中安威士：Guardium數(shù)據(jù)庫安全技術(shù)詳解

比起業(yè)務(wù)和功能的先行，安全的發(fā)展似乎總是慢人一步。但隨著 IT 基礎(chǔ)設(shè)施對各行業(yè)的滲透，無論是本地還是云上對數(shù)據(jù)安全能力愈加重視，需求也愈加迫切。

創(chuàng)新互聯(lián)主營廣安網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都APP應(yīng)用開發(fā),廣安h5微信小程序搭建,廣安網(wǎng)站營銷推廣歡迎廣安等地區(qū)企業(yè)咨詢

國內(nèi)近幾年出現(xiàn)了一些數(shù)據(jù)庫安全廠商，如中安比特、昂楷科技等，他們的在國內(nèi)數(shù)據(jù)安全市場的聲音越來越大；而國外，專注數(shù)據(jù)庫安全的 Guardium ，結(jié)合 IBM 在全球的影響力優(yōu)勢，也慢慢開始在中國市場發(fā)力。

從獨立安全企業(yè)到 “ 安全免疫體系 ” 中的一員

時間倒退回 2002 年，一家名為 “ Guardium ” 的數(shù)據(jù)庫安全公司在在以色列成立。

Guardium 是當(dāng)時行業(yè)內(nèi)唯一一家擁有針對主機(jī)（大型機(jī)）安全監(jiān)控解決方案的安全廠商。同時， Guardium 推崇通過在數(shù)據(jù)庫系統(tǒng)上安裝 輕量級 “ 探針 ” （軟件），從而實現(xiàn)從底層抓取所有對數(shù)據(jù)庫的訪問行為。因其部署靈活、對數(shù)據(jù)庫系統(tǒng)資源消耗小、數(shù)據(jù)庫訪問行為覆蓋全面等特點， Guardium 在 7 年間積累了約 400 名客戶，公司的規(guī)模也成長到了 150 人左右。

2009 年末， IBM 以 2.25 億美元的價格，正式對外宣布完成對 Guardium 的收購，并決心利用其在 “ 主機(jī)安全 ” 領(lǐng)域的優(yōu)勢，為 IBM 自身的數(shù)據(jù)庫產(chǎn)品（例如 IBM DB2 ）賦能，使其在對數(shù)據(jù)庫的訪問活動監(jiān)控能力有所增強(qiáng)。

2012 年， IBM Security  正式成立，原來分散在各子部門的安全產(chǎn)品得到有效的整合。 Guardium  系列也開始作為其在 “ 數(shù)據(jù)安全 ” 領(lǐng)域的獨立產(chǎn)品推出。

2016 年， IBM Security 整合其在數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、終端安全、移動安全、高級防欺詐、身份和存取控制以及安全智能等 8 個安全領(lǐng)域的產(chǎn)品線，并結(jié)合 IBM X-Force 推出 IBM“ 安全免疫體系 ” ，而 Guardium Suite 正是其 “ 數(shù)據(jù)安全 ” 產(chǎn)品類的主力。

安全免疫體系

IBM 的優(yōu)勢并不在于其在某項領(lǐng)域的專精程度，相反， 通過對細(xì)分領(lǐng)域處于領(lǐng)先優(yōu)勢廠商的收購并購，并將其產(chǎn)品技術(shù)能力徹底的吸收消化，再整合到自己的現(xiàn)有的產(chǎn)品線中，發(fā)揮其更大的作用 ，這才是這個巨人的真正強(qiáng)大之處。

部署和合規(guī)上的優(yōu)勢

從 Guardium 在 2002 年成立之初，技術(shù)思路就是通過在數(shù)據(jù)庫系統(tǒng)上安裝探針軟件的方式，實現(xiàn)基于策略的數(shù)據(jù)流量轉(zhuǎn)發(fā)。

