《Guardium數(shù)據(jù)庫安全技術(shù)詳解》要點(diǎn)：
本文介紹了Guardium數(shù)據(jù)庫安全技術(shù)詳解，希望對您有用。如果有疑問，可以聯(lián)系我們。

比起業(yè)務(wù)和功能的先行,平安的發(fā)展似乎總是慢人一步.但隨著IT基礎(chǔ)設(shè)施對各行業(yè)的滲透,無論是本地還是云上對數(shù)據(jù)平安能力愈加重視,需求也愈加迫切.

國內(nèi)近幾年出現(xiàn)了一些數(shù)據(jù)庫平安廠商,如安華金和、漢領(lǐng)信息、中安比特、昂楷科技等,他們的在國內(nèi)數(shù)據(jù)平安市場的聲音越來越大；而國外,專注數(shù)據(jù)庫平安的Guardium,結(jié)合IBM在全球的影響力優(yōu)勢,也慢慢開始在中國市場發(fā)力.

從獨(dú)立平安企業(yè)到“平安免疫體系”中的一員

時(shí)間倒退回2002年,一家名為“Guardium”的數(shù)據(jù)庫平安公司在在以色列成立.

Guardium是當(dāng)時(shí)行業(yè)內(nèi)唯一一家擁有針對主機(jī)(大型機(jī))平安監(jiān)控解決方案的平安廠商.同時(shí),Guardium推崇通過在數(shù)據(jù)庫系統(tǒng)上安裝輕量級“探針”(軟件),從而實(shí)現(xiàn)從底層抓取所有對數(shù)據(jù)庫的訪問行為.因其部署靈活、對數(shù)據(jù)庫系統(tǒng)資源消耗小、數(shù)據(jù)庫訪問行為覆蓋全面等特點(diǎn),Guardium在7年間積累了約400名客戶,公司的規(guī)模也成長到了150人左右.

2009年末,IBM以2.25億美元的價(jià)格,正式對外宣布完成對Guardium的收購,并決心利用其在“主機(jī)平安”領(lǐng)域的優(yōu)勢,為IBM自身的數(shù)據(jù)庫產(chǎn)品(例如IBM DB2)賦能,使其在對數(shù)據(jù)庫的訪問活動監(jiān)控能力有所增強(qiáng).

2012年,IBM Security 正式成立,原來分散在各子部門的平安產(chǎn)品得到有效的整合.Guardium 系列也開始作為其在“數(shù)據(jù)平安”領(lǐng)域的獨(dú)立產(chǎn)品推出.

2016年,IBM Security整合其在數(shù)據(jù)平安、應(yīng)用平安、網(wǎng)絡(luò)平安、終端平安、移動平安、高級防欺詐、身份和存取控制以及平安智能等8個(gè)平安領(lǐng)域的產(chǎn)品線,并結(jié)合IBM X-Force推出IBM“平安免疫體系”,而Guardium Suite正是其“數(shù)據(jù)平安”產(chǎn)品類的主力.

平安免疫體系

IBM的優(yōu)勢并不在于其在某項(xiàng)領(lǐng)域的專精程度,相反,通過對細(xì)分領(lǐng)域處于領(lǐng)先優(yōu)勢廠商的收購并購,并將其產(chǎn)品技術(shù)能力徹底的吸收消化,再整合到本身的現(xiàn)有的產(chǎn)品線中,發(fā)揮其更大的作用,這才是這個(gè)巨人的真正強(qiáng)大之處.

部署和合規(guī)上的優(yōu)勢

從Guardium在2002年成立之初,技術(shù)思路便是通過在數(shù)據(jù)庫系統(tǒng)上安裝探針軟件的方式,實(shí)現(xiàn)基于策略的數(shù)據(jù)流量轉(zhuǎn)發(fā).

