Giám sát hoạt động cơ sở dữ liệu / Tường lửa cơ sở dữ liệu

Giám sát hoạt động cơ sở dữ liệu Database Activity Monitoring  (DAM) / Tường lửa cơ sở dữ liệu Database Firewall (DBF) giám sát hoạt động cơ sở dữ liệu để xác định hành vi gian lận, bất hợp pháp hoặc hành vi không mong muốn khác, bằng cách sử dụng kiến ​​thức nhúng về cấu trúc cơ sở dữ liệu và quyền truy cập vào phân tích và báo cáo cũng như thực thi các chính sách và kiểm soát. Các giải pháp DAM/DBF hoạt động độc lập với chức năng kiểm tra hệ thống quản lý cơ sở dữ liệu database management system (DBMS) của chính cơ sở dữ liệu đó. DAM/DBF có thể được coi là một giải pháp thay thế cho chức năng DBMS (do quá tải nặng trên các máy chủ cơ sở dữ liệu), hoặc là điều khiển bổ sung cho nó.

Các giải pháp DAM cũng bao gồm đánh giá lỗ hổng cơ sở dữ liệu và kiểm tra tài khoản người dùng, cùng với giám sát truy cập tệp tường lửa và giám sát ứng dụng web.

Những lợi ích người dùng có thể được phân loại là:

1. Giám sát

• Giám sát người dùng đặc quyền – DBA, root, quản trị viên hệ thống – có quyền truy cập và thay đổi dữ liệu thông qua ứng dụng bằng cách đăng nhập vào hệ điều hành hệ thống hoặc bảng điều khiển cục bộ. Quyền truy cập của họ phải được giám sát để ngăn người dùng đặc quyền truy cập dữ liệu, thực hiện sửa đổi lược đồ hoặc cấu trúc bảng hoặc tạo hoặc sửa đổi tài khoản hoặc quyền của người dùng
• Giám sát hoạt động của người dùng để theo dõi người dùng và các ứng dụng kết nối với cơ sở dữ liệu. Bên cạnh truy cập gian lận, một khía cạnh quan trọng cũng là theo dõi và cuối cùng ngăn chặn hoạt động độc hại hoặc ngoài ý muốn của người dùng hợp pháp.
• Nếu có thể, tài khoản người dùng cũng phải được theo dõi liên tục để phát hiện tài khoản người dùng không hoạt động và thực hiện hành động thích hợp.

2. Rủi ro và Tuân thủ – các nhóm rủi ro và bảo mật đang tìm cách triển khai các biện pháp kiểm soát chặt chẽ xung quanh các kho lưu trữ dữ liệu để đảm bảo tính bảo mật và toàn vẹn của dữ liệu đồng thời hạn chế quyền truy cập của những người dùng có đặc quyền và sau đó xác định các hoạt động gian lận. Các giải pháp bảo mật phòng ngừa và kiểm soát như mã hóa và quản lý truy cập, không hiệu quả đối với quyền truy cập của người dùng được ủy quyền/hợp pháp. Do đó, giải pháp DAM có thể được triển khai thành công để đáp ứng các biện pháp kiểm soát bảo mật theo yêu cầu của:

• Quản trị dữ liệu
• Quản lý rủi ro
• Kiểm toán
• Tuân thủ quy định.

Các lợi ích do giải pháp DAM mang lại, thông qua tích hợp chặt chẽ với các giải pháp DLP và SIEM tương ứng, cho phép mở rộng các biện pháp kiểm soát mạng và khung bảo mật cho cả cơ sở dữ liệu và kho lưu trữ dữ liệu.

3. Tường lửa cơ sở dữ liệu thực thi chính sách
   bao gồm một bộ đầy đủ các chính sách kiểm tra và bảo mật có thể tùy chỉnh được xác định trước. Cảnh báo bảo mật có thể được gửi đến SIEM, hệ thống bán vé và các giải pháp bên thứ ba khác để hợp lý hóa quy trình kinh doanh.

Các giải pháp có thể được triển khai ngoài đường dẫn hoặc nội tuyến. Để giám sát và phát hiện toàn diện hoạt động gian lận, một giải pháp phải giám sát tất cả các “cổng” vào kho dữ liệu. Do đó, việc sử dụng các tác nhân phần mềm để giám sát cả hoạt động cục bộ (bảng điều khiển máy chủ hoặc các ứng dụng khác kết nối với cơ sở dữ liệu) sẽ được xem xét.

Nếu các giải pháp được triển khai ngoài đường dẫn, thì sẽ không có tác động nào đối với các phân đoạn mạng được giám sát.

