数据库安全技术在企业环境下的表现总是不够理想,而在众多影响效果的因素之中,复杂性始终是引发问题的关键。
尽管目前针对敏感数据库保护推出的产品已经相当成熟、大多数管理者也拥有一定执行经验,但不少企业在运用综合性数据库安全技术与流程来保护关键性数据库方面仍然有很长的路要走——更不用说企业数据库了。虽然合规性委托正逐步推动数据库活动监控(简称DAM)工具在企业层面的普及,但技术本身在企业玩意中的成长仍然受到两大因素的重重制约,这就是成本与复杂性。
“在企业中实施安全技术需要面临重重困难的原因之一在于成本模式,”Securosis公司分析师兼CTO Adrian Lane指出。“很多时候要想在企业中全面推广安全方案要求管理者投入巨额资金,但与之形成鲜明对比的是,方案供应商往往将情况描述得很美好、让人误以为花不了多少钱就能搞定一切。”
根据Lane的说法,来自数家金融机构的报告显示DAM技术的最终推广开支比最初预算高出两到三倍。
根据多位安全专家的意见,如今的数据库安全技术确实有些太过复杂以至于很难打理。GreenSQL日前对超过1300位IT专业人士开展了调查,希望了解他们在处理数据库安全问题时所面临的最大阻碍。有31%的受访者将矛头指向复杂性,这也使其顺利成为数据库安全阻碍中的罪魁祸首。
那么数据库安全机制的部署工作到底为什么既昂贵且复杂?下面我们一起来看影响最大的五个因素:
1. 规模当一家小型或中型企业只需要处理几十或至多几百台数据库服务器的保护工作时,也许我们还有办法应付下来,GreenSQL公司联合创始人兼CTO David Maman指出。但企业中的数据库基础设施如雨后春笋般迅速涌现并形成规模,那么保护工作就变得极为困难、单靠人力操控几乎无法实现。
“走访全球财富五百强企业,我们会发现其中约有四成拥有超过一万台数据库服务器,”Mamann表示。“在如此庞大的规模之上,仅仅对其中五分之一数据库进行活动监控就能轻易花掉企业数百万美元预算。”
2.合规性部署不当
大多数DAM技术的早期买家都希望能凭借现成方案快速搞定自身SOX合规性问题。即使是在合规性仍然作为安全方案销售主导的今天,我们仍然面临着严峻现实——跨数据库合规性部署不当情况普遍存在,这直接导致安全方案的功能性受到制约、管理员只能分别或同时使用其中的一小部分功能。
很多时候购买了超过需要的DAM方案或是没有按预期方式使用这项技术——这基本上已经成为一种常态。
“有趣的是,我最近看到很多使用DAM技术的用户没有进行登录检测,而这恰恰是我们购买这类工具的主要目的,”Lane解释道。“这样的部署模式太糟糕了,因为如果抛开登录检测,我们还有很多更便宜的方案来实现其它功能诉求。”
3. SIEM与DAM未能默契配合
根据Lane的观点,很多企业在安全机制身上花了大量时间、聘请多位专家并投入海量资源,希望打造出全能型安全信息及事件管理(简称SIEM)平台。但其中最大的问题在于:除了少数特例,大部分用户都没能让DAM与SIEM展开默契配合。
“许多企业选择对SIEM进行投资并将其视为安全工具的主体方案,换言之业务环境下的所有状况都应被正确反馈到SIEM当中,”Lane表示。“但坦诚地讲,DAM与SIEM很难并行不悖,除非技术人员能把二者的功能加以全面整合。”
4.性能至上、忽视安全
通过观察,Maman发现即使是在已经具备某种监控技术的企业中,IT团队仍然不敢利用封锁机制预言滥用状况的发生。
“就算是出于安全性考量,他们还是不能承担某些敏感信息或必要数据无法被系统调用的风险,”他补充道。
事实上,“数据库管理员既了解又忽视”着数据库安全问题,Lane解释道。他们通常会把数据安全作为数据库管理工作中的一项重点——他们甚至愿意在内核层面使用代理。然而在管理人员的思维中,安全的重要性永远要低于性能表现,他指出。而一旦管理工作或政策制定方面出现两难选择,他们必然会首先放弃安全诉求。
“数据库管理员并不是安全专家,他们不清楚合理威胁是什么、也不知道该如何制定政策加以解决,”他表示。“因此他们会把希望寄托在工具上,并努力适应其中一切不合理之处。”
数据库的复杂性则起到了推波助澜的作用,它在专注于性能的数据库管理员与努力规避风险的安全专家之间构建起一道鸿沟,前者不懂安全、后者不了解数据库运行原理。也正是出于这个原因,GreenSQL的调查中才有五分之一的受访者认为数据库安全课题对技能、沟通等专业水平的要求是解决一切的最大阻碍。缺乏这样的专业知识,我们很可能制定出危险的配置规划、进而令安全主动权彻底丢失。
“数据库往往非常复杂,所以保证数据库管理员理解各类配置方案给安全性带来的潜在影响就显得非常重要,”Stonesoft公司技术部门副总裁Phil Lerner告诉我们。“当管理员专注于可用性时,他们往往也同时忽视了可能引发安全漏洞并造成机密数据外泄的配置问题。应用程序及其访问与加密处理同样会给后端数据库带来重大安全风险。”
5.应用程序复杂性
数据库安全课题中的另一大重大挑战在于,这些数据只有在与动态应用环境连接的前提下才能正常发挥作用——而最严重的安全事故往往与这些连接机制密不可分。下面我们就以SAP应用为例。
“SAP应用以一种极为复杂的方式管理着数据库架构,”Maman指出。“它会根据数百套不同数据库的运行状况生成超过一千套表格,并分别为其创建难以理解的表格标题。当我们钻研数据库内容时,必须得拿出大把大把的时间来尝试弄懂自己能在哪个源应用中的哪个表格处使用权限。”
应用程序与数据库之间的关系不仅极为复杂,而且非常多变。企业级应用的动态特性使其难于直接为DAM工具所控制,只有经过严格培训的管理员才能打理好一切、并以自动化形式实施封锁政策。
“我们曾与美国本土的一家大型银行开展过讨论,他们表示已经开始把技能培训作为企业的第三大重点目标来处理,而且到目前为止还不知道何时才能收到成效,”Maman告诉我们。