資料庫安全

menu icon

資料庫安全

瞭解資料庫安全的複雜性,以及可保護資料機密性、完整性和可用性的一些作法、原則及技術。

何謂資料庫安全

資料庫安全是指專門用來建立與保留資料庫機密性、完整性和可用性的工具、控制項及度量範圍。 這篇文章主要關注機密性,因為在大部分的資料外洩事件中,機密性是受到危害的要素。

資料庫安全必須處理並保護下列項目:

  • 資料庫中的資料
  • 資料庫管理系統 (DBMS)
  • 任何相關聯的應用程式
  • 實體資料庫伺服器和/或虛擬資料庫伺服器,以及基礎硬體
  • 用來存取資料庫的運算和/或網路基礎架構

資料庫安全是一件複雜而且具挑戰性的事情,它涉及資訊安全技術與實務作法的所有層面。 很自然地,它與資料庫可用性相矛盾。 資料庫越容易存取和使用,就越容易受遭受安全威脅;資料庫越不容易遭受安全威脅,它就會越難存取與使用。此悖論有時稱為安德森法則。(IBM 外部鏈結)

為何它很重要

依照定義,資料外洩是指無法維護資料庫當中資料的機密性。 資料外洩對您的公司造成多大傷害取決於一些後果或因素:

  • 智慧財產權受侵害:您的智慧財產(商業機密、發明、專有實務)可能對您在市場上保持競爭優勢的能力至關重要。 如果智慧財產權被竊取或曝光,您的競爭優勢可能難以或者無法維持或恢復。
  • 品牌聲譽受損:如果客戶或合作夥伴不相信您可以保護您的資料或他們的資料,他們可能不願意購買您的產品或服務(或與貴公司做生意)。
  • 企業永續或缺乏企業永續):有一些企業必須等到資料外洩問題解決之後才能繼續營運。
  • 因違規而遭到罰款或處罰:因未能遵守諸如沙賓法案 (SAO) 或支付卡產業資料安全標準 (PCI DSS)、產業專門資料隱私法規(例如 HIPAA ),或區域性資料隱私法規(例如歐洲的「一般資料保護法規 (GDPR)」)而遭受的財務衝擊可能會是毀滅性的,在最糟的情況下,單次違規 的罰款可能超過數百萬美元。
  • 修復資料外洩並通知客戶的成本: 除了向客戶告知資料外洩的成本外,發生資料外洩的組織還必須支付法鑑識與調查活動、危機管理、分類、修復受影響系統以及更多的成本。

共同的威脅和挑戰

許多的軟體錯誤配置、漏洞或者疏忽或誤用模式都有可能導致資料外洩。 以下是最常見的資料庫安全攻擊類型及其原因。

內部威脅

內部威脅是三種資料庫特許存取權來源的其中一種:

  • 有意造成傷害的惡意內部人士
  • 粗心的內部人士因疏忽造成錯誤,使得資料庫容易遭到攻擊
  • 滲透者:透過像網路釣魚之類的密謀取得認證或取得認證資料庫本身存取權的外部人士

內部威脅是造成資料庫安全漏洞的最常見原因之一,而且常常是讓太多員工擁有特許使用者存取認證的結果。

人為錯誤

意外、弱密碼、密碼共用及其他不智或不知情的使用者行為一直以來都是近半數 (49%) 資料外洩事件的發生原因。(IBM 外部連結)

不當利用資料庫軟體漏洞

駭客以尋找與鎖定各種軟體當中漏洞為生,包括資料庫管理軟體。 所有主要的商業資料庫軟體供應商和開放原始碼資料庫管理平台,都會定期發行安全修補程式以解決這些漏洞,但如果未能及時套用這些修補程式,很可能會擴大您的曝露。

SQL/NoSQL 注入攻擊

一種資料庫專門威脅,其中涉及將任意 SQL 或非 SQL 攻擊字串插入由 Web 應用程式或 HTTP 標頭所處理的資料庫查詢中。 不遵循安全 Web 應用程式編碼作法並執行定期漏洞測試的組織,很容易遭受這些攻擊。

不當利用緩衝區溢位

當處理程序嘗試將超出記憶體允許持有的更多資料寫入記憶體的固定長度區塊時,就會發生緩衝區溢位。 攻擊者可以利用儲存在相鄰記憶體位址中的多餘資料,以做為發動攻擊的基礎。

阻斷服務 (DoS/DDoS) 攻擊

在阻斷服務 (DoS) 攻擊中,攻擊者會蜂擁而至目標伺服器(在此案例中為資料庫伺服器),伺服器因為要求太多而無法再滿足來自真正使用者的合法要求,而且在許多情況下,伺服器會變得不穩定或損毀。

在分散式阻斷服務攻擊 (DDoS) 中,泛濫的要求來自多台伺服器,這使得阻止攻擊變得更加困難。 請觀看我們的影片 What is a DDoS Attack (3:51),以取得以下相關資訊:

惡意軟體

惡意軟體是為了不當利用漏洞或造成其他資料庫損害而專門編寫的軟體。 惡意軟體可能會透過連接資料庫網路的任何端點裝置抵達。

對備份進行攻擊

未能利用保護資料庫本身的嚴格控制來保護備份資料的組織,可能很容易遭到備份攻擊。

這些威脅因下列情況而加劇:

  • 資料量不斷成長:幾乎所有組織的資料擷取、儲存和處理持續呈現指數級成長。 任何的資料安全工具或實務作法都需要進行高度擴充,才能滿足不久和遙遠未來的需求。
  • 基礎架構蔓延: 網路環境變得越來越複雜,尤其是企業將工作負載移至多雲混合雲架構,這些都使得安全解決方案的選擇、部署和管理變得更具挑戰性。
  • 日趨嚴格的合規要求:全球的合規形勢變得日趨複雜,這使得遵循所有命令變得更加困難。
  • 網路安全技能短缺:專家預測到 2022 年將會出現 800 萬個網路安全職位空缺

