資料庫安全威脅來自四面八方,包括從外部而來的攻擊威脅,以及由內部產生的資料外洩風險。為了能夠維持資料庫與資料的機密性、完整性以及可用性,資料庫稽核、資料庫加密與資料庫防火牆等解決方案因應而生。
網際網路盛行與資料電子化的結果,讓資料應用型態逐漸轉變,也讓電子化資料成為「有價」資料,而存放關鍵資料的資料庫,其安全性也成為資安越來越重視的一環。然而,資料庫安全若以各角度面向來看,可說是個大哉問,它必須因應外來的資安攻擊威脅,同時也要防護內部而來的竊取與漏洞風險。
也因此,資料庫安全解決方案無法「以一概全」,iMPERVA北亞區技術總監周達偉即表示,資料庫安全管理是一項涵蓋範圍廣泛的議題,只要給予資料庫存取或管理權限,即有其安全風險存在。因此事前安全策略制定以及事後事件安全稽核追蹤必須並重,才可能達到更完善的安全管理機制。
 |
| ▲資料庫安全威脅來自四面八方,包括從外部而來的攻擊威脅,以及由內部產生的資料外洩風險。為了能夠維持資料庫與資料的機密性、完整性以及可用性,資料庫稽核、加密與防火牆等解決方案因應而生。(圖片提供:玄力科技) |
因應威脅與風險相輔相成的稽核、防火牆與加密機制
SafeNet亞太區資訊安全顧問經理伍尚池表示,企業資料庫所面臨的安全威脅來自四面八方,如具權限與管理者因權限設定不佳或惡意竊取造成風險;資料庫遭受攻擊而被入侵,進而資料被取得而外洩;稽核未做好資料存取記錄;使用者驗證問題、各種資料庫系統安全管理水平不一致等等,由內而外、從外到內,資料庫安全皆受到嚴格的考驗,也因此,諸如資料庫稽核、資料庫防火牆以及資料庫加密等解決方案,各有其需求與功用,企業若想達到較完整的資料庫安全防護,這些機制都有其部署的需要。「不過,如果要能夠符合所有網路環境與資料庫存取情境,資料庫加密機制的一體適用性相對較高。」
玄力科技業務副總顏良修認為,資料庫安全防禦與管理必須達到機密性、完整性與可用性等需求,機密性必須要靠資料庫加密機制來達成,而至於完整性與可用性則是資料庫稽核可提供的優勢。顏良修認為,資料庫稽核是資料庫安全的最後一道防線,「但並不是說部署了資料庫稽核就不需要資料庫防火牆或資料庫加密等方案來提高資料庫安全,這三者其實是相輔相成,而不是互相取代。」
周達偉表示,多數企業或解決方案供應商在談資料庫安全時,往往將焦點放在稽核上,然而稽核只能作為被動紀錄而無法主動防禦,尤其難以防範資料庫資料被竊取,造成資料外洩風險。周達偉認為,稽核固然重要,也可視為因應法令規範的第一步,不過防止資料庫遭受攻擊與資料竊取等資料庫安全防禦也同樣重要,對企業而言,保護資料庫等於保護資產,而保護資產不只是為了因應法規要求,也是避免資料外洩所帶來的實質損失以及品牌信譽受損等問題。
事實上,資料庫稽核、防火牆以及加密機制對於企業而言孰輕孰重,各家廠商的看法大致相同──三者同等重要,但談到導入的先後順序,則視企業需求以及各廠商利基優勢而有所不同。美商甲骨文大中華區台灣技術諮詢部資深諮詢經理黃久安表示,過去企業看待如何因應新版個資法的議題時,資料庫安全往往是較被忽略的一環,「但事實上如果資安問題發生在資料庫上,其損失絕對大於端點安全失守。」隨著個資法擬定與施行的進程發展,從目前市場觀察,相較於過去,企業已經逐漸留意到資料庫安全也是資訊安全與資料保護所必須考量到的面向,也因此資料庫安全相關的解決方案成為廠商們積極推動的目標。
精誠資訊企業產品應用部產品企劃暨技術服務處處長賴哲維表示,新版個資法成為資料庫安全解決方案的市場驅動力,從去年開始企業詢問與評估資料庫安全產品的比例開始成長,尤其以資料庫稽核為最多企業所接受與採用,「以資料庫稽核、防火牆以及加密等資料庫安全機制來說,企業會以資料庫稽核以及防火牆做為優先部署的選項,以因應新版個資法的規範要求。之後才是資料庫加密,作為更嚴密的資料庫安全控管。」
效能、部署架構與人員配置須一併考量
因應資料庫安全控管需求,企業除了依照安全與管理需求評估考量導入的產品設備之外,對於資料庫安全防禦與管理,還須留意是否影響現有網路架構以及資料庫運作與存取效能,於是彈性部署型態便顯得重要。周達偉舉例表示,有些資料庫監控解決方案是將代理程式安裝在資料庫系統上,除了可能影響資料庫本身的運作效能之外,資料庫管理者即可更改設定,其監控所得的資料便可能受到稽核所要求的獨立性和不可否認性等質疑。不過,黃久安認為,如果是與資料庫系統「師出同門」,內建在資料庫系統或是以代理程式與資料庫系統緊密結合的安全機制,反而因為完全相容支援性,而能夠發揮更嚴密的安全控管效果。
另外,周達偉表示,大多數企業的資安管理與資料庫管理採以不同的管理團隊配置,因此資料庫安全系統必須提供不同的管理人員相對應的使用介面;甚至包括稽核人員也有不同的介面需求,依照不同使用者特性與需求,提供相對應的使用者介面與功能,也是企業可在選擇評估設備時的考量之一。此外,他接著表示,如何找到關鍵/敏感性資料,也是資料庫安全產品所需要具備的條件之一,「光是根據資料庫的欄位名稱來搜尋與定義重要資料是不夠的。內容偵測方法能夠為企業找到更精準的關鍵資料,進而制定正確的資安防禦政策。」
不僅是解決方案的功能、效能和部署型態要超級比一比,如同獨立的資料庫稽核機制所蒐集到的資料記錄,比起內建資料庫的稽核功能所取得的記錄來得具不可否認性與證據效力,獨立於資料庫管理人員(DBA)之上的控管人員,也是企業應該考慮的問題,伍尚池表示:「資料庫管理人員(DBA)之上應該設置獨立的控管人員,讓DBA之上還有負責控管DBA以及DBA管理權限的管理人員,更進一步強化資料庫安全,避免擁有權限的使用者與管理者成為安全漏洞。」