数据库安全管理实践 你的数据库在哪里?

安全 数据安全
所有数据库安全战略的最重要的步骤之一,同时也是最有可能被人遗忘的步骤之一,就是:列出企业管理的数据库。只有企业知道它有多少个数据库,哪个数据库包含敏感信息,企业才有可能基于风险来对这些数据库进行优先排序,并部署适当的控制。然而,在数据库发现方面,很多公司仍然处于“混沌”之中。

所有数据库安全战略的最重要的步骤之一,同时也是最有可能被人遗忘的步骤之一,就是:列出企业管理的数据库。只有企业知道它有多少个数据库,哪个数据库包含敏感信息,企业才有可能基于风险来对这些数据库进行优先排序,并部署适当的控制。然而,在数据库发现方面,很多公司仍然处于“混沌”之中。

Imperva公司高级产品经理Anu Yamunan表示:“很多公司都难以定位以及准确地知道其数据库上的所有数据。”Vigilant公司高级经理Paul Borchardt也赞同这个说法,他看到很多公司无法维护整个企业的数据库或应用程序库存清单。他表示,“你听起来非常简单且具有逻辑性,但准确的资产清单通常是不存在的,如果存在的话,也是由不同资产管理者(例如数据库管理员和开发人员)分散管理的,无法找出包含你的客户的PII信息的数据库,这将会让你难以面对监管机构和法院的审查。”

这里的部分问题在于规模。很多企业在其IT基础设施内运行数百个数据库,有些数据库比其他数据库更加明显一些。根据最新的IOUG企业数据安全调查,38%的企业运行着超过100个数据库,而18%运行超过1000个数据库。再加上数据库和应用程序的动态本质,我们就能够明白,为什么看似如此简单的任务仍然在IT的必做工作清单中。

MENTIS Software 市场营销和产品战略副总裁Kevin O'Malley 表示:“数据库的主要问题是复杂性,不断的变化使企业几乎不可能通过手动程序来追踪。”

此外,其他业务和技术趋势也加剧了发现和追踪数据库的难度。Yamunan表示,“虚拟化就是其中之一,例如,管理员可以轻松地创建一个数据库的新的虚拟镜像,这个虚拟镜像现在包含一个‘虚拟’数据库,不受IT安全控制。”

同样地,备份数据存储到云中也给发现和保护数据库带来了潜在的问题。快照功能不仅创建了难以追踪的数据库副本,而且它们通常不具备加密功能。例如,亚马逊AWS具有关系数据库服务(RDS),而没有加密数据库快照功能。

Laconic Security公司联合创始人Fred Thiele表示,“此外,亚马逊还有冗余故障转移选项,如果主数据库出现故障,还可以保持最新的备份,同样,如果你数据库中有未加密的数据,未加密的数据会以纯文本格式被复制到亚马逊的另一个地方。”

不管怎样,企业应该想办法来自动扫描基础设施,以发现和追踪数据库及其包含的信息。O'Malley建立每月或者至少每个季度进行一次完全扫描,来确保企业能够找出敏感数据。定期这样做很重要,因为数据库的内容可能会随着时间的推移而变化,看似无用的数据可能会变成敏感数据。

“在定期扫描的基础上,企业还应该检查和修复基础设施漏洞和错误配置,并持续监控哪些人可以访问敏感数据,”Yamunan认为这会让企业更容易找出存在漏洞的敏感数据库。这样做基本上能够为不同数据的不同数据集来建立风险评分。例如,没有及时修复漏洞的数据库,而又包含信用卡信息,同时又能够被外部用户和应用访问,这种数据库就是高风险数据库。

责任编辑:蓝雨泪 来源: IT168
相关推荐

2013-11-08 00:45:40

国产数据库

2022-02-10 10:51:35

数据库

2010-11-30 11:26:49

2017-10-25 12:59:04

2017-10-18 19:12:24

数据库Oracle安全管理

2011-08-02 15:04:49

2010-09-30 09:11:01

2010-09-30 08:27:48

2011-03-10 13:24:26

2011-03-07 15:54:30

2015-10-30 15:05:08

Sybase数据库安全

2021-11-01 05:54:01

数据库安全信息安全网络攻击

2011-03-17 11:38:35

2010-05-06 12:44:47

Oracle数据库

2021-04-09 08:21:25

数据库索引数据

2011-08-11 14:47:41

2011-08-02 13:37:17

2021-01-06 10:52:02

MySQL数据库安全

2016-09-23 20:20:10

2011-03-28 08:47:46

海量数据库管理中韩数据库专家
点赞
收藏

51CTO技术栈公众号