括高許可權用戶,如管理員和開發人員)訪問數據的許可權。

通過可定製的安全預警來監測用戶實時訪問數據的行為,阻止不可接受的用戶行為、訪問類型、或物理訪問。

創建用戶可訪問數據和安全事件的審計報告,其中可定製的詳細信息可以滿足明確的管理規定或標準的審計流程要求。

防止個別用戶和管理員訪問特定的數據。這也可以通過加密,令牌標記化,脫敏,校正或阻止來實現。

DCAP核心功能的總結

DAP(Data Audit and Protection)——作為DCAP的關鍵類別組成,因為其提供了資料庫中發生的活動的警報和報告。技術功能包括對資料庫的發現和分類,漏洞管理,應用關聯分析,入侵防禦,對非結構化數據安全性的支持,身份和訪問管理集成以及風險管理支持。

DLP(Data leakage prevention)——提供對敏感數據的可見性,無論是在端點上使用,在網路上運動還是靜止在文件共享上。使用DLP,組織可以實時保護從端點或電子郵件中提取的非結構化數據。DLP工具不用於掃描和分類資料庫內的數據。DCAP和DLP之間的根本區別在於DCAP工具更多地側重於組織內用戶訪問的數據,而DLP更側重於將離開組織的數據。

數據加密——考慮性能和成本,企業傾向只為最敏感的數據保存進行資料庫加密。在加密方法上戶還關心保格式加密和無鑰匙加密等技術,加密密鑰和休眠數據的令牌問題也是令用戶頭痛的問題。

數據脫敏——數據脫敏技術旨在防止濫用敏感數據,該技術為用戶提供虛構且實用的數據,與加密和令牌標記化不同,它是一種不可逆過程,其中數據經歷單向轉換。反過來,數據不能通過篡改來顯示,因為它是自動化的,而不是基於授權。這些方法已被金融部門廣泛採用。此外,其他行業(如醫療保健,政府和石油和天然氣)的用戶對脫敏的興趣也在增長。

2、資料庫遷移雲端後的安全考慮

雲資料庫雲服務的日益普及,對資料庫安全環境產生了重大影響。今天的資料庫安全客戶期望靈活的部署選項,並希望能夠在具備本地部署、雲端部署和混合部署的產品中進行選擇。為此,資料庫安全市場中的更多廠商正在開發和引入基於雲版本的服務。看看去年主要的產品開發公告,資料庫安全廠商清楚地看到了提供超越本地部署的選項的巨大價值。

雖然越來越多的資料庫服務正在向雲端轉移,但類似線下的數據安全策略一樣需要。遷移到雲可以降低成本;然而,如果沒有合適的安全產品,這些節省的成本很可能被抵銷掉。DBaaS是一個不錯的選擇,然而,許多組織在綜合評估後覺得無法採用;常見的原因是由於安全性要求,基於雲的資料庫服務在安全上的能力不足。一些DBaaS平台開始提供平台自身的數據安全保護、檢測以及數據驅動的安全功能(例如,Microsoft Azure SQL和Amazon Redshift)。然而,更複雜的功能如訪問許可權分析,DCAP,數據脫敏,集中管控等,只能通過雲平台之外的獨立第三方服務商提供。

本文由9年專註數據安全的安華金和,根據Gartner《Market Trends: Database Security, Worldwide, 2017 》編譯分析,撰寫成稿,為廣大安全從業者提供參考,如需轉載,請註明出處。


推薦閱讀:

Linux安裝MySQL資料庫操作手冊
「魔鬼」撒旦(Satan)利用「永恆之藍」漏洞捲土重來 主攻資料庫
為物聯網而生:高性能時間序列資料庫HiTSDB商業化首發!

TAG:資料庫 |