S-TAP 探針部署

做數(shù)據(jù)庫安全的客戶，都想要知道這些數(shù)據(jù)：什么人，在哪些時間，訪問了哪些數(shù)據(jù)資源。而這需要無論是來自網(wǎng)絡(luò)層協(xié)議通信的應(yīng)用，還是通過高權(quán)限賬號從本地直連到數(shù)據(jù)庫的服務(wù)器，對數(shù)據(jù)庫的訪問信息的抓取都要做到全覆蓋。而通過在數(shù)據(jù)庫服務(wù)器上安裝探針的方式，可以做到把無論是來自本地還是網(wǎng)絡(luò)的所有操作都抓到。

Guardium 的探針本身是 操作系統(tǒng)層 的軟件，與數(shù)據(jù)庫的配置無關(guān)，同時作為一個輕量級的進(jìn)程，從運維的角度來講對數(shù)據(jù)庫系統(tǒng)資源的消耗非常小，即使是在數(shù)據(jù)庫發(fā)生大規(guī)模并發(fā)訪問的情況下，也不會影響其正常運行。

同時，探針軟件對平臺和主流數(shù)據(jù)庫的非常廣泛，國內(nèi)廠商幾乎無人能出其右。而云環(huán)境下的探針部署，也因為其運行在 OS 層而幾乎不受影響。無論是 VM 還是物理機(jī)，只要運行的操作系統(tǒng)不變，探針就可以正常工作。

Guardium 所支持?jǐn)?shù)據(jù)平臺類型

除了探針的部署以外，在合規(guī)方面， “ 自動化合規(guī) ” 是目前數(shù)據(jù)庫審計市場大部分客戶的需求。因為客戶的合規(guī)本身是一個成本很高的過程，所以在實際的客戶合規(guī)過程中，客戶往往要做很多額外的的工作。而 Guardium 本身內(nèi)嵌了許多 “ 現(xiàn)成 “ 合規(guī)最佳實踐。例如金融行業(yè)的 PCI DSS （第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）、 SOC （薩班斯法案）、 SAS70 、 ISO 27001/2 以及 ” 數(shù)據(jù)隱私法 ” 等甚至還沒在中國大陸正式推行的相關(guān)規(guī)定，都包含在 Guardium 其中。這無疑給用戶的合規(guī)帶來了極大的便宜。除此以外，對企業(yè)內(nèi)部的 “ 內(nèi)審 ” 合規(guī)性要求， Guardium 也能通過其靈活的部署和配置給予最大程度的支持。

PCI DSS  審計

從數(shù)據(jù)庫安全向數(shù)據(jù)安全的延伸

對大數(shù)據(jù)平臺的支持

因為受 Guardium 本身的基因所限， IBM 在收購后很長一段時間之內(nèi)，還是以數(shù)據(jù)庫安全的思路來做。但隨著大數(shù)據(jù)技術(shù)尤其是 Hadoop 大數(shù)據(jù)處理平臺在 2011 年后的快速發(fā)展與廣泛的商業(yè)化應(yīng)用， IBM 也開始逐漸與 一些業(yè)內(nèi)影響廣泛的大數(shù)據(jù)廠商（如 Cloudera 、 Hortonworks ）合作，而 Guardium 也從那時開始了對大數(shù)據(jù)平臺支持的研發(fā)。

Guardium 對 Hadoop 集群的支持

無論是國內(nèi)還是國外，有很大一部分的大數(shù)據(jù)廠商，其發(fā)行版的底層都是基于開源的 Hadoop 來做，而在上層封裝的定制化服務(wù)，則可以幫助用戶進(jìn)行一系列的操作和訪問。而 Guardium 團(tuán)隊最大的優(yōu)勢，就是在于利用 IBM 現(xiàn)有的資源和影響力和這些大數(shù)據(jù)廠商一家一家的洽談，了解他們底層的開發(fā)架構(gòu)是什么樣子，命令的執(zhí)行又是怎樣的。所以通過這些上層服務(wù)對數(shù)據(jù)庫的訪問行為，可以完全被 Guardium 所獲知。再加上因為 Hadoop 架構(gòu)應(yīng)用的廣泛性， Guardium 對這些基于 Hadoop 的大數(shù)據(jù)廠商的產(chǎn)品理論上都可以實現(xiàn)比較好的支持。

