Verizon《2021年資料洩露調查報告》統計,目前,85%的資料洩露事件都與人為因素有關。企業多年傾心竭力打造的“堅固堡壘”,正因為安全意識薄弱、内部預設可信任機制、資料安全措施落實不到位等“沉疴”,越來越像一枚“硬殼軟糖”!
資料安全建設中,“人”是最關鍵的因素,但也是最薄弱的環節和漏洞。近年來,“内鬼式資料洩露”、“資料庫惡意篡改”、“删庫跑路“等事件屢見不鮮,嚴峻程度逐年升高。
在資料安全重要性不斷提升的今天,應該如何解決?
01資料庫防水壩
圍繞着資料庫運維場景面臨的“人員怎麼管(運維賬号多,操作權限高)、風險操作怎麼防(高危操作、删庫跑路防不勝防)、運維事故怎麼定責(通路身份不明,幕後黑手定位難)”。
美創走過十餘年征程,資料庫防水壩基于對資料庫協定的精準解析、各行業實際安全需求的深入研究,融合衆多創新能力,給出最專業的解法。
▼一張圖了解防水壩▼
資料庫防水壩集敏感資料發現和管理、多因素身份準入機制、動态通路控制、敏感資料脫敏、誤操作恢複、合規審計等多種功能,通過豐富的安全政策對人的風險行為進行管理,以此快速建立安全合規運維體系,防止敏感資料在運維過程被洩露和破壞。
*以分類分級為基礎,實作敏感資料細粒度到列的精細化防護;
*多因素認證,從人、終端、應用、賬戶四大次元進行全面的身份鑒别,精準識别運維人員身份;
*動态通路控制,對敏感資産根據身份組設定通路範圍與通路頻次、脫敏等政策,限制明文外發,有效規避資料洩露、拖庫跑路;
*聚焦權限管控,防止特權賬号敏感SQL通路,支援删庫等誤操作恢複,確定最壞情況下的資料可恢複能力;
*賬号托管,運維人員不需要資料庫IP、端口、資料庫賬号密碼等資訊即可通路資料庫,防止使用者原始賬号資訊洩露;
*全流程事件審計回溯,監控和追溯所有對敏感資産的操作,讓一切非法行為無所遁形。
02落地實踐
金融行業
伴随數字化轉型不斷提速,A銀行運維管理環境日益複雜,駐場開發、資料庫運維、第三方運維已達100餘人。
目前,A銀行裡已部署堡壘機作為運維行為的管控裝置,運維人員通過堡壘機進行調用SQL工具進行資料庫通路,但這一方式存在以下問題:
♦對運維人員操作行為隻能以錄屏的方式進行安全監控;
♦對删除、更改、更新表等操作無法第一時間進行阻斷處理;
♦對人員登入的PC留痕跟蹤問題無法精确覆寫詳細資訊;
♦無法進行全面審計記錄,三方廠商排查相關問題,需要對資料庫進行大量的互動工作;
此前,該行第三方運維人員在處理核心資料庫時失誤操作,導緻業務停機十餘分鐘。
綜合考慮目前堡壘機在資料庫運維層面存在的安全短闆,以及裝置性能瓶頸,A銀行希望剝離資料庫運維流量進行獨立管控,管控資料庫包括核心系統資料庫、外币資料庫、國結資料庫、電子管道資料庫、财務系統資料庫、人臉識别、現金管理平台、管理會計資料庫、信貸管理系統資料庫等300餘個,覆寫Informix、Greenplum、DM、DB2、OceanBase-oracle等多種類型。
對此,資料庫防水壩以免密登入為起點,從敏感資料的快速發現和管理、嚴密的身份準入機制、資産細粒度管控、動态通路控制、誤操作恢複、合規審計等方面支援資料庫運維安全管控。
☞提供統一免密登入入口
資料庫防水壩提供安全用戶端免密登入功能,運維人員通過安全管理者授予的合法用戶端即可通路指定資料庫,解決SQL工具資料庫賬戶密碼記錄留痕問題,避免了賬号密碼洩露,同時有效解決離職賬号回收的困擾。
其次,為避免免密登入注冊的資料庫數量過多,導緻無法直覺在登入界面找到需要登入的目标資料庫。資料庫防水壩安全用戶端可自定義資料庫名稱或在連結後面添加易于識别的資料庫的注冊名稱,并支援在選框中基于關鍵字檢索,進而快速定位到目标資料庫。
最後保障安全用戶端安全通路,避免共享賬号等帶來的安全隐患,資料庫防水壩基于銀行現有OTP應用實作OTP二次驗證進行登入認證,通過賬戶密碼+OTP或軟證書+OTP雙因子組合方式,實作安全可靠的身份校驗。
☞強制管理限制唯一入口
在實作上述通過免密登入功能統一運維登入入口的基礎上,A銀行内部制定并采取了嚴格的運維工作管理制度,強制運維人員必須使用安全用戶端,通過免密登入資料庫開展運維工作,針對此前已暴露的資料庫賬戶的密碼将逐漸進行重新整理,并收斂其他運維通道,限制唯一運維入口,減少安全風險。
醫療行業
随着業務的發展,醫院上線的應用系統越來越多,由于技術人員缺乏,醫院往往會将相應業務系統的維護工作交給原廠商,或外包給第三方代維公司,運維環節的資料洩露成為重要的安全隐患之一。
作為全國首批、全省首家通過國家智慧服務三級評審的C醫院也面臨如此問題。
目前,C醫院已部署的資料庫審計産品,對業務系統通路資料庫進行審計,然而:
♦對于資料庫的使用人員,通過Navicat、PL/SQL、Toad其他資料庫用戶端通路時,無法審計;
♦無法精細化到資料賬戶級别的操作審計;
♦無法做到聚焦敏感資料,并實作權限設定及管控;
♦對高危操作或高危指令的執行無能為力,資料庫使用者直連資料庫時無法審計,難以實作事後追溯。
堡壘機實作了運維安全管理等,但:
♦在資料庫運維管理、跟蹤資料庫運維操作和運維工具防僞造等方面無法做到威脅阻斷;
♦對登入資料庫之後的通路控制存在盲點;
♦缺乏資料庫運維流程化的權限管控機制;
♦無法實作對資料庫DBA權限、Schema對象權限、普通管理者權限分離管控,以及字段級别的權限控制;
基于以上背景,資料庫防水壩與堡壘機關聯,實作從主機到資料庫、從資料庫至資料表的集中安全管控:
☞多因素身份認證,實作身份精準識别,應用防假冒功能,有效避免假冒應用和帶毒工具登入資料庫。
☞權限控制,從特權賬号權限通路控制、行數傳回控制、通路頻次控制、高危操作控制等方面入手,通過對不同級别的DBA資料庫權限進行分類,對特權賬戶、敏感 SQL語句操作賬戶進行梳理和規範,同時對資料庫通路權限控制精細化到表級别,全方位保障通路控制體系的安全性。
☞動态脫敏,資料庫防水壩支援敏感資料的動态脫敏,對未授權的賬戶通路敏感資料實作動态脫敏功能,確定運維人員以及外包開發人員嚴格根據其工作所需和安全等級通路敏感資料。
☞基于工單的臨時操作審批,資料庫防水壩提供多層級的工單審批機制,為必要通路建立合規通路機制。
☞統一資料庫運維入口,實作統一的資料庫運維入口,并實作來源可控、可信任和不可僞造,過程可控制、可管理和可審計,敏感資料可區分和可設定。