Автоматизированная защита баз данных

«Оборона» корпоративных IT-структур — это огромный комплекс решений (организационных, технических, программных и т. д.).

Сюда относится и шифрование, и механизмы разграничения доступа, и создание бэкапов, и облачные решения (например, дата-центры DEAC).

В этом материале мы рассмотрим автоматизированные защитные системы — Database Activity Monitoring (DAM) и Database Firewall (DBF).

DAM

Этот механизм предполагает независимый мониторинг поведения всех юзеров конкретной БД. Независимость в данном контексте — автономность в рамках системы управления. Такой софт не нуждается в донастройке, дополнительной конфигурации, контроле администратора.

DAM-софт — пассивный тип контроля, который взаимодействует с копией трафика. Это позволяет ему не снижать производительность БД и ни коим образом не влиять на текущие бизнес-процессы компании.

Основные направления работы Database Activity Monitoring:

• отслеживание всего трафика на предмет взаимодействия юзеров с информаций базы;
• аудит SQL-запросов и реакции на них;
• классификация SQL-запросов пользователей;
• выявление из всей массы запросов потенциально опасных.

Ключевые задачи:

• Выявление и классификация критически важных для фирмы данных (персональные сведения о пользователях и т. д.), для дальнейшего использования в построении общей защитной структуры.
• Тестирование защиты на соответствие текущей «сетевой» обстановке.
• Выявление расширенных привилегий доступа, прав, которые не используются пользователями, «мертвых» аккаунтов и других потенциально опасных явлений.

Преимущества:

• DAM не снижает уровень работоспособности и быстродействия системы;
• есть гибкая система отчетности
• есть возможность глубокой интеграции с SIEM-системами;
• возможность проведения серьезного анализа запросов за счет многоуровневой системы фильтрации.

DBF

При использовании этой системы защита баз данных обеспечивается не только пассивными инструментами, но и определенным активным функционалом.

Речь о точечных блокировках, прерывающих опасные запросы. Для этого мало копии трафика, поэтому часть программных компонентов работает напрямую с БД.

Данный механизм достаточно эффективен, но очень сложен в настройке — неоптимальная конфигурация может привести к ложным срабатываниям и нарушениям бизнес-процессов. Кроме того, это усложнение системы (и лишние узлы и уровни — это и лишние риски отказа).

Поэтому выбор в пользу Database Firewall должен осуществляться с учетом повышенной нагрузки на ответственного за информационную безопасность.