【51CTO.com 12月13日外电头条】由于数据库管理员队伍在工作中的疏漏,许多机构都面临着数据库安全项目无用武之地的窘境。越来越多的机构已经在积极采取行动,将保护数据库中的数据作为工作的常态;而整个过程中最大的挑战之一来自业务成员。为了切实减轻数据泄露的风险,安全团队不仅要学习如何与数据库管理员们打成一片,更重要的是让这些管理员同样真正参与进来,与他们所管理着的数据库做到休戚相关。专家认为,要达成这一目的,教育及以尊重为基础的交流不可或缺,同时需要双方勇于放开自己的习惯性思维。
"当下(行业内部)存在着一种转变,即我们正着手逐步改进自己的数据库安全实践,并专注于解决那些以往常常被忽视的数据库安全领域,"应用程序安全公司CTO Josh Shaul如是说。"掌控着数据库的家伙--也就是数据库管理员们——发现他们所熟知的世界正发生颠覆式变革,而出于对安全性的基础要求,过去他们曾习以为常的某些自主措施也已经消失不见。以我个人的经历来看,数据库管理员与安全团队之间的裂隙正日益扩大,二者在理解或是远景预期方面的差异程度正是决定机构在数据库安全方面能否有所作为的关键性因素。"
这种认知差异的产生原因主要来自技术背景方面的分歧。
"通常情况下,数据库管理员们会把主要精力放在性能及细节调整方面,他们一般都没什么时间参加与安全性有关的培训。我们得承认他们在自己的份内工作上表现出色,至于其它内容,边做边学也算是种不错的选择,"Protiviti公司执行董事Scott Laliberte说道。"而在另一方面,大多数安全专业人士对数据库也没什么深入理解,他们往往是操作系统、网络及具体应用方面的行家;听取他们的安全建议非常简单,但大家常常会发现这些建议无法直接应用于数据库当中,更不能实际进行操作。正是出于这一原因,数据库管理员对这类建议往往相当抵触。"
根据纽约家访护理服务中心CISO(即首席信息安全官)Larry Whiteside的说法,许多安全控制工作在实施的同时会必然导致数据库内部处理性能的相应下降。而对于将处理性能视为生命的数据库管理员们而言,这种消极结果当然是很难忍受的;因此他们总在讨论安全性话题时打哈哈也在情理之中。
"由于数据库管理员的述职报告通常以执行层面的信息为重点,因此他们总是强烈关注数据库的运作角度--保证其正常工作、保证其工作效率等--而与此同时,跟数据库安全性相关的各类组件所负责的内容则几乎与管理员们背道而驰--尝试在其中加入监控机制、尝试清理可能产生性能阻碍的东西等等,"Whiteside解释道。"这对于数据库管理员的日常工作内容来说简直是种挑衅。"
为了让管理员队伍摆脱安全工作这种令人厌恶的第一印象,CISO团队应该尽量尝试与他们进行深入交流并通力协作,而不是一味对抗或强迫。一段时间以来,安全部门中已经出现一种趋势,也就是说他们从过去否定一切的恼人身份转变为如今以商务交易安全性为主旨的合作者,Whiteside补充道。
"在过去的三到五年中,安全人员的作用已经发生了变化。四年前刚刚入行时,我的主要目的是让自己的职位不要站在IT团队、管理员以及商务部门的对立面,而是尽量成为他们的朋友。这样他们就会切身体会到虽然我常常带来坏消息,但归根结底大家同坐一条船,并且我的出发点是从长远角度帮助企业节约时间、金钱跟资源,"他表示。"(我希望)确保自己不会对商务团队进行人身攻击或是阻碍其正常工作。而当下这种标准则进一步细化为努力配合数据库管理员的业务流程。"
当他开始与数据库管理员主管Larry Byrnes展开对话,这种原则性态度使得数据库环境内部的控制实施工作变得更为顺畅。
"讨论使具体工作变得更加简单易行,因为我们站在同样的立场上分析问题,而且双方都不希望为安全性所做出的改变给数据库或者数据库访问用户所需要的应用程序带来任何负面影响,"纽约家访护理服务中心数据库主管Byrnes指出。"所以我们决定为同一个奋斗目标并肩努力,最终拿出一套能令大家都感到满意的方案。"
Whiteside与Byrnes之所以能够成功部署来自AppSec的数据库安全体系,正是由于这种抛弃己见、服务全局的战略眼光。同时Byrnes在整个实施流程中为自己设置的导航员角色也起到了相当良好的辅助作用。他认为,如果安全团队希望赢得数据库安全项目的最终胜利,那么让直接了解这一领域的数据库管理员放到主驾位置无疑是必要的;管理员对数据库的部署及管理工作自然得心应手,而安全专家则包揽数据观察及输出结果审计监控的工作。
"必须调动数据库管理员们的主观能动性,让他们参与进来、掌管项目并真正为落实工作做出贡献,"Byrnes评价道。"一天的工作结束之后,我们必须保证数据库本身内容准确、工作良好。而数据库管理员则无疑是收集(安全团队所需的)系统工作状态信息的上上之选,"Byrnes补充道,他还解释称数据库管理员应该将此视为对职业发展大有裨益的锻炼良机。"如果大家已经对着数据库和列表工作了多年,那么尝试跳出这个圈子,多了解一些其它领域的知识不也是完善职业规划的一种有益尝试吗?这样的经验能为我们提供更多的选择。"
为了让以上各种美好设想变为现实,像来自Vormetric公司的解决方案架构师Jonathan Intner这样的多位专家都认为,各类机构必须努力为数据库管理员提供更好的安全性原则培训。
"要迅速与数据库管理员们建立信任与合作关系,IT安全专家们最好的办法之一就是帮他们学习一些基本的安全原则。不少管理员都没意识到这一领域的重要性,"Intner说道。"我身边就有这样一个实例。我们发现有家公司对数据进行了加密,并把密钥文件保存在了同一台服务器中。而每一次他们对数据库内容进行备份,这个密钥文件就被备份一次。这有点像锁了门之后却把钥匙粘在门把手上。将密钥与数据保存在一处会带来不必要的安全风险。这对于安全专家而言属于常识,但大多数数据库管理员却对此一无所知。"
原文链接:
http://www.darkreading.com/database-security/167901020/security/news/232300305/can-security-teams-and-dbas-play-nice.html
【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】