因為現(xiàn)在很多企業(yè)都會選擇將重要的數(shù)據(jù)放進(jìn)這樣一個平臺做全方位的關(guān)聯(lián)分析，原先黑客可能攻破一個數(shù)據(jù)庫只能拿到這個公司的部分業(yè)務(wù)信息，而如果是大數(shù)據(jù)系統(tǒng)出現(xiàn)了問題，發(fā)生了數(shù)據(jù)泄露事件的話，可能就會對公司業(yè)務(wù)產(chǎn)生巨大的負(fù)面影響。

而針對大數(shù)據(jù)平臺的數(shù)據(jù)安全市場和客戶方面， IBM 曾向媒體表示，目前 IBM 已有一個比較大的國內(nèi) “ 運營商 ” 客戶開始用 Guardium 保護(hù)他們的大數(shù)據(jù)系統(tǒng)，而 IBM 也在積極地和世界各地的大數(shù)據(jù)廠商展開合作，除了之前提到的 Cloudera 和 Hortonworks 外，還有國外用的比較多的 MongoDB 以及 IBM 自己的 BigInsights ， Guardium 對這些基于 Hadoop 的大數(shù)據(jù)平臺的支持情況都很不錯， IBM 認(rèn)為未來這塊市場會比較廣闊。

Guardium 對 MongoDB 集群的支持

和 IBM 現(xiàn)有資源的聯(lián)動

IBM 最大的優(yōu)勢，在于其對整個 IT 行業(yè)的布局和所擁有資源的聯(lián)動整合。而這同樣也會反映在其企業(yè)如收購并購等重大的戰(zhàn)略決策上。 IBM 在 2009 年收購 Guardium 的時候，其對 “ 主機(jī)安全 ” 監(jiān)控的支持以及與 IBM 現(xiàn)有主要產(chǎn)品線（比如全球金融系統(tǒng)都用于存放核心業(yè)務(wù)數(shù)據(jù)的 IBM DB2 ）的契合是打動 IBM 的首要原因，也是促成此次收購的先決條件之一。

除此以外，在整個 “ 安全免疫體系 ” 中， Guardium 和處于 “ 大腦 ” 位置的 SOC 平臺 QRadar 的 “ 雙向集成 ” ，也是 Guardium 與其它同類產(chǎn)品區(qū)別的明顯特點。處于 “ 安全智能 ” 領(lǐng)域的 QRadar ，會整合客戶網(wǎng)絡(luò)中的 SIEM 提交的日志分析結(jié)果、漏洞狀況報告以及風(fēng)險和資產(chǎn)等數(shù)據(jù)，并結(jié)合 IBM X-Force 平臺提供的實時威脅情報以及 Watson for Cyber Security 實現(xiàn)聯(lián)動，分析客戶網(wǎng)絡(luò)的安全環(huán)境和外部威脅，檢測異常行為和安全事件的發(fā)生并通過 Resilient 系統(tǒng)反饋給用戶應(yīng)急響應(yīng)流程。整個從檢測到分析再到響應(yīng)的過程，各個安全產(chǎn)品都是聯(lián)動的，而處于數(shù)據(jù)安全類的 Guardium 也是如此。

Guardium 與 QRadar 的雙向集成

不只是將 Guardium 所篩選出來的和數(shù)據(jù)安全相關(guān)的信息推送到 QRadar 幫助 QRadar 做出分析判斷，更是在 QRadar 獲得情報后，例如發(fā)現(xiàn)攻擊行為或者說某個數(shù)據(jù)系統(tǒng)是一個受攻擊目標(biāo)后，作為一個 “ 指揮官 ” 一樣的角色去命令 Guardium 把當(dāng)前某一個惡意鏈接斷掉，甚至是說短時間隔離出去，并為后期的調(diào)查取證以及實時的應(yīng)急響應(yīng)，爭取一些時間上的優(yōu)勢。這才是所謂的 “ 雙向集成 ” 。也就是說， Guardium 可以和 QRadar 做到某種程度上的互動，不僅僅是我告訴你一些情報，而是在處置的過程中可以聯(lián)合起來，做一些保護(hù)的動作。

