目前位置: 新聞總覽 -> 技術開講 -> DAM企業資訊安全最終防線
2012年04月30日
DAM企業資訊安全最終防線
DB Security Compliance and DAM Solution
資料庫法規遵循參考重點與選擇資料庫安全系統評估
資料庫中存在著重要高度敏感的資料,是一個重要的法規遵從性計畫的重點領域,幾乎所有企業的管理辦法或資安政策中都會注重於有關規定〞誰〞在何〞時〞可以訪問(存取)那些資料庫,並定義與管理這些權限。
在本文中第一部份,會介紹所需的資料庫基本安全要求與資料庫法規遵從性(法規如 PCI DSS 和 HIPAA),以及用於管理資料庫存取權限和保持遵守這些法規之相關建議。
在本文中之第二部份,則建議讀者針對在選擇適當的資料庫安全或資料庫稽核或資料庫監控(以下統稱DAM)的考量重點。
資料庫法規遵循:
常見的企業核心資料庫環境 (1。Microsoft SQL Server ;2.IBM DB2 ;3.MySQL ;4.Oracle ;5.Postgres) 在進行初始安裝時已有適當調配、強化(Harden)、 保護和鎖定的能力,對於DB本身此能力是否足夠,會在下一章節做討論。
目前的挑戰實際上要全盤考量的不是只是資料庫本身,其重要組成部分,還有作業系統和資料庫的伺服器本身,與相關的認證機制而組成。例:
PCI DSS資料庫需要明確以下控制項如:
- 所有使用者在存取(訪問)任何資料庫之前,請先進行身份驗證。
- 用戶存取的任何資料庫,如用戶查詢和用戶操作(如移動,複製、刪除和儲存),只能通過編寫程式的方式。
- 資料庫和應用程式設置來限制對資料庫管理員 (DBA) 之使用權限。
- 資料庫應用程式和相關的應用程式ID。
HIPAA,上述措施沒有作為 HIPAA 法規遵從性要求,但是説明滿足 HIPAA 內規定的"安全"需要一流的安全控制。具體來說,這些規定的 HIPAA 需要下列各項:
- 確保機密性、 完整性和可用性的所有電子資料 PHI (Protected Healthcare Information)創建、 接收、 維持或傳送 ;
- 識別和抵禦預期安全威脅或完整性的資訊 ;
- 防止不允許使用或披露 ;
- 和確保員工遵守。
對於醫療單位的CIO而言,保護PHI 或EHR(Electronic Healthcare Records)在IT部份必要的考量之大項如下僅供參考,細節部份再另文探討:
- Data Encryption(加密) ,含括伺服器端與使用者端;
- Secure Storage,包括實體、備份、選擇加密與存放地點;
- Strong Authentication :強烈驗證方式;如OTP 或Multi-Factors Authentication;
- Role-Base Privileges:多重角色的使用者權限管理。
- Reporting/ Compliance Report:各式可供參考報告
- Audit Logging:稽核記錄
- 其它基礎安全或輔助保護措施
關於主機作業系統支援資料庫的伺服器上,應符合以下建議做法:
- 系統管理員和其他相關的 IT 人員應該有足夠的知識、 技術技能和瞭解所有關鍵的作業系統的安全要求。
- 不必要的功能和所有不安全的服務和協定應有效地禁用於作業系統上。
- root帳號應限於人員所需的最少數量並具備適當保護機制,或採用獨一無二的密碼並定期更改。
- 在有關操作系統的訪問權限地方採用“最低權限”原則。
- 相關的和關鍵的安全補丁需保證系統持續正常運行。
- 對所有使用者預設帳戶的繼續使用,密碼應以有效地更改且使用嚴謹的密碼措施,預設使用者帳戶不是所需的資料庫功能應被鎖定和失效。
- 對於訪問資料庫主機的認證需提供適當措施與程序,以確保整體安全。
- 資料庫監控與維護、回復,具有最佳標準執行步驟。
資料庫安全系統考量(DAM)
DAM工具為安全和服從準則提供強而有力、直接、非侵入式且不影響企業運作的優點,並長期為資料庫平台和應用程式做好全面保護。 DAM這個新興的技術帶來保護重大資料安全和服從法令規章的好處。
