《Guardium數(shù)據(jù)庫(kù)安全技術(shù)詳解》要點(diǎn)：
本文介紹了Guardium數(shù)據(jù)庫(kù)安全技術(shù)詳解，希望對(duì)您有用。如果有疑問(wèn)，可以聯(lián)系我們。

比起業(yè)務(wù)和功能的先行,平安的發(fā)展似乎總是慢人一步.但隨著IT基礎(chǔ)設(shè)施對(duì)各行業(yè)的滲透,無(wú)論是本地還是云上對(duì)數(shù)據(jù)平安能力愈加重視,需求也愈加迫切.

國(guó)內(nèi)近幾年出現(xiàn)了一些數(shù)據(jù)庫(kù)平安廠商,如安華金和、漢領(lǐng)信息、中安比特、昂楷科技等,他們的在國(guó)內(nèi)數(shù)據(jù)平安市場(chǎng)的聲音越來(lái)越大；而國(guó)外,專注數(shù)據(jù)庫(kù)平安的Guardium,結(jié)合IBM在全球的影響力優(yōu)勢(shì),也慢慢開(kāi)始在中國(guó)市場(chǎng)發(fā)力.

從獨(dú)立平安企業(yè)到“平安免疫體系”中的一員

時(shí)間倒退回2002年,一家名為“Guardium”的數(shù)據(jù)庫(kù)平安公司在在以色列成立.

Guardium是當(dāng)時(shí)行業(yè)內(nèi)唯一一家擁有針對(duì)主機(jī)(大型機(jī))平安監(jiān)控解決方案的平安廠商.同時(shí),Guardium推崇通過(guò)在數(shù)據(jù)庫(kù)系統(tǒng)上安裝輕量級(jí)“探針”(軟件),從而實(shí)現(xiàn)從底層抓取所有對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)行為.因其部署靈活、對(duì)數(shù)據(jù)庫(kù)系統(tǒng)資源消耗小、數(shù)據(jù)庫(kù)訪問(wèn)行為覆蓋全面等特點(diǎn),Guardium在7年間積累了約400名客戶,公司的規(guī)模也成長(zhǎng)到了150人左右.

2009年末,IBM以2.25億美元的價(jià)格,正式對(duì)外宣布完成對(duì)Guardium的收購(gòu),并決心利用其在“主機(jī)平安”領(lǐng)域的優(yōu)勢(shì),為IBM自身的數(shù)據(jù)庫(kù)產(chǎn)品(例如IBM DB2)賦能,使其在對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)活動(dòng)監(jiān)控能力有所增強(qiáng).

2012年,IBM Security 正式成立,原來(lái)分散在各子部門的平安產(chǎn)品得到有效的整合.Guardium 系列也開(kāi)始作為其在“數(shù)據(jù)平安”領(lǐng)域的獨(dú)立產(chǎn)品推出.

2016年,IBM Security整合其在數(shù)據(jù)平安、應(yīng)用平安、網(wǎng)絡(luò)平安、終端平安、移動(dòng)平安、高級(jí)防欺詐、身份和存取控制以及平安智能等8個(gè)平安領(lǐng)域的產(chǎn)品線,并結(jié)合IBM X-Force推出IBM“平安免疫體系”,而Guardium Suite正是其“數(shù)據(jù)平安”產(chǎn)品類的主力.

平安免疫體系

IBM的優(yōu)勢(shì)并不在于其在某項(xiàng)領(lǐng)域的專精程度,相反,通過(guò)對(duì)細(xì)分領(lǐng)域處于領(lǐng)先優(yōu)勢(shì)廠商的收購(gòu)并購(gòu),并將其產(chǎn)品技術(shù)能力徹底的吸收消化,再整合到本身的現(xiàn)有的產(chǎn)品線中,發(fā)揮其更大的作用,這才是這個(gè)巨人的真正強(qiáng)大之處.

部署和合規(guī)上的優(yōu)勢(shì)

從Guardium在2002年成立之初,技術(shù)思路便是通過(guò)在數(shù)據(jù)庫(kù)系統(tǒng)上安裝探針軟件的方式,實(shí)現(xiàn)基于策略的數(shù)據(jù)流量轉(zhuǎn)發(fā).

