Bezpieczeństwo baz danych

Niektóre systemy bazodanowe mają wbudowane mechanizmy szyfrujące, np. MS SQL 2008 Transparent Data Encryption (TDE). TDE chroni dane w spoczynku (logi i pliki danych). Rolą tego mechanizmu nie jest więc szyfrowanie transmisji. Klucz umożliwiający szyfrowanie (DEK) przechowywany jest w rekordzie startowym (boot record) bazy danych. Warto odnotować, że uruchomienie tego mechanizmu nie wpływa negatywnie na przestrzeń zajmowaną przez bazę.

Podobny mechanizm stosuje także Oracle. Chodzi tu o Transparent Database Encryption, występujący w dwóch odsłonach: TTE i TCE. Pierwsza -Tablespace Encryption - umożliwia szyfrowanie wybranych tabel i została wprowadzona w wersji 10g Release2; druga - Column Encryption - pozwala na szyfrowanie wybranych kolumn i po raz pierwszy pojawiła się w wersji 11g. Również od wersji 11g Oracle wspiera obsługę modułów HSM (Hardware Security Module). A ponieważ każdy system szyfrowania jest na tyle bezpieczny, na ile dobrze chronione są klucze szyfrujące, warto wesprzeć się technologią firm trzecich. W tym zakresie w Polsce dość dużą popularnością cieszą się chociażby SafeNet czy Thales (nCipher). Producenci ci oferują m.in. właśnie platformy HSM.

Mechanizmy szyfrowania zbliżone w działaniu do TDE są dostępne nie tylko dla użytkowników produktów gigantów bazodanowych. Z niewielką pomocą z zewnątrz mogą się tą technologią cieszyć np. użytkownicy MySQL. Firma CritoTech sprzedaje rozwiązanie ezNcrypt, które umożliwia szyfrowanie tabel z wykorzystaniem AES 256.

Narzędziownia

Z narzędziowego punktu widzenia po części można wykorzystać to, co już mamy: zapory ogniowe i IPS-y. Powinny one blokować podejrzany ruch na podstawie analizy protokołów sieciowych. Dobre IPS-y mogą też skutecznie powstrzymywać ataki nakierowane na podatność aplikacji, bazy lub samego serwera. Jeżeli w sieci wprowadzono strefy bezpieczeństwa wymuszane przez VLAN-y, ACL czy zapory ogniowe, to należy ograniczyć bezpośredni dostęp do bazy danych i odseparować zwykłych użytkowników. Z kolei dostęp, który pozostanie otwarty, powinien być ściśle monitorowany - zwłaszcza w przypadku kont o podwyższonych uprawnieniach.

Bezpieczeństwo baz danych

Mechanizm TDE - Microsoft SQL

Ale narzędzia standardowe to nie wszystko. Coraz większą popularnością cieszą się systemy z serii DAM (Database Activity Monitoring). W ostatnim czasie (2009 r.) ubyło na tym rynku kilku konkurentów. Zrezygnowali nawet giganci, np. Symantec. To, rzecz jasna, ucieszyło konkurentów i umocniło ich pozycję. Obecnie do ścisłej czołówki tego segmentu rynkowego można zaliczyć firmy, takie jak: Imperva, Sentrigo Secerno czy Netezza (dawniej Tizor). W tym obszarze próbują swoich sił także inni znani z innych rozwiązań dostawcy, np. IBM, który niedawno przejął firmę Guardium. Rozwiązania DAM charakteryzują się tym, że obok innych funkcjonalności rozumieją język zapytań bazodanowych, a przy tym potrafią korelować określone zdarzenia, tworzyć profile zachowań i monitować oficera bezpieczeństwa w razie wykrycia istotnych odchyleń. Siłą rozwiązań DAM jest to, że w przeciwieństwie do natywnych mechanizmów ochronnych baz danych, można stosować je w środowiskach heterogenicznych, gdzie funkcjonują bazy pochodzące od różnych producentów i w różnych wersjach. W niektórych wypadkach system DAM pełni rolę narzędzia DLP, wykrywając np. dużą liczbę zapytań odwołujących się do pola zwierającego numery PESEL.


TOP 200