S-TAP探針部署

做數(shù)據(jù)庫平安的客戶,都想要知道這些數(shù)據(jù)：什么人,在哪些時(shí)間,訪問了哪些數(shù)據(jù)資源.而這需要無論是來自網(wǎng)絡(luò)層協(xié)議通信的應(yīng)用,還是通過高權(quán)限賬號從本地直連到數(shù)據(jù)庫的服務(wù)器,對數(shù)據(jù)庫的訪問信息的抓取都要做到全覆蓋.而通過在數(shù)據(jù)庫服務(wù)器上安裝探針的方式,可以做到把無論是來自本地還是網(wǎng)絡(luò)的所有操作都抓到.

Guardium的探針本身是操作系統(tǒng)層的軟件,與數(shù)據(jù)庫的配置無關(guān),同時(shí)作為一個(gè)輕量級的進(jìn)程,從運(yùn)維的角度來講對數(shù)據(jù)庫系統(tǒng)資源的消耗非常小,即使是在數(shù)據(jù)庫發(fā)生大規(guī)模并發(fā)拜訪的情況下,也不會影響其正常運(yùn)行.

同時(shí),探針軟件對平臺和主流數(shù)據(jù)庫的異常廣泛,國內(nèi)廠商幾乎無人能出其右.而云環(huán)境下的探針部署,也因?yàn)槠溥\(yùn)行在OS層而幾乎不受影響.無論是VM還是物理機(jī),只要運(yùn)行的操作系統(tǒng)不變,探針就可以正常工作.

Guardium所支持?jǐn)?shù)據(jù)平臺類型

除了探針的部署以外,在合規(guī)方面,“自動化合規(guī)”是目前數(shù)據(jù)庫審計(jì)市場大部分客戶的需求.因?yàn)榭蛻舻暮弦?guī)本身是一個(gè)成本很高的過程,所以在實(shí)際的客戶合規(guī)過程中,客戶往往要做很多額外的的工作.而Guardium本身內(nèi)嵌了許多“現(xiàn)成“合規(guī)最佳實(shí)踐.例如金融行業(yè)的PCI DSS(第三方支付行業(yè)數(shù)據(jù)平安標(biāo)準(zhǔn))、SOC(薩班斯法案)、SAS70、ISO 27001/2以及”數(shù)據(jù)隱私法”等甚至還沒在中國大陸正式推行的相關(guān)規(guī)定,都包含在Guardium其中.這無疑給用戶的合規(guī)帶來了極大的便宜.除此以外,對企業(yè)內(nèi)部的“內(nèi)審”合規(guī)性要求,Guardium也能通過其靈活的部署和配置給予最大程度的支持.

PCI DSS 審計(jì)

從數(shù)據(jù)庫平安向數(shù)據(jù)平安的延伸

對年夜數(shù)據(jù)平臺的支持

因?yàn)槭蹽uardium本身的基因所限,IBM在收購后很長一段時(shí)間之內(nèi),還是以數(shù)據(jù)庫平安的思路來做.但隨著大數(shù)據(jù)技術(shù)尤其是Hadoop大數(shù)據(jù)處理平臺在2011年后的快速發(fā)展與廣泛的商業(yè)化應(yīng)用,IBM也開始逐漸與一些業(yè)內(nèi)影響廣泛的大數(shù)據(jù)廠商(如Cloudera、Hortonworks)合作,而Guardium也從那時(shí)開始了對大數(shù)據(jù)平臺支持的研發(fā).

Guardium對Hadoop集群的支持

無論是國內(nèi)還是國外,有很大一部分的大數(shù)據(jù)廠商,其發(fā)行版的底層都是基于開源的Hadoop來做,而在上層封裝的定制化服務(wù),則可以幫助用戶進(jìn)行一系列的操作和拜訪.而Guardium團(tuán)隊(duì)最大的優(yōu)勢,就是在于利用IBM現(xiàn)有的資源和影響力和這些大數(shù)據(jù)廠商一家一家的洽談,了解他們底層的開發(fā)架構(gòu)是什么樣子,命令的執(zhí)行又是怎樣的.所以通過這些上層服務(wù)對數(shù)據(jù)庫的拜訪行為,可以完全被Guardium所獲知.再加上因?yàn)镠adoop架構(gòu)應(yīng)用的廣泛性,Guardium對這些基于Hadoop的大數(shù)據(jù)廠商的產(chǎn)品理論上都可以實(shí)現(xiàn)比較好的支持.