S-TAP探針部署

做數(shù)據(jù)庫(kù)平安的客戶,都想要知道這些數(shù)據(jù)：什么人,在哪些時(shí)間,訪問(wèn)了哪些數(shù)據(jù)資源.而這需要無(wú)論是來(lái)自網(wǎng)絡(luò)層協(xié)議通信的應(yīng)用,還是通過(guò)高權(quán)限賬號(hào)從本地直連到數(shù)據(jù)庫(kù)的服務(wù)器,對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)信息的抓取都要做到全覆蓋.而通過(guò)在數(shù)據(jù)庫(kù)服務(wù)器上安裝探針的方式,可以做到把無(wú)論是來(lái)自本地還是網(wǎng)絡(luò)的所有操作都抓到.

Guardium的探針本身是操作系統(tǒng)層的軟件,與數(shù)據(jù)庫(kù)的配置無(wú)關(guān),同時(shí)作為一個(gè)輕量級(jí)的進(jìn)程,從運(yùn)維的角度來(lái)講對(duì)數(shù)據(jù)庫(kù)系統(tǒng)資源的消耗非常小,即使是在數(shù)據(jù)庫(kù)發(fā)生大規(guī)模并發(fā)拜訪的情況下,也不會(huì)影響其正常運(yùn)行.

同時(shí),探針軟件對(duì)平臺(tái)和主流數(shù)據(jù)庫(kù)的異常廣泛,國(guó)內(nèi)廠商幾乎無(wú)人能出其右.而云環(huán)境下的探針部署,也因?yàn)槠溥\(yùn)行在OS層而幾乎不受影響.無(wú)論是VM還是物理機(jī),只要運(yùn)行的操作系統(tǒng)不變,探針就可以正常工作.

Guardium所支持?jǐn)?shù)據(jù)平臺(tái)類型

除了探針的部署以外,在合規(guī)方面,“自動(dòng)化合規(guī)”是目前數(shù)據(jù)庫(kù)審計(jì)市場(chǎng)大部分客戶的需求.因?yàn)榭蛻舻暮弦?guī)本身是一個(gè)成本很高的過(guò)程,所以在實(shí)際的客戶合規(guī)過(guò)程中,客戶往往要做很多額外的的工作.而Guardium本身內(nèi)嵌了許多“現(xiàn)成“合規(guī)最佳實(shí)踐.例如金融行業(yè)的PCI DSS(第三方支付行業(yè)數(shù)據(jù)平安標(biāo)準(zhǔn))、SOC(薩班斯法案)、SAS70、ISO 27001/2以及”數(shù)據(jù)隱私法”等甚至還沒(méi)在中國(guó)大陸正式推行的相關(guān)規(guī)定,都包含在Guardium其中.這無(wú)疑給用戶的合規(guī)帶來(lái)了極大的便宜.除此以外,對(duì)企業(yè)內(nèi)部的“內(nèi)審”合規(guī)性要求,Guardium也能通過(guò)其靈活的部署和配置給予最大程度的支持.

PCI DSS 審計(jì)

從數(shù)據(jù)庫(kù)平安向數(shù)據(jù)平安的延伸

對(duì)年夜數(shù)據(jù)平臺(tái)的支持

因?yàn)槭蹽uardium本身的基因所限,IBM在收購(gòu)后很長(zhǎng)一段時(shí)間之內(nèi),還是以數(shù)據(jù)庫(kù)平安的思路來(lái)做.但隨著大數(shù)據(jù)技術(shù)尤其是Hadoop大數(shù)據(jù)處理平臺(tái)在2011年后的快速發(fā)展與廣泛的商業(yè)化應(yīng)用,IBM也開(kāi)始逐漸與一些業(yè)內(nèi)影響廣泛的大數(shù)據(jù)廠商(如Cloudera、Hortonworks)合作,而Guardium也從那時(shí)開(kāi)始了對(duì)大數(shù)據(jù)平臺(tái)支持的研發(fā).

Guardium對(duì)Hadoop集群的支持

無(wú)論是國(guó)內(nèi)還是國(guó)外,有很大一部分的大數(shù)據(jù)廠商,其發(fā)行版的底層都是基于開(kāi)源的Hadoop來(lái)做,而在上層封裝的定制化服務(wù),則可以幫助用戶進(jìn)行一系列的操作和拜訪.而Guardium團(tuán)隊(duì)最大的優(yōu)勢(shì),就是在于利用IBM現(xiàn)有的資源和影響力和這些大數(shù)據(jù)廠商一家一家的洽談,了解他們底層的開(kāi)發(fā)架構(gòu)是什么樣子,命令的執(zhí)行又是怎樣的.所以通過(guò)這些上層服務(wù)對(duì)數(shù)據(jù)庫(kù)的拜訪行為,可以完全被Guardium所獲知.再加上因?yàn)镠adoop架構(gòu)應(yīng)用的廣泛性,Guardium對(duì)這些基于Hadoop的大數(shù)據(jù)廠商的產(chǎn)品理論上都可以實(shí)現(xiàn)比較好的支持.

因?yàn)楝F(xiàn)在很多企業(yè)都會(huì)選擇將重要的數(shù)據(jù)放進(jìn)這樣一個(gè)平臺(tái)做全方位的關(guān)聯(lián)分析,原先黑客可能攻破一個(gè)數(shù)據(jù)庫(kù)只能拿到這個(gè)公司的部分業(yè)務(wù)信息,而如果是大數(shù)據(jù)系統(tǒng)出現(xiàn)了問(wèn)題,發(fā)生了數(shù)據(jù)泄露變亂的話,可能就會(huì)對(duì)公司業(yè)務(wù)產(chǎn)生巨大的負(fù)面影響.

而針對(duì)大數(shù)據(jù)平臺(tái)的數(shù)據(jù)平安市場(chǎng)和客戶方面,IBM曾向媒體表示,目前IBM已有一個(gè)比較大的國(guó)內(nèi)“運(yùn)營(yíng)商”客戶開(kāi)始用Guardium保護(hù)他們的大數(shù)據(jù)系統(tǒng),而IBM也在積極地和世界各地的大數(shù)據(jù)廠商展開(kāi)合作,除了之前提到的Cloudera和Hortonworks外,還有國(guó)外用的比較多的MongoDB以及IBM自己的BigInsights,Guardium對(duì)這些基于Hadoop的大數(shù)據(jù)平臺(tái)的支持情況都很不錯(cuò),IBM認(rèn)為未來(lái)這塊市場(chǎng)會(huì)比較廣闊.

Guardium對(duì)MongoDB集群的支持

和IBM現(xiàn)有資源的聯(lián)動(dòng)

IBM最大的優(yōu)勢(shì),在于其對(duì)整個(gè)IT行業(yè)的布局和所擁有資源的聯(lián)動(dòng)整合.而這同樣也會(huì)反映在其企業(yè)如收購(gòu)并購(gòu)等重大的戰(zhàn)略決策上.IBM在2009年收購(gòu)Guardium的時(shí)候,其對(duì)“主機(jī)平安”監(jiān)控的支持以及與IBM現(xiàn)有主要產(chǎn)品線(比如全球金融系統(tǒng)都用于存放核心業(yè)務(wù)數(shù)據(jù)的IBM DB2)的契合是打動(dòng)IBM的首要原因,也是促成此次收購(gòu)的先決條件之一.

除此以外,在整個(gè)“平安免疫體系”中,Guardium和處于“大腦”位置的SOC平臺(tái)QRadar的“雙向集成”,也是Guardium與其它同類產(chǎn)品區(qū)別的明顯特點(diǎn).處于“平安智能”領(lǐng)域的QRadar,會(huì)整合客戶網(wǎng)絡(luò)中的SIEM提交的日志分析結(jié)果、漏洞狀況報(bào)告以及風(fēng)險(xiǎn)和資產(chǎn)等數(shù)據(jù),并結(jié)合IBM X-Force平臺(tái)提供的實(shí)時(shí)威脅情報(bào)以及Watson for Cyber Security實(shí)現(xiàn)聯(lián)動(dòng),分析客戶網(wǎng)絡(luò)的平安環(huán)境和外部威脅,檢測(cè)異常行為和平安事件的發(fā)生并通過(guò)Resilient系統(tǒng)反饋給用戶應(yīng)急響應(yīng)流程.整個(gè)從檢測(cè)到分析再到響應(yīng)的過(guò)程,各個(gè)平安產(chǎn)品都是聯(lián)動(dòng)的,而處于數(shù)據(jù)平安類的Guardium也是如此.

Guardium與QRadar的雙向集成

不只是將Guardium所篩選出來(lái)的和數(shù)據(jù)平安相關(guān)的信息推送到QRadar幫助QRadar做出分析判斷,更是在QRadar獲得情報(bào)后,例如發(fā)現(xiàn)攻擊行為或者說(shuō)某個(gè)數(shù)據(jù)系統(tǒng)是一個(gè)受攻擊目標(biāo)后,作為一個(gè)“指揮官”一樣的角色去命令Guardium把當(dāng)前某一個(gè)惡意鏈接斷掉,甚至是說(shuō)短時(shí)間隔離出去,并為后期的調(diào)查取證以及實(shí)時(shí)的應(yīng)急響應(yīng),爭(zhēng)取一些時(shí)間上的優(yōu)勢(shì).這才是所謂的“雙向集成”.也就是說(shuō),Guardium可以和QRadar做到某種程度上的互動(dòng),不僅僅是我告訴你一些情報(bào),而是在處置的過(guò)程中可以聯(lián)合起來(lái),做一些保護(hù)的動(dòng)作.

