網(wǎng)絡(luò)真是個讓人不省心的地方。不僅美國國家安全局可能密切監(jiān)視著您。所謂的六次反盜版行動也在充分發(fā)揮著作用,您可能永遠(yuǎn)不知道連好萊塢在監(jiān)視著您在網(wǎng)上的一舉一動。還有大量惡意的黑客試圖攻擊您的電子郵件、Facebook和Twitter賬號。
數(shù)據(jù)庫安全技術(shù)在企業(yè)環(huán)境下的表現(xiàn)總是不夠理想,而在眾多影響效果的因素之中,復(fù)雜性始終是引發(fā)問題的關(guān)鍵。
盡管目前針對敏感數(shù)據(jù)庫保護(hù)推出的產(chǎn)品已經(jīng)相當(dāng)成熟、大多數(shù)管理者也擁有一定執(zhí)行經(jīng)驗,但不少企業(yè)在運用綜合性數(shù)據(jù)庫安全技術(shù)與流程來保護(hù)關(guān)鍵性數(shù)據(jù)庫方面仍然有很長的路要走——更不用說企業(yè)數(shù)據(jù)庫了。雖然合規(guī)性委托正逐步推動數(shù)據(jù)庫活動監(jiān)控(簡稱DAM)工具在企業(yè)層面的普及,但技術(shù)本身在企業(yè)玩意中的成長仍然受到兩大因素的重重制約,這就是成本與復(fù)雜性。
“在企業(yè)中實施安全技術(shù)需要面臨重重困難的原因之一在于成本模式,”Securosis公司分析師兼CTO Adrian Lane指出。“很多時候要想在企業(yè)中全面推廣安全方案要求管理者投入巨額資金,但與之形成鮮明對比的是,方案供應(yīng)商往往將情況描述得很美好、讓人誤以為花不了多少錢就能搞定一切。”
根據(jù)Lane的說法,來自數(shù)家金融機(jī)構(gòu)的報告顯示DAM技術(shù)的最終推廣開支比最初預(yù)算高出兩到三倍。
根據(jù)多位安全專家的意見,如今的數(shù)據(jù)庫安全技術(shù)確實有些太過復(fù)雜以至于很難打理。GreenSQL日前對超過1300位IT專業(yè)人士開展了調(diào)查,希望了解他們在處理數(shù)據(jù)庫安全問題時所面臨的最大阻礙。有31%的受訪者將矛頭指向復(fù)雜性,這也使其順利成為數(shù)據(jù)庫安全阻礙中的罪魁禍?zhǔn)住?/p>
那么數(shù)據(jù)庫安全機(jī)制的部署工作到底為什么既昂貴且復(fù)雜?下面我們一起來看影響最大的五個因素:
1. 規(guī)模
當(dāng)一家小型或中型企業(yè)只需要處理幾十或至多幾百臺數(shù)據(jù)庫服務(wù)器的保護(hù)工作時,也許我們還有辦法應(yīng)付下來,GreenSQL公司聯(lián)合創(chuàng)始人兼CTO David Maman指出。但企業(yè)中的數(shù)據(jù)庫基礎(chǔ)設(shè)施如雨后春筍般迅速涌現(xiàn)并形成規(guī)模,那么保護(hù)工作就變得極為困難、單靠人力操控幾乎無法實現(xiàn)。
“走訪全球財富五百強(qiáng)企業(yè),我們會發(fā)現(xiàn)其中約有四成擁有超過一萬臺數(shù)據(jù)庫服務(wù)器,”Mamann表示。“在如此龐大的規(guī)模之上,僅僅對其中五分之一數(shù)據(jù)庫進(jìn)行活動監(jiān)控就能輕易花掉企業(yè)數(shù)百萬美元預(yù)算。”
2.合規(guī)性部署不當(dāng)
大多數(shù)DAM技術(shù)的早期買家都希望能憑借現(xiàn)成方案快速搞定自身SOX合規(guī)性問題。即使是在合規(guī)性仍然作為安全方案銷售主導(dǎo)的今天,我們?nèi)匀幻媾R著嚴(yán)峻現(xiàn)實——跨數(shù)據(jù)庫合規(guī)性部署不當(dāng)情況普遍存在,這直接導(dǎo)致安全方案的功能性受到制約、管理員只能分別或同時使用其中的一小部分功能。
很多時候購買了超過需要的DAM方案或是沒有按預(yù)期方式使用這項技術(shù)——這基本上已經(jīng)成為一種常態(tài)。
“有趣的是,我最近看到很多使用DAM技術(shù)的用戶沒有進(jìn)行登錄檢測,而這恰恰是我們購買這類工具的主要目的,”Lane解釋道。“這樣的部署模式太糟糕了,因為如果拋開登錄檢測,我們還有很多更便宜的方案來實現(xiàn)其它功能訴求。”
3. SIEM與DAM未能默契配合