因?yàn)楝F(xiàn)在很多企業(yè)都會選擇將重要的數(shù)據(jù)放進(jìn)這樣一個(gè)平臺做全方位的關(guān)聯(lián)分析,原先黑客可能攻破一個(gè)數(shù)據(jù)庫只能拿到這個(gè)公司的部分業(yè)務(wù)信息,而如果是大數(shù)據(jù)系統(tǒng)出現(xiàn)了問題,發(fā)生了數(shù)據(jù)泄露變亂的話,可能就會對公司業(yè)務(wù)產(chǎn)生巨大的負(fù)面影響.

而針對大數(shù)據(jù)平臺的數(shù)據(jù)平安市場和客戶方面,IBM曾向媒體表示,目前IBM已有一個(gè)比較大的國內(nèi)“運(yùn)營商”客戶開始用Guardium保護(hù)他們的大數(shù)據(jù)系統(tǒng),而IBM也在積極地和世界各地的大數(shù)據(jù)廠商展開合作,除了之前提到的Cloudera和Hortonworks外,還有國外用的比較多的MongoDB以及IBM自己的BigInsights,Guardium對這些基于Hadoop的大數(shù)據(jù)平臺的支持情況都很不錯(cuò),IBM認(rèn)為未來這塊市場會比較廣闊.

Guardium對MongoDB集群的支持

和IBM現(xiàn)有資源的聯(lián)動

IBM最大的優(yōu)勢,在于其對整個(gè)IT行業(yè)的布局和所擁有資源的聯(lián)動整合.而這同樣也會反映在其企業(yè)如收購并購等重大的戰(zhàn)略決策上.IBM在2009年收購Guardium的時(shí)候,其對“主機(jī)平安”監(jiān)控的支持以及與IBM現(xiàn)有主要產(chǎn)品線(比如全球金融系統(tǒng)都用于存放核心業(yè)務(wù)數(shù)據(jù)的IBM DB2)的契合是打動IBM的首要原因,也是促成此次收購的先決條件之一.

除此以外,在整個(gè)“平安免疫體系”中,Guardium和處于“大腦”位置的SOC平臺QRadar的“雙向集成”,也是Guardium與其它同類產(chǎn)品區(qū)別的明顯特點(diǎn).處于“平安智能”領(lǐng)域的QRadar,會整合客戶網(wǎng)絡(luò)中的SIEM提交的日志分析結(jié)果、漏洞狀況報(bào)告以及風(fēng)險(xiǎn)和資產(chǎn)等數(shù)據(jù),并結(jié)合IBM X-Force平臺提供的實(shí)時(shí)威脅情報(bào)以及Watson for Cyber Security實(shí)現(xiàn)聯(lián)動,分析客戶網(wǎng)絡(luò)的平安環(huán)境和外部威脅,檢測異常行為和平安事件的發(fā)生并通過Resilient系統(tǒng)反饋給用戶應(yīng)急響應(yīng)流程.整個(gè)從檢測到分析再到響應(yīng)的過程,各個(gè)平安產(chǎn)品都是聯(lián)動的,而處于數(shù)據(jù)平安類的Guardium也是如此.

Guardium與QRadar的雙向集成

不只是將Guardium所篩選出來的和數(shù)據(jù)平安相關(guān)的信息推送到QRadar幫助QRadar做出分析判斷,更是在QRadar獲得情報(bào)后,例如發(fā)現(xiàn)攻擊行為或者說某個(gè)數(shù)據(jù)系統(tǒng)是一個(gè)受攻擊目標(biāo)后,作為一個(gè)“指揮官”一樣的角色去命令Guardium把當(dāng)前某一個(gè)惡意鏈接斷掉,甚至是說短時(shí)間隔離出去,并為后期的調(diào)查取證以及實(shí)時(shí)的應(yīng)急響應(yīng),爭取一些時(shí)間上的優(yōu)勢.這才是所謂的“雙向集成”.也就是說,Guardium可以和QRadar做到某種程度上的互動,不僅僅是我告訴你一些情報(bào),而是在處置的過程中可以聯(lián)合起來,做一些保護(hù)的動作.

