對企業而言,資料庫存放著各式系統的關鍵資料,資料庫對外必須防禦資安攻擊與資料竊取,對內則需要防護具存取與管理權限者的存取行為與資料外洩風險,此外還須防範內部而來的資安攻擊,因此要想強化資料庫安全,須通盤考慮內外風險與部署。
iMPERVA北亞區技術總監周達偉表示,以iMPERVA而言,從監控(Database Activity Monitoring,DAM)、防火牆(Database Firewall)到使用者權限管理(User Rights Management for Databases,URMD),以單一管理平台提供完整解決方案,企業可依照需求開啟模組使用,可在不影響網路架構以及既有網路效能的前提下達到資料庫安全防禦。
 |
| ▲iMPERVA北亞區技術總監周達偉表示,資料庫安全管理須留意部署架構是否可能影響現有網路環境,以及是否損及資料庫存取與運作的效能以及穩定性。 |
周達偉表示,資料庫監控用以解決資料庫稽核需求,可將資料庫存取行為記錄下來,以提供事後追蹤和舉證;資料庫防火牆可協助企業制定安全政策,提供事前告警與防禦能力;而使用者權限管理則可用來區隔使用者,還可將權限管理的資料提供合併管理,作為稽核報告使用。也就是說,使用者權限管理可用來確保「對的人存取對的資料、執行正確的行為」。
「資料庫安全管理須留意部署架構是否可能影響現有網路環境,以及是否損及資料庫存取與運作的效能以及穩定性。」周達偉表示,iMPERVA以網路閘道設備型態提供資料庫安全解決方案,企業可依照網路環境與需求選擇功能模組以及部署型態,符合彈性部署且不影響網路效能,「舉例來說,資料庫監控可採以監聽側錄的方式部署,不須更改網路設定;而資料庫防火牆則建議企業採以在線模式(inline)較能發揮立即防禦效果。」
他強調,iMPERVA的資料庫防火牆採以穿透式在線橋接(inline bridge)部署模式,或者也可選擇在Client端安裝輕量化代理程式(agent),兩者皆不會影響現有網路架構以及資料庫存取運作效能,且可以單一管理平台統一控管各項模組機制,對於企業而言控管也較為簡單且安全。而在這種多功能整合設備讓人較有疑慮的硬體效能方面,周達偉表示,iMPERVA在設計產品時已依照各功能模組所需要的硬體效能提供良好管理與分配,並且符合彈性擴充的要求。
隨著新版個資法即將施行的市場氣氛,越來越多客戶詢問與評估資料庫安全解決方案,並且以部署稽核追蹤為初始目標,「不過,因資料庫遭竊取而導致資料外洩的事件層出不窮,讓企業正逐漸意識到部署資料庫安全管理機制的必要性,也成為企業評估資料庫安全完整解決方案的動力。」