根據(jù)Lane的觀點,很多企業(yè)在安全機(jī)制身上花了大量時間、聘請多位專家并投入海量資源,希望打造出全能型安全信息及事件管理(簡稱SIEM)平臺。但其中最大的問題在于:除了少數(shù)特例,大部分用戶都沒能讓DAM與SIEM展開默契配合。
“許多企業(yè)選擇對SIEM進(jìn)行投資并將其視為安全工具的主體方案,換言之業(yè)務(wù)環(huán)境下的所有狀況都應(yīng)被正確反饋到SIEM當(dāng)中,”Lane表示。“但坦誠地講,DAM與SIEM很難并行不悖,除非技術(shù)人員能把二者的功能加以全面整合。”
4.性能至上、忽視安全
通過觀察,Maman發(fā)現(xiàn)即使是在已經(jīng)具備某種監(jiān)控技術(shù)的企業(yè)中,IT團(tuán)隊仍然不敢利用封鎖機(jī)制預(yù)言濫用狀況的發(fā)生。
“就算是出于安全性考量,他們還是不能承擔(dān)某些敏感信息或必要數(shù)據(jù)無法被系統(tǒng)調(diào)用的風(fēng)險,”他補(bǔ)充道。
事實上,“數(shù)據(jù)庫管理員既了解又忽視”著數(shù)據(jù)庫安全問題,Lane解釋道。他們通常會把數(shù)據(jù)安全作為數(shù)據(jù)庫管理工作中的一項重點——他們甚至愿意在內(nèi)核層面使用代理。然而在管理人員的思維中,安全的重要性永遠(yuǎn)要低于性能表現(xiàn),他指出。而一旦管理工作或政策制定方面出現(xiàn)兩難選擇,他們必然會首先放棄安全訴求。
“數(shù)據(jù)庫管理員并不是安全專家,他們不清楚合理威脅是什么、也不知道該如何制定政策加以解決,”他表示。“因此他們會把希望寄托在工具上,并努力適應(yīng)其中一切不合理之處。”
數(shù)據(jù)庫的復(fù)雜性則起到了推波助瀾的作用,它在專注于性能的數(shù)據(jù)庫管理員與努力規(guī)避風(fēng)險的安全專家之間構(gòu)建起一道鴻溝,前者不懂安全、后者不了解數(shù)據(jù)庫運行原理。也正是出于這個原因,GreenSQL的調(diào)查中才有五分之一的受訪者認(rèn)為數(shù)據(jù)庫安全課題對技能、溝通等專業(yè)水平的要求是解決一切的最大阻礙。缺乏這樣的專業(yè)知識,我們很可能制定出危險的配置規(guī)劃、進(jìn)而令安全主動權(quán)徹底丟失。
“數(shù)據(jù)庫往往非常復(fù)雜,所以保證數(shù)據(jù)庫管理員理解各類配置方案給安全性帶來的潛在影響就顯得非常重要,”Stonesoft公司技術(shù)部門副總裁Phil Lerner告訴我們。“當(dāng)管理員專注于可用性時,他們往往也同時忽視了可能引發(fā)安全漏洞并造成機(jī)密數(shù)據(jù)外泄的配置問題。應(yīng)用程序及其訪問與加密處理同樣會給后端數(shù)據(jù)庫帶來重大安全風(fēng)險。”
5.應(yīng)用程序復(fù)雜性
數(shù)據(jù)庫安全課題中的另一大重大挑戰(zhàn)在于,這些數(shù)據(jù)只有在與動態(tài)應(yīng)用環(huán)境連接的前提下才能正常發(fā)揮作用——而最嚴(yán)重的安全事故往往與這些連接機(jī)制密不可分。下面我們就以SAP應(yīng)用為例。
“SAP應(yīng)用以一種極為復(fù)雜的方式管理著數(shù)據(jù)庫架構(gòu),”Maman指出。“它會根據(jù)數(shù)百套不同數(shù)據(jù)庫的運行狀況生成超過一千套表格,并分別為其創(chuàng)建難以理解的表格標(biāo)題。當(dāng)我們鉆研數(shù)據(jù)庫內(nèi)容時,必須得拿出大把大把的時間來嘗試弄懂自己能在哪個源應(yīng)用中的哪個表格處使用權(quán)限。”
應(yīng)用程序與數(shù)據(jù)庫之間的關(guān)系不僅極為復(fù)雜,而且非常多變。企業(yè)級應(yīng)用的動態(tài)特性使其難于直接為DAM工具所控制,只有經(jīng)過嚴(yán)格培訓(xùn)的管理員才能打理好一切、并以自動化形式實施封鎖政策。
“我們曾與美國本土的一家大型銀行開展過討論,他們表示已經(jīng)開始把技能培訓(xùn)作為企業(yè)的第三大重點目標(biāo)來處理,而且到目前為止還不知道何時才能收到成效,”Maman告訴我們。