所有数据库安全战略的最重要的步骤之一,同时也是最有可能被人遗忘的步骤之一,就是:列出企业管理的数据库。只有企业知道它有多少个数据库,哪个数据库包含敏感信息,企业才有可能基于风险来对这些数据库进行优先排序,并部署适当的控制。然而,在数据库发现方面,很多公司仍然处于“混沌”之中。
Imperva公司高级产品经理Anu Yamunan表示:“很多公司都难以定位以及准确地知道其数据库上的所有数据。”Vigilant公司高级经理Paul Borchardt也赞同这个说法,他看到很多公司无法维护整个企业的数据库或应用程序库存清单。他表示,“你听起来非常简单且具有逻辑性,但准确的资产清单通常是不存在的,如果存在的话,也是由不同资产管理者(例如数据库管理员和开发人员)分散管理的,无法找出包含你的客户的PII信息的数据库,这将会让你难以面对监管机构和法院的审查。”
这里的部分问题在于规模。很多企业在其IT基础设施内运行数百个数据库,有些数据库比其他数据库更加明显一些。根据最新的IOUG企业数据安全调查,38%的企业运行着超过100个数据库,而18%运行超过1000个数据库。再加上数据库和应用程序的动态本质,我们就能够明白,为什么看似如此简单的任务仍然在IT的必做工作清单中。
MENTIS Software 市场营销和产品战略副总裁Kevin O'Malley 表示:“数据库的主要问题是复杂性,不断的变化使企业几乎不可能通过手动程序来追踪。”
此外,其他业务和技术趋势也加剧了发现和追踪数据库的难度。Yamunan表示,“虚拟化就是其中之一,例如,管理员可以轻松地创建一个数据库的新的虚拟镜像,这个虚拟镜像现在包含一个‘虚拟’数据库,不受IT安全控制。”
同样地,备份数据存储到云中也给发现和保护数据库带来了潜在的问题。快照功能不仅创建了难以追踪的数据库副本,而且它们通常不具备加密功能。例如,亚马逊AWS具有关系数据库服务(RDS),而没有加密数据库快照功能。
Laconic Security公司联合创始人Fred Thiele表示,“此外,亚马逊还有冗余故障转移选项,如果主数据库出现故障,还可以保持最新的备份,同样,如果你数据库中有未加密的数据,未加密的数据会以纯文本格式被复制到亚马逊的另一个地方。”
不管怎样,企业应该想办法来自动扫描基础设施,以发现和追踪数据库及其包含的信息。O'Malley建立每月或者至少每个季度进行一次完全扫描,来确保企业能够找出敏感数据。定期这样做很重要,因为数据库的内容可能会随着时间的推移而变化,看似无用的数据可能会变成敏感数据。
“在定期扫描的基础上,企业还应该检查和修复基础设施漏洞和错误配置,并持续监控哪些人可以访问敏感数据,”Yamunan认为这会让企业更容易找出存在漏洞的敏感数据库。这样做基本上能够为不同数据的不同数据集来建立风险评分。例如,没有及时修复漏洞的数据库,而又包含信用卡信息,同时又能够被外部用户和应用访问,这种数据库就是高风险数据库。