跨不同平臺和云計算提供商托管的數(shù)據(jù)庫和其他數(shù)據(jù)存儲設(shè)施為網(wǎng)絡(luò)攻擊者提供了誘人的目標(biāo)。

通過在暗網(wǎng)市場上出售或加以利用竊取的大量信息，網(wǎng)絡(luò)攻擊者賺取巨額資金，其中包括利用個人和財務(wù)信息盜取資金或欺詐和勒索。

企業(yè)的數(shù)據(jù)庫泄露行為違反GDPR法規(guī)和其他法規(guī)(例如即將出臺的《加利福尼亞消費者保護(hù)法》)，除了數(shù)據(jù)泄露遭受的損失之外，這些企業(yè)還有可能面臨巨額罰款。

　　因此，各種規(guī)模企業(yè)的數(shù)據(jù)庫經(jīng)常受到持續(xù)的網(wǎng)絡(luò)攻擊。

很多網(wǎng)絡(luò)入侵通常在更長時間內(nèi)未被檢測到，這意味著數(shù)據(jù)庫需要受到被動和主動安全系統(tǒng)的保護(hù)。

這說起來容易做起來難。

隨著數(shù)據(jù)庫基礎(chǔ)設(shè)施變得越來越復(fù)雜，保護(hù)其中信息的措施也變得越來越復(fù)雜。

企業(yè)現(xiàn)在擁有可以托管在任何地方的數(shù)據(jù)庫(即內(nèi)部部署數(shù)據(jù)中心、混合云、公共云和私有云)，這意味著對于最終的保護(hù)需要統(tǒng)一的安全、風(fēng)險和符合性問題的策略。

由于云計算環(huán)境中缺乏安全性的標(biāo)準(zhǔn)，使其安全保護(hù)變得更加復(fù)雜。

亞馬遜、微軟和其他云計算提供商經(jīng)常使用非常不同的工具和流程，這使得企業(yè)在操作多云設(shè)置時更加難以管理。

在尋求保護(hù)云中數(shù)據(jù)庫的安全性時，企業(yè)必須采取通常用于內(nèi)部部署數(shù)據(jù)中心的所有安全措施。

例如，企業(yè)仍然有必要知道那里有哪些資產(chǎn)，如何管理訪問以及有哪些數(shù)據(jù)驗證和保護(hù)。

但是，許多企業(yè)組織錯誤地認(rèn)為自己的云計算提供商將會滿足其所有隱私和安全需求，而實際上他們?nèi)匀槐仨氉约撼袚?dān)最終的安全責(zé)任。

了解自己的資產(chǎn)隨著組織的成長、合并或收購其他組織，他們的數(shù)據(jù)庫資產(chǎn)和體系結(jié)構(gòu)可能會擴展并變得越來越復(fù)雜。

它們可以基于任何平臺上的任何位置，但是要確保無縫的業(yè)務(wù)流程，必須將它們鏈接在一起。

在具有不同本地數(shù)據(jù)保護(hù)和隱私法律的國家中，這可能會構(gòu)成嚴(yán)重的安全威脅，尤其是對于基于或已創(chuàng)建的數(shù)據(jù)庫而言。

如果安全團(tuán)隊不知道如何配置和保護(hù)數(shù)據(jù)庫，則威脅級別會增加。

在更糟糕的情況下，安全團(tuán)隊甚至根本不會意識到數(shù)據(jù)庫的存在。

這些數(shù)據(jù)庫為威脅行為者提供了竊取數(shù)據(jù)或破壞系統(tǒng)的巨大機會，而且更糟的是，與通過其他受保護(hù)程度更高的資產(chǎn)相比，它提供了更深入企業(yè)網(wǎng)絡(luò)的途徑。

企業(yè)準(zhǔn)確了解資產(chǎn)是什么以及資產(chǎn)的位置對于有效的數(shù)據(jù)庫安全至關(guān)重要。

資產(chǎn)監(jiān)控需要實時地進(jìn)行細(xì)化，安全團(tuán)隊這樣就可以直接獲得數(shù)據(jù)或架構(gòu)的任何變化的警報，這表明其安全系統(tǒng)已經(jīng)被滲透。

管理訪問當(dāng)用戶可以從任何地方訪問文檔時，控制可以登錄到特定數(shù)據(jù)庫的人員及其相關(guān)特權(quán)是必不可少的安全措施。

特權(quán)用戶訪問需要基于角色的規(guī)則和特權(quán)的強大訪問管理機制來構(gòu)建。

操作最低權(quán)限的用戶權(quán)限管理策略可確保用戶只能訪問資源，并執(zhí)行其工作角色所需的操作。

這限制了企業(yè)對員工或外部威脅參與者未經(jīng)授權(quán)訪問的暴露。

加強職責(zé)隔離是政府和監(jiān)管機構(gòu)經(jīng)常需要的最佳實踐指南。

這種方法要求企業(yè)證明對敏感數(shù)據(jù)的有效控制，這不僅是限制風(fēng)險的一個好方法，而且還是證明合規(guī)性的一個有效方法。

為了有效地實施此類策略，企業(yè)安全團(tuán)隊需要對異構(gòu)數(shù)據(jù)庫環(huán)境中的所有權(quán)限進(jìn)行監(jiān)督和控制，以便能夠以一致的方式管理和消除過多的權(quán)限。