最佳作法

資料庫幾乎一律都可以透過網路存取,因此網路基礎架構內部任何元件或局部的網路基礎架構若面臨任何安全威脅,資料庫也會同樣遭受威脅,而任何會影響使用者裝置或工作站的攻擊也有可能威脅到資料庫。 因此,資料庫安全必須擴大超越僅限資料庫本身。

在評估您環境中的資料庫安全以決定團隊的首要優先順序時,請考量下列每一個領域:

  • 實體安全:無論您的資料庫伺服器位於內部部署或雲端資料中心,它都必須位在安全的氣候受控環境中。(如果您的資料庫伺服器位於雲端資料中心,則您的雲端供應商會幫您處理此問題。)
  • 管理和網路存取控制:實際可存取資料庫的使用者人數應保持在最少,而且其權限應限制在他們執行工作所需的最低層次。 同樣地,網路存取權應該限制在必要權限的最低層級。
  • 一般使用者帳戶/裝置安全:永遠要關注誰正在存取資料庫,以及資料何時與如何被使用。 如果資料活動異常或出現風險,資料監視解決方案可以警示您。 連接至資料庫所在網路的所有使用者裝置都應該保持實體安全(僅限在正確使用者的手中),而且隨時接受安全控制。
  • 加密:所有資料(包括資料庫中的資料和認證資料)應使用最佳加密進行保護,包括在待用和傳輸時。 所有加密金鑰都應該按照最佳作法準則進行處理。
  • 資料庫軟體安全:一律使用資料庫管理軟體的最新版本,並在所有修補程式發出後立即套用。
  • 應用程式/Web 伺服器安全: 任何與資料庫進行互動的應用程式或 Web 伺服器都有可能是攻擊管道,因此應該接受持續安全測試和最佳作法管理。
  • 備份安全:資料庫的所有備份、副本或映像檔必須接受與資料庫本身相同(或同等嚴格)的安全控制。
  • 審核:記錄資料庫伺服器和作業系統的所有登入,同時記載曾對機密資料執行的所有作業。 應定期執行資料庫安全標準審核。

控制項和原則

除了在您的整個網路環境中實作分層安全控制之外,資料庫安全還需要您建立用於存取資料庫本身的正確控制項和原則。 這些包括:

  • 行政控制項用來控管資料庫的安裝、變更和配置管理。
  • 預防控制項用來控管存取、加密、記號化及遮罩。
  • 偵測控制項用來監視資料庫活動監視和資料遺失預防工具。 這些解決方案使其能夠針對異常或可疑的活動進行識別與警示。

資料庫安全原則應支援您的整體商業目標並與其相整合,例如保護重要智慧財產,以及您的網路安全原則雲端安全原則。 請確保您已指定維護與審核組織內部安全控制項的責任,而且您的原則可以補充您與雲端供應商之間責任分攤協議中的原則。 安全控制項、安全意識訓練、教育計劃、滲透測試及漏洞評估策略的建立應以支援您的正規安全原則為目標。

資料保護工具與平台

現今有廣泛的供應商提供資料保護工具與平台。 全方位解決方案應包含下列所有功能:

  • 探索:尋找可以掃描並分類所有資料庫當中漏洞的工具,無論是在雲端或內部部署進行管理,並提供建議以補救所找到的任何漏洞。 遵循合規命令通常需要探索功能。
  • 資料活動監視:這類解決方案應該要能夠監視與審核所有資料庫中的所有資料活動,無論您的部署是在內部部署、雲端或容器中。 它應該即時警示您可疑活動,以便您能夠更快速地回應威脅。 您還會想要一種解決方案,其可強制執行規則、原則和職責分離,並透過綜合性的統一使用者介面提供您資料狀態可見性。 請確定您選擇的任何解決方案可以產生所需報告,以滿足合規性要求。
  • 加密和記號化功能:在發生資料外洩時,加密可提供對抗侵害的最後防線。 您選擇的任何工具都應該包含靈活的加密功能,以保護位在內部部署、雲端、混合雲或多雲環境中的資料。 尋找具有檔案、磁區和應用程式加密功能的工具,以符合您產業的合規性要求,其中可能需要記號化(資料遮罩)或進階安全金鑰管理功能。
  • 資料安全最佳化與風險分析:藉由結合資料安全資訊與進階分析來產生脈絡化洞察的工具,其可讓您輕鬆完成最佳化、風險分析與報告。 選擇一種解決方案,其可保留並綜合大量有關資料庫狀態與安全性的歷史和最新資料,並尋找一種解決方案,其可透過全面但對使用者友善的自助式儀表板提供資料探索、審核及報告功能。

資料庫安全與 IBM Cloud

由 IBM 管理的雲端資料庫提供其中採用 IBM Cloud 安全技術的原生安全功能,包括內建身分與存取管理、可見性、智慧及資料保護功能。 使用由 IBM 管理的雲端資料庫,您即可高枕無憂,因為您知道您的資料庫放在天生安全的環境中,而且您的管理負荷將會大大減輕。

IBM 還提供 IBM Security Guardium 智慧型資料保護平台,其中包含針對您所有資料庫、資料倉儲、檔案共用及大數據平台,無論它們是放在內部部署、雲端或混合式環境中所提供的資料探索、監視、加密及記號化。

此外, IBM 提供受管理的 Data Security Services for Cloud,其中包括資料探索與分類、資料活動監視,以及加密和金鑰管理功能,藉此透過簡化的風險緩解方法來保護您的資料免於遭受內部和外部威脅。

您可以從立即註冊 IBM Cloud 帳戶開始著手。