Nếu các giải pháp được triển khai nội tuyến ở chế độ bảo vệ (tường lửa cơ sở dữ liệu), thì một số cân nhắc sẽ được tính đến:

• Thông thường, giải pháp được triển khai ở chế độ trong suốt, không có địa chỉ IP trên giao diện lưu lượng. Do đó, DAM nên có các chức năng không mở để cho phép lưu lượng truy cập đi qua trong trường hợp nền tảng gặp sự cố
• Độ trễ tối thiểu – độ trễ gây ra trong mạng phải ở mức tối thiểu
• Việc thực thi các chính sách bảo mật sẽ được thực hiện theo từng giai đoạn - lần đầu tiên được triển khai không xâm phạm và sau khi thử nghiệm thành công, chỉ các chính sách bảo mật mới được thực thi tại chỗ.
• Kích thước hiệu suất phù hợp để chịu được lưu lượng truy cập cao nhất, về cả lưu lượng truy cập hợp pháp và độc hại; nếu thiết bị không thể hoạt động bình thường dưới tải nặng sẽ ảnh hưởng trực tiếp đến quá trình kinh doanh
• Các chính sách truy cập phải được xem xét mỗi khi một sửa đổi phải được thực hiện đối với ứng dụng, ở cả ứng dụng và chính sách truy cập của người dùng; không làm được điều này có thể dẫn đến chặn lưu lượng truy cập hợp pháp và/hoặc chặn quyền truy cập của người dùng hợp pháp.
• Kiểm tra dữ liệu – khi được bật, nó sẽ tiêu tốn rất nhiều tài nguyên – do đó, một thiết bị phần cứng đủ mạnh phải được triển khai.

Các giải pháp Database Firewall thường dùng 

1. Imperva SecureSphere - Tường lửa cơ sở dữ liệu Database Firewall 
Bảo vệ thời gian thực chống mất mát và trộm cắp dữ liệu

SecureSphere Database Firewall bảo vệ hiệu quả cơ sở dữ liệu khỏi các cuộc tấn công, mất dữ liệu và trộm cắp. Với tính năng giám sát, cảnh báo và chặn theo thời gian thực, các chính sách bảo mật và quy tắc kiểm tra được xây dựng sẵn, SecureSphere bảo vệ các tài nguyên cơ sở dữ liệu có giá trị nhất và đảm bảo tính toàn vẹn của dữ liệu.

Các cuộc tấn công cơ sở dữ liệu như SQL injection đang gia tăng và cơ sở dữ liệu chứa dữ liệu nhạy cảm là mục tiêu hàng đầu của tin tặc và những kẻ nội gián độc hại. Nhiều cơ sở dữ liệu dễ bị tổn thương và những kẻ tấn công lợi dụng thực tế là việc vá cơ sở dữ liệu mất trung bình 6-9 tháng. Và các sự cố gần đây cho thấy những người trong cuộc có thể gặp rủi ro đáng kể đối với bảo mật dữ liệu. Bằng cách xác thực các yêu cầu truy cập và xác định phương sai quan trọng khi người dùng thực hiện các truy vấn không mong muốn, SecureSphere sẽ chặn chính xác các nỗ lực khai thác.

Duy nhất trong ngành, SecureSphere cho phép khách hàng tối ưu hóa việc triển khai DBF của họ bằng cách kết hợp giám sát dựa trên tác nhân và giám sát hoạt động mạng . Tác nhân cơ sở dữ liệu SecureSphere có thể được cấu hình để giám sát riêng hoạt động đặc quyền cục bộ hoặc để giám sát tất cả hoạt động cơ sở dữ liệu. SecureSphere có thể chặn các cuộc tấn công và truy cập trái phép cả trên mạng và trên máy chủ DB. Kiến trúc kết hợp của SecureSphere cung cấp bảo mật cơ sở dữ liệu toàn diện với chi phí tối thiểu và khả năng mở rộng vô song.

Khả năng chính:

• Cảnh báo hoặc chặn các cuộc tấn công cơ sở dữ liệu và các yêu cầu truy cập bất thường, trong thời gian thực để bảo vệ chống lại các cuộc tấn công cơ sở dữ liệu bao gồm SQL injection, tràn bộ đệm, Từ chối dịch vụ, v.v.
• Phát hiện và vá hầu như các lỗ hổng phần mềm cơ sở dữ liệu làm giảm thời gian tiếp xúc và tác động của các bản sửa lỗi ứng dụng đặc biệt
• Kiểm tra tất cả quyền truy cập vào dữ liệu nhạy cảm của người dùng ứng dụng và đặc quyền, đồng thời thực thi các chính sách của công ty về việc sử dụng dữ liệu
• Tăng tốc ứng phó sự cố và điều tra pháp y thông qua quản lý tập trung và phân tích nâng cao
• Khám phá các cơ sở dữ liệu và đối tượng cơ sở dữ liệu mới trong phạm vi cho các dự án bảo mật và tuân thủ, đồng thời tự động áp dụng các chính sách kiểm tra và bảo vệ phù hợp

Imperva Database Firewall X6520, Imperva Database Firewall X4520 , Imperva Database FirewallX2520

2. Oracle Audit Vault - Tường lửa cơ sở dữ liệu Database Firewall