特约通讯员王蔚斯
Sent ri go公司的H edgehog是一种优秀的数据库安全软件解决方案。它是一个实时监控所有数据库活动的系统,它基于已定义的策略规则,对可疑活动进行警告,并在需要时阻止其发生,保护用户敏感数据远离外部和内部恶意用户的攻击。
在数字信息飞速发展的今天,数据库技术已经深入各行各业,随之而来的数据安全问题也越来越受到人们的关注。各种应用系统的数据库通常存储着大量敏感、高价值的数据,其中包括客户资料、财务状况、人事资源等。为了保证这些敏感数据的安全性,同时又兼顾商业访问的需求,数据库的安全问题成为管理系统部署的重点。传统的系统周边防护和网络安全措施在一定程度上可以保障数据库免受某些侵袭,但对于那些专门针对数据库特有的易损性和数据库内部基本无防护状态而发起的数据库入侵行动而言,这些保护措施却是有心无力。更多优秀的数据库安全保障技术应运而生,本文介绍的Sentrigo公司正是新一代数据库安全解决方案供应商中的佼佼者,是新一代的数据安全卫士。
在数据安全解决方案上,Sentrigo是公认的革新者,它提供了一整套的数据安全产品,包括数据易损性评估、虚拟补丁、数据活动监测等,可应用于包括Oracle、SQL Server、Sybase在内的众多数据库。公司的旗舰产品Hedgehog提供了数据活动监测(DAM)和实时入侵预防功能,保护用户敏感数据远离外部和内部恶意用户攻击。
Sentrigo公司认为,提高数据库的安全性不仅包括完善现有数据库的运行环境,更应该能兼容到将来数据库升级后的新环境。它主推的Hedgehog系列软件产品,应用监测防护技术全方位满足了用户的安全需求。Hedgehog系列软件主要从内部和外部两个角度监测数据库活动,通过部署在每个数据库服务器上的基于内存的软件型传感器和集中管理控制台来构建数据库的安全策略。用户不管是在数据中心虚拟化架构上部署数据库还是将数据库转移到云架构,都能够实时保障数据安全。
目前,正在使用的数据安全保护技术有多种,例如:身份管理和访问控制,本地数据库审计工具,利用网络设备进行监控等。但是,传统的这些方案都存在着一定的局限性。由于访问权限过低,极易受到黑客攻击,授权用户也可随意控制;非完全的分布模式使得系统需要配置单独的网络服务器用于分析本地服务器上传的数据操作,导致在操作频繁的系统中占用了大量带宽用于信息的传送;同时,由于本地计算机不具备独立的分析能力,只能事后论证,没有防御能力,无法及时对数据入侵操作进行堵截和报警。
相比传统方案,S e n t r i g o公司提供的数据安全解决方案拥有以下优势:
更好地适应了当今的IT架构:整个Hedgehog的产品线都为软件形式,用户可从Sentrigo公司网站下载,且安装简单。它包含了一个基于网络管理控制台的服务器应用和安装于被监视的数据库主机上的微型传感器构件。安装程序带有向导功能,用户可以在几分钟内轻松地完成整个软件的安装。一旦安装,Hedgehog拥有的一系列自带的集成工具,可以让用户在任何一个地方得到关于数据库的警报信息,并为数据审计建立工作日志。相比之下,其它数据库安全系统需要几个月才能完成的部署,Hedgehog只需几周甚至几天时间就可启动和运行。
分布式的软件模式,节约时间和成本:通过给每个数据库管理器上的传感器分配不同的安全策略,Sentrigo的架构可以被直接部署在大型系统中而无需另加网络服务器。服务器和传感器之间的所有传送信息都是被加密和压缩的,传感器发送的信息被限制为简单的安全策略管理和警报信息,服务器也仅在必要情况下向传感器发送更新的安全策略,警报信息和安全事件只占用极少量的带宽(一般只占用服务器CPU的2%-5%)。对带宽的有效利用使Sentrigo解决方案可应用于广域网(WAN)拓扑结构。