當(dāng)然,Guardium和類似QRadar的SIEM或是SOC平臺(tái)的集成并不局限于QRadar,例如惠普的Arcsight等,以及一些國(guó)內(nèi)用戶使用SIEM和SOC平臺(tái),只要都是使用符合某些通信標(biāo)準(zhǔn)的協(xié)議格式,例如leef格式(Log Event Enhanced Format),Guardium都可以集成其中,發(fā)揮起自己在數(shù)據(jù)平安領(lǐng)域的能力.

數(shù)據(jù)平安分析

最早Guardium的設(shè)計(jì)初衷是實(shí)現(xiàn)數(shù)據(jù)庫(kù)的監(jiān)控,包括前文所提到的對(duì)主流行業(yè)標(biāo)準(zhǔn)的自動(dòng)化合規(guī).換句話說(shuō),并不是那么強(qiáng)調(diào)從平安的角度來(lái)講看問(wèn)題.而發(fā)展到今天,IBM的“平安免疫系統(tǒng)”則是更重視從“平安”的視角解決問(wèn)題.那么,如何將一些底層的技術(shù)數(shù)據(jù),向業(yè)務(wù)層面轉(zhuǎn)化,發(fā)現(xiàn)一些規(guī)律性的內(nèi)容,并最終應(yīng)用到平安上,是Guardium進(jìn)行數(shù)據(jù)平安分析的目標(biāo).

數(shù)據(jù)平安分析

例如,從客戶的時(shí)間維度來(lái)看,數(shù)據(jù)庫(kù)的拜訪是有規(guī)律的,客戶的業(yè)務(wù)時(shí)間也是有規(guī)律的,Guardium則是要把這個(gè)規(guī)律先找到.實(shí)際上Guardium在其系統(tǒng)里已經(jīng)內(nèi)建了機(jī)器學(xué)習(xí)的引擎,并可以根據(jù)你歷史拜訪活動(dòng)的信息刻畫(huà)出一個(gè)數(shù)據(jù)的拜訪“基線”,而之后則可以利用這個(gè)基線對(duì)后期的拜訪活動(dòng)做一些判別.

回望中國(guó)數(shù)據(jù)平安市場(chǎng),國(guó)內(nèi)一些專注于數(shù)據(jù)平安這一細(xì)分領(lǐng)域的廠商,近幾年發(fā)展的速度非常迅猛.無(wú)論是本地還是云上,市場(chǎng)對(duì)數(shù)據(jù)平安的需求一直很強(qiáng)烈,而各家客戶數(shù)據(jù)庫(kù)類型和操作系統(tǒng)的紛繁復(fù)雜也給國(guó)內(nèi)這些廠商在技術(shù)能力上設(shè)置了不小的“關(guān)卡”.同時(shí),無(wú)法和這些國(guó)際上主流的數(shù)據(jù)庫(kù)廠商建立交流和合作機(jī)制、難以實(shí)現(xiàn)對(duì)各家數(shù)據(jù)庫(kù)產(chǎn)品的深度兼容,也是這些數(shù)據(jù)平安廠商亟待解決的問(wèn)題.

反觀IBM,除了保持并擴(kuò)大目前在技術(shù)、資源上的積累優(yōu)勢(shì)外,是否能讓自己的平安產(chǎn)品更加“接地氣”,更習(xí)慣于傾聽(tīng)中國(guó)客戶的聲音,讓平安產(chǎn)品在細(xì)節(jié)上更契合中國(guó)用戶的使用習(xí)慣,我想尤其是對(duì)于像IBM這樣的全球“巨人”來(lái)講,絕不會(huì)是一件容易的事情.但是,值得期待.

－－－

微信最新版,長(zhǎng)按"大眾號(hào),可“置頂”

歡迎參與《Guardium數(shù)據(jù)庫(kù)安全技術(shù)詳解》討論，分享您的想法，維易PHP學(xué)院為您提供專業(yè)教程。

轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址：
http://www.snjht.com/jiaocheng/13746.html