CERT 進行的年度研究報告顯示,高達50%的數據資料由内部用户造成。BI/CSI報告中所述:在一些組織內部中,高達80%的數據損失是由内部破壞造成。報告還顯示在資料遭受破壞時,有57%的相關內部人員獲權存取資料。因此,這證明了外部和網路安全措施不足以阻止此類型的破壞。 許多法規和規範要求,如針對上市公司的 Sarbanes Oxley、醫療單位的HIPAA、金融服務的 GLBA 以及針對金流付款的PCI DSS,都規定公司和組織必須採取一定措施來確保敏感資料的機密性、完整性和安全性。除此之外,我們在網路上可以察覺到幾乎所有的資料庫都已經發生了一些嚴重的安全性缺陷。
目前用來保護資料庫的技術有多種方式與不同技術。和 IT 安全的其它資安領域一樣,沒有一種工具可以單獨提供針對所有威脅和濫用權限的可靠防禦。通常推薦綜合搭配使用多種工具來獲取充分的安全。
DAM系統基本上要考量的主要功能概述如下:
◆監控進出資料庫的所有行為包括本機端與來自網路端。
◆可保護已知的弱點包括本機端與來自網路端。
◆定義的策略規則(安全政策),對可疑活動進行警告或隔離、阻絕。
◆具備分權管理及使用者不同層次權限。
◆系統本身的及時監控、查詢、報告及與3rd Party的整合功能(如SIEM)。
◆提供Patch參考或Virtual Patch功能。
◆系統效能、擴充的能力與方便性。
許多企業近幾年為保護公司 IT 基礎設施所做的努力主要集中在外部的安全環境防護,即如何保護公司免遭外部入侵、駭客以及惡意攻擊。公司網路已經在安全上獲得了一定的改善,並得到了更深層次保護。但是,資料層仍是公司 IT 基礎設施最軟弱的一環。
資料庫中包含很多最敏感且重要的資料:例如有關客户、商業資料、财務資料以及個資的資訊。儘管如此,資料庫仍是公司受保護最少的領域之一。雖然外部網路安全措施對某些攻擊類型起了防禦作用,但是仍有一些攻擊類型能够利用資料庫特有的漏洞進行攻擊。
SQL injection, buffer overflow及其它“zero-day”攻擊可以完全穿透Web 防火牆,應用程式防火牆以及入侵偵測或防禦系统 (IDS or IPS),為駭客提供了資料盜竊、擅自修改或破壞資料、侵犯隱私及個人資料訊息的不法取得創造了機會。
筆者在此建議對於網站AP的防禦外(如WAF),在未來個資法也將公告執行之際,對於DB Security、DB Auditing 或 DB Activity Monitoring 等資安應用應開始著手準備部署計劃。
以下是對於DAM系統在選擇時應考量的評估重點,僅供參考:
Item | DAM系統選擇檢核表 | Y/N |
1 | 具備即時監控、政策規則、警告、阻絕、稽核、報告等基本功能。 | |
2 | 可同時掌握來自網路端、AP Server端或本機端登錄使用的狀況與保護。 | |
3 | 在安裝或系統更新的過程中,不需要關閉資料庫,也不需更動資料庫的任何設定,軟體失效之後,不會影響資料庫的正常運作。 | |
4 | 可將Audit下來的資料也做Hash的動作,任何經過修改的部份,都無法再使用,保護Audit下來的資料,符合 “完整性”。 | |
5 | 系統安裝容易、使用Web介面、操作簡單、影響資料庫性能小。 | |
6 | 可以自訂規則 (customer rule) ,利用使用者制定Police更可避免內部的威脅。 | |
7 | 提供國際法規模版 (PCI-DSS、SOX、SAS-70 ),可輕鬆達成加速符合法規的要求。 | |
8 | 可自己管控Audit下來的資料,亦可支援外接資料庫(MS SQL、 Oracle),就可利用資料庫本身內建的工具做備份,產生報表。 | |
9 | 可監控到所有的行為,包括:使用者ID、來源端 IP位置、使用的DBMS(DB、 Table、 Column)、使用的語法方式(DML、DDL、DCL)、來源端Hostname、以及Stored Procedure & Trigger內容等、方便使用者簡易分析及管理。 | |
10 | 提供不同的方式來產生報表,有內建的系統報表,支援HTML & PDF 格式,亦可客製報表,包括 HTML、PDF、EXCEL 格式,並可依時程自動產生報表,寄發給相關人員。 | |
11 | 計價方式,不受DBMS Transaction及HD容量的限制,導入成本低、擴充彈性高,不論企業環境如何變化,都不受其限制。 | |
12 | 提供許多第三方的工具 (Syslog、Windows event log 等),以便與 SOC、SIEM整合。 |
|
|