Sentrigo公司的主打产品Hedgehog是一个基于主机的数据库安全软件解决方案,可实现实时数据活动监测、数据库审计和预防入侵。Hedgehog可以在几天内部署完成上千个数据库,且对数据库性能的影响很小,即使在操作频度极高的系统中也不会影响数据库的日常运作。它完美地整合了用户已有的安全构架、IT管理,可用于部署企业级数据库。对于那些要求数据库操作监控、入侵预警、目标用户鉴别和虚拟补丁的用户而言无疑是最佳选择。
Hedgehog高效的数据监视器和日志功能可以记录所有对敏感信息的操作记录(也包括数据定义和设置),同时保证零操作延时。系统警报信息被保存在管理服务器上,仅可被拥有Hedgehog软件许可的用户访问,有效地实现了许多规范中要求的“职责分离”。它主要有如下特征:
·独立监测和审计所有数据活动,包括管理员操作、所有一般操作
·在数据库外安全的存储操作日志
·整合多个异构数据库管理系统(DBMS)操作并且将不同DBMS操作规范化
·执行系统管理员、数据库管理员、信息安全人员和合规人员的责任分离制
通过查阅日志文件,及时发现威胁数据库的罪魁祸首是一方面,在入侵发生的第一时间堵截,保证数据库安全又是另一重要保护措施。当Hedgehog Enterprise监测到数据库安全受到威胁时,向管理控制台或第三方事件监测工具发布实时警报。而对于高危攻击,通过适当的配置,Hedgehog Enterprise可立即终止入侵操作,并在一段时间内隔离可疑用户,同时升级防火墙阻止该可疑IP的重新接入。Hedgehog Enterprise主要有以下特点:
非入侵式数据操作:对于应用实时入侵防御系统(IPS)的数据而言,一项关键的技术难题是避免增加操作延时和引起新的单点故障。Sentrigo独特的分布式构架使每个数据服务器上传感器拥有自主操纵权,相互独立地运行。一旦接收到来自管理服务器的安全警报,各个传感器都进行单独评估,任何进行中的侵害行为都将被立即停止。Sentrigo方案为内存扫描模式,因此安全策略不会增加数据操作延时,即使某个安全构件失效也不会影响前端数据库的使用。
自由配置:使用Sentrigo独创的专利技术,Hedgehog监控器可实时地监测所有数据操作,包括:存储操作、触发服务、构件视图、数据加密等。基于高度灵活的软件策略,通过配置,系统可记录低优先级活动并对最高危行为发出警报并终止操作。配置可以被选择应用于所有数据库,或者用户自定义的需要对敏感数据执行最严格的监控的数据库。
虚拟补丁:正规的补丁通常要经过某些IT标准或内部政策的审核,等到正式发布通常要几个月甚至几年。这期间公司数据库都处在未打补丁的不安全状态,容易使关键数据库受到侵袭,导致数据丢失、隐私被窃。Hedgehog的虚拟补丁(Hedgehog vPathc)为未打补丁的DBMS内核提供保护,通过在数据库周围构建安全层,使数据库免受侵扰,同时可阻隔来自黑客的一般入侵,而且它无需停机时间或者应用测试。
Sentrigo公司的易损性评估解决方案(Hedgehog DBscanner)能够为用户全景展现当前数据库的安全状况,包括正在运行的每个数据库的补丁版本、密码强度等超过3000项的检测结果。可扫描Oracle,Microsoft SQL Server,IBM DB2 and MySQL数据库和应用程序,DBscanner是最全面的数据库易损性评估解决方案。DBscanner的扫描结果可以从Hedgehog控制台获取,可快速、简便地整合进Hedgehog Enterprise,自动保护系统免于最新发现的入侵行为。