這也需要定期進(jìn)行監(jiān)視，最好是實時監(jiān)視。

每隔30天左右查看一次訪問日志可能會發(fā)現(xiàn)可疑活動的跡象，但將為網(wǎng)絡(luò)攻擊者留下未被發(fā)現(xiàn)的很大的時間窗口。

精明的攻擊者也有可能竊取安全日志并對其進(jìn)行操作以掩蓋其入侵活動。

除了檢測潛在威脅之外，實時監(jiān)視還可以顯示長期未使用的數(shù)據(jù)庫帳戶，這表明它們可能不再需要訪問，并且可以取消其特權(quán)。

這是一個很好的實踐，因為相關(guān)人員可能已經(jīng)更改了工作角色，并且需要訪問不同的數(shù)據(jù)集，或者根本不需要訪問。

如果權(quán)限不隨工作角色而改變，某些工作人員可能有權(quán)訪問整個數(shù)據(jù)庫區(qū)域，而他們不再有資格通過過度暴露的數(shù)據(jù)創(chuàng)建安全問題。

當(dāng)然如果需要，可以很容易地恢復(fù)特權(quán)。

要實現(xiàn)對用戶權(quán)限評估的這種監(jiān)督和控制，每個數(shù)據(jù)庫實例可能需要80個工時。

因此，企業(yè)應(yīng)該尋求自動化。

數(shù)據(jù)庫活動監(jiān)視(DAM)可以自動檢測數(shù)據(jù)泄露事件或看起來可疑的用戶活動。

數(shù)據(jù)庫活動監(jiān)視(DAM)解決方案可以自動應(yīng)用操作，如終止用戶會話或鎖定帳戶，以及觸發(fā)其他腳本操作，例如啟動惡意軟件掃描。

此外，該解決方案可用于立即通知安全小組，然后安全小組可以進(jìn)行調(diào)查，并在必要時采取行動，防止任何可能的威脅。

加密和數(shù)據(jù)驗證許多云計算提供商將為客戶提供運行冗余數(shù)據(jù)實例作為備份措施的選擇，這意味著即使服務(wù)器由于任何原因崩潰而不會丟失信息。

盡管這可能很有用，但這些冗余實例可能與世界其他地方的服務(wù)器位于完全不同的服務(wù)器上。

在這種情況下，企業(yè)有責(zé)任確保每個包含其數(shù)據(jù)副本的數(shù)據(jù)庫均已正確配置并保證安全。

這使得了解數(shù)據(jù)的安全性變得更加不確定。

為了消除這種情況，組織應(yīng)該考慮增加更多的加密和細(xì)粒度的數(shù)據(jù)控制。

由于數(shù)據(jù)不是簡單地在企業(yè)網(wǎng)絡(luò)中存儲、訪問和傳輸，而是通過不同的服務(wù)提供商在多個網(wǎng)絡(luò)中，所有信息都需要在空閑時、在使用中和在可能的情況下被加密。

這意味著，即使有人確實訪問數(shù)據(jù)庫，它們也不能夠在沒有解密密鑰的情況下讀取數(shù)據(jù)。

結(jié)論即使在最簡單的同質(zhì)環(huán)境中，保護(hù)數(shù)據(jù)庫安全也是一項復(fù)雜但必要的任務(wù)，需要一系列安全策略和過程。

跨平臺托管、本地部署、在云中或以混合模型部署的數(shù)據(jù)庫是一個挑戰(zhàn)，即使大型企業(yè)的IT團(tuán)隊也難以實施有效的保護(hù)。

用戶越來越多地使用多個云計算服務(wù)提供商的服務(wù)這一事實使情況變得更加復(fù)雜。

諸如GDPR法規(guī)和即將發(fā)布的CCPA等數(shù)據(jù)安全和隱私法規(guī)，也意味著保護(hù)基于云計算的數(shù)據(jù)庫比以往任何時候都更加重要。

企業(yè)需要對基于云計算的資產(chǎn)采取基于風(fēng)險的方法，評估安全事件的潛在威脅和影響，并將其與對安全的投資進(jìn)行平衡。

自動化數(shù)據(jù)庫管理的關(guān)鍵要素是保護(hù)云安全的最有效選擇之一。

漏洞管理、用戶權(quán)限管理和活動監(jiān)視的關(guān)鍵元素都可以從自動化中受益，從而有助于確保數(shù)據(jù)的安全性，而不會給資源有限的安全團(tuán)隊帶來更大的負(fù)擔(dān)。