當(dāng)然,Guardium和類似QRadar的SIEM或是SOC平臺的集成并不局限于QRadar,例如惠普的Arcsight等,以及一些國內(nèi)用戶使用SIEM和SOC平臺,只要都是使用符合某些通信標(biāo)準(zhǔn)的協(xié)議格式,例如leef格式(Log Event Enhanced Format),Guardium都可以集成其中,發(fā)揮起自己在數(shù)據(jù)平安領(lǐng)域的能力.

數(shù)據(jù)平安分析

最早Guardium的設(shè)計(jì)初衷是實(shí)現(xiàn)數(shù)據(jù)庫的監(jiān)控,包括前文所提到的對主流行業(yè)標(biāo)準(zhǔn)的自動化合規(guī).換句話說,并不是那么強(qiáng)調(diào)從平安的角度來講看問題.而發(fā)展到今天,IBM的“平安免疫系統(tǒng)”則是更重視從“平安”的視角解決問題.那么,如何將一些底層的技術(shù)數(shù)據(jù),向業(yè)務(wù)層面轉(zhuǎn)化,發(fā)現(xiàn)一些規(guī)律性的內(nèi)容,并最終應(yīng)用到平安上,是Guardium進(jìn)行數(shù)據(jù)平安分析的目標(biāo).

數(shù)據(jù)平安分析

例如,從客戶的時(shí)間維度來看,數(shù)據(jù)庫的拜訪是有規(guī)律的,客戶的業(yè)務(wù)時(shí)間也是有規(guī)律的,Guardium則是要把這個(gè)規(guī)律先找到.實(shí)際上Guardium在其系統(tǒng)里已經(jīng)內(nèi)建了機(jī)器學(xué)習(xí)的引擎,并可以根據(jù)你歷史拜訪活動的信息刻畫出一個(gè)數(shù)據(jù)的拜訪“基線”,而之后則可以利用這個(gè)基線對后期的拜訪活動做一些判別.

回望中國數(shù)據(jù)平安市場,國內(nèi)一些專注于數(shù)據(jù)平安這一細(xì)分領(lǐng)域的廠商,近幾年發(fā)展的速度非常迅猛.無論是本地還是云上,市場對數(shù)據(jù)平安的需求一直很強(qiáng)烈,而各家客戶數(shù)據(jù)庫類型和操作系統(tǒng)的紛繁復(fù)雜也給國內(nèi)這些廠商在技術(shù)能力上設(shè)置了不小的“關(guān)卡”.同時(shí),無法和這些國際上主流的數(shù)據(jù)庫廠商建立交流和合作機(jī)制、難以實(shí)現(xiàn)對各家數(shù)據(jù)庫產(chǎn)品的深度兼容,也是這些數(shù)據(jù)平安廠商亟待解決的問題.

反觀IBM,除了保持并擴(kuò)大目前在技術(shù)、資源上的積累優(yōu)勢外,是否能讓自己的平安產(chǎn)品更加“接地氣”,更習(xí)慣于傾聽中國客戶的聲音,讓平安產(chǎn)品在細(xì)節(jié)上更契合中國用戶的使用習(xí)慣,我想尤其是對于像IBM這樣的全球“巨人”來講,絕不會是一件容易的事情.但是,值得期待.

－－－

微信最新版,長按"大眾號,可“置頂”

歡迎參與《Guardium數(shù)據(jù)庫安全技術(shù)詳解》討論，分享您的想法，維易PHP學(xué)院為您提供專業(yè)教程。

轉(zhuǎn)載請注明本頁網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/13746.html