云计算是IT业最热门的话题,相对于传统的软件构架,低成本、高效率的特点使其发展迅速。然而,将用户的敏感数据信息转移到云中,对数据库的安全保障提出了重大挑战。相比传统软件,由于云计算的特点,用户数据分散存储,外部访问者拥有内部接入权,传统的数据监视变得形同虚设。此时,Sentrigo基于内存扫描的传感器架构凸显优势,它使云架构下的数据库安全管理如同本地数据库一样容易且安全。
在虚拟化和云计算的环境中,客户通常需要考虑很多关键性的因素。首先,由于数据库服务器不属于用户私有网络,这给传统的基于网络的数据监测解决方案带来了不可逾越的障碍。另外,系统环境的动态特性意味着服务器需要频繁对资源进行预分配和再分配以保证资源的最大利用率。由于服务器动态配置的特性(用户不能确定需要监控哪台服务器)导致简单地将监视器程序安装在目标数据库的做法不可行。
Sentrigo公司的Hedgehog方案依托可自主运作的传感器架构,在分布式的环境中也可以很好地运作。系统中安装Hedgehog后,无需任何配置,Hedgehog将立即与管理服务器建立联系。在Hedgehog中,所有管理服务器之间的有关设置策略和收发警报的信息都是被加密、压缩过的,避免任何相关的网络安全问题。此外,由于传感器是本地自主运作的,云中的资源可以免除各种攻击就如同数据存储在用户的本地系统中。
利用虚拟技术,云计算架构使计算机(虚拟机或物理机)可以利用更多的资源服务数据库系统。而且数据库可以独自运行,无需用户配置机名和网段等。但是,许多数据库安全方案要求用户安装代理,安装代理通常需要变更内核级别、重启系统等,这些都在很大程度上影响了数据库系统的正常运作。此外,由于更改了管理服务器配置,使用这些安全方案后,数据库服务器的自动配置过程难以进行。
如果用户在部署虚拟化环境时允许各种应用共享服务器的硬件,那么同一服务器的应用与数据库间的通信将仅在本机上可见,这将使得基于网络的数据库安全方案难以监控同一服务器上的数据操作。为了避免这一问题,通常需要添加本地代理,以处理本地虚拟机间的数据活动。然而,这些本地代理并不能像Sentrigo公司的传感器一样可以自动运作保护本地数据安全。它们只能将可疑操作上传网络服务器进行分析,这种方式不仅极大地占用系统资源,也难以高效地处理虚拟机间频繁的数据活动。
Sentrigo公司的Hedgehog依托真正的分布式构架,使同一服务器上的多台虚拟机可以独立地设置安全策略,发送操作警报,全面保障本地数据安全。这也使Hedgehog成为虚拟环境下最有效的数据安全解决方案。
在虚拟构架中,特别是云计算环境下,运行数据库的计算机经常需要更新,每个新的虚拟机都需要被有效地监控以确保服从整体信息安全策略的管理。这也意味着运行数据库的新虚拟机需要安装必要的软件,并且依据它承载的数据和数据安全规范对软件进行单独配置。例如,许多DAM系统要求的代理软件就很难在第一时间被装入虚拟机,因为代理的安装需要更改内核等级、重启系统等等,这也导致了DAM系统不能自动更新虚拟机。
在Sentrigo架构下,开机时系统即可监测到新安装的虚拟机,本地传感器将被自动地安装在新的虚拟机上,并与管理服务器取得连接,以便配置虚拟机安全策略。无需手动配置虚拟机,无需安装复杂的代理软件,Sentrigo使系统的更新更加自动和便捷。
Sentrigo公司凭借着数据安全领域的领先技术赢得Network World、SC杂志等媒体的一致好评。最近,Sentrigo又获得云计算世界大奖赛的“最佳安全解决方案奖”以及2010全球最佳产品奖。相信在不久的将来,Sentrigo将会在数据安全领域贡献更多新的技术与产品,取得更加卓越的成绩!
参考资料:http://www.sentrigo.com/