當(dāng)然， Guardium 和類似 QRadar 的 SIEM 或是 SOC 平臺的集成并不局限于 QRadar ，例如惠普的 Arcsight 等，以及一些國內(nèi)用戶使用 SIEM 和 SOC 平臺，只要都是使用符合某些通信標(biāo)準(zhǔn)的協(xié)議格式，例如 leef 格式（ Log Event Enhanced Format ）， Guardium 都可以集成其中，發(fā)揮起自己在數(shù)據(jù)安全領(lǐng)域的能力。

數(shù)據(jù)安全分析

最早 Guardium 的設(shè)計初衷是實現(xiàn)數(shù)據(jù)庫的監(jiān)控，包括前文所提到的對主流行業(yè)標(biāo)準(zhǔn)的自動化合規(guī)。換句話說，并不是那么強(qiáng)調(diào)從安全的角度來講看問題。而發(fā)展到今天， IBM 的 “ 安全免疫系統(tǒng) ” 則是更重視從 “ 安全 ” 的視角解決問題。那么，如何將一些底層的技術(shù)數(shù)據(jù)，向業(yè)務(wù)層面轉(zhuǎn)化，發(fā)現(xiàn)一些規(guī)律性的內(nèi)容，并最終應(yīng)用到安全上，是 Guardium 進(jìn)行數(shù)據(jù)安全分析的目標(biāo)。

數(shù)據(jù)安全分析

例如，從客戶的時間維度來看，數(shù)據(jù)庫的訪問是有規(guī)律的，客戶的業(yè)務(wù)時間也是有規(guī)律的， Guardium 則是要把這個規(guī)律先找到。實際上 Guardium 在其系統(tǒng)里已經(jīng)內(nèi)建了機(jī)器學(xué)習(xí)的引擎，并可以根據(jù)你歷史訪問活動的信息刻畫出一個數(shù)據(jù)的訪問 “ 基線 ” ，而之后則可以利用這個基線對后期的訪問活動做一些判別。

回望中國數(shù)據(jù)安全市場，國內(nèi)一些專注于數(shù)據(jù)安全這一細(xì)分領(lǐng)域的廠商，近幾年發(fā)展的速度非常迅猛。無論是本地還是云上，市場對數(shù)據(jù)安全的需求一直很強(qiáng)烈，而各家客戶數(shù)據(jù)庫類型和操作系統(tǒng)的紛繁復(fù)雜也給國內(nèi)這些廠商在技術(shù)能力上設(shè)置了不小的 “ 關(guān)卡 ” 。同時，無法和這些國際上主流 的數(shù)據(jù)庫廠商建立交流和合作機(jī)制、難以實現(xiàn)對各家數(shù)據(jù)庫產(chǎn)品的深度兼容，也是這些數(shù)據(jù)安全廠商亟待解決的問題。

反觀 IBM ，除了保持并擴(kuò)大目前在技術(shù)、資源上的積累優(yōu)勢外，是否能讓自己的安全產(chǎn)品更加 “ 接地氣 ” ，更習(xí)慣于傾聽中國客戶的聲音，讓安全產(chǎn)品在細(xì)節(jié)上更契合中國用戶的使用習(xí)慣，我想尤其是對于像 IBM 這樣的全球 “ 巨人 ” 來講，絕不會是一件容易的事情。但是，值得期待。

網(wǎng)站題目：中安威士：Guardium數(shù)據(jù)庫安全技術(shù)詳解
標(biāo)題網(wǎng)址：http://muchs.cn/article0/ghghio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、小程序開發(fā)、企業(yè)網(wǎng)站制作、網(wǎng)站內(nèi)鏈、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)