Az adatbázisokra is igaz a mondás: a régi, megszokott megoldások már nem elegendők az új kockázatokkal szemben. Nézzük meg, hogy mire kell figyelni, és milyen új lehetőségek állnak a rendelkezésünkre az adatbázisok védelmében.
Adatbázis-védelem alapfokon
Kezdjük az alaptézisekkel. A kulcsfontosságú adatokat szinte minden esetben valamilyen adatbázisban tárolják. Az alapvető biztonsági kontrollokat ma már gyakorlatilag mindenütt bevezették. Jó ideje elképzelhetetlen, hogy ne tiltsák a közvetlen adatbázis-hozzáféréseket.
Az is régóta bevett szokás, hogy rendszeres időközönként felülvizsgálják az adatbázis-kezelők beállításait, beleértve a biztonsági paramétereket, a felhasználó- és jelszó-követelményeket vagy a naplózási és audit beállításokat. Szintén alapvetés az adatbázisok működésének folyamatos monitorozása, illetve az események (lehetőség szerint automatikus) észlelése és kezelése.
Titkosítás Impervával
Kulcsfontosságú az adatok titkosítása is, ami rendszerint megoldott, de korántsem triviális, hogy miként történik. A titkosítási megoldások terén is gyors ütemben fejlődik a piac. Például a Thales nemrégiben felvásárolta az Impervát. A két gyártó megoldásai madártávlatból átfedésben vannak, de a valóságban kifejezetten jól kiegészítik egymást. Vagyis nem könnyű követni az események miértjét a megoldások tengerében.
Adatbázis-védelem: csak integráltan
Most lépjünk hátra egyet! A nagy adatbázis-kezelők gyártói (mint a Microsoft vagy az Oracle) mind rendelkeznek valamilyen adatbázis-védelmi megoldással. A gond mindig az, hogy az ügyfelek általában nem csak egy gyártó megoldásait kénytelenek használni és így védeni. Márpedig a rendszerek hatékony, proaktív védelméhez nem elegendő, ha csak figyeljük a történéseket – sok esetben beavatkozás is szükséges. Ezt pedig csak az üzletfolytonossági szempontokat maximálisan szem előtt tartva tehetjük meg.
Kifinomult megoldások
Csak a kifinomult megoldások célravezetők, de a nem triviális megoldások fejlesztése mindig méregdrága. Ráadásul az adatbázis-környezetek védelme önmagában még nem elég. Hiába oldunk meg mindent az adatbázis oldalán, ha a biztonsági megoldás nem integrálható például az MFA, HSM, vagy PAM rendszereinkkel.
Középpontban a biztonsági platform
Olyan biztonsági platformra van tehát szükség, amely túlmutat a tevékenységfelügyeleten. Adott esetben adatfelderítést és osztályozást végez, részletes hozzáférés-vezérlési opciókat kínál, valamint képes az adatokat a legszofisztikáltabb módon maszkolni és heterogén környezetekben is kezelni a dinamikusan változó szabályrendszert.
Az embert is védjük
A korábban említett Imperva még ennél is tovább lépett. Sokaknak piacvezető webalkalmazás-tűzfal (Web Application Firewall – WAF) termékéről lehet ismerős, de az adatbázis-védelemben is meghatározó. Ennek megfelelően az Imperva a vállalati hálózat legbelső és legkülső rétegében is élenjáró megoldásokat nyújt, a hálózat peremén és a belsejében gyűjtött adatokat pedig egyetlen felületen korrelálja. Így mindkét rétegben biztosított a védelem, vagyis az adatbázisból kifelé irányuló és az oda beérkező forgalom is kontroll alá kerül.
Védelem az adatokon túl is
Remélhetőleg mindenki számára nyilvánvaló, miért kiemelten fontos adataink védelme, és tőlünk nyugatra miért örvendenek nagy népszerűségnek az Impervához vagy a Thaleshez hasonló gyártók megoldásai. Azt is kulcsfontosságú kiemelni, hogy ezek a megoldások nem csak az adatainkat védik, hanem minket is, és a kiemelten kritikus rendszereink adminisztrátorait, akik felelősséget vállalnak adataink védelméért. Őket pedig nem nélkülözhetjük, mert rajtuk áll vagy bukik a vállalat egyik legfontosabb értékének, az adatvagyonnak a védelme.
A szerzőről:
| Kamarás Bálint 2023 óta erősíti a Clico Hungary csapatát, mint Security Arhitect. Bálint biztonsági rendszerek tervezésének és azok fejlesztésének a szakértője, rendszeresen publikál szakcikkeket az IT Businessben és ad elő konferenciákon. |  |
Gyakran Ismételt Kérdések az adatbázis-védelemről
A kockázatok és az IT-rendszerek komplexitása gyorsan változik, ezért a régi, megszokott védelmi módszerek – például a hozzáférés korlátozása és a beállítások rendszeres ellenőrzése – önmagukban már nem biztosítanak elegendő védelmet. Szükség van proaktív, integrált és fejlett megoldásokra is.
A titkosítás elengedhetetlen az érzékeny adatok védelméhez. A piacon folyamatosan jelennek meg új megoldások, például az Imperva és a Thales egyesített technológiái, amelyek fejlett, több szinten működő titkosítási lehetőségeket kínálnak.
A vállalatok gyakran többféle adatbázis-kezelőt használnak (pl. Microsoft, Oracle), amelyek védelme nem egységesíthető egyszerűen. A hatékony és egységes védelemhez integrált platformokra van szükség, amelyek képesek heterogén környezetekben is működni.
Mert önmagában az adatbázis védelme nem elég. A védelemnek együtt kell működnie más megoldásokkal, például MFA-val (többlépcsős hitelesítés), PAM-mal (privilegizált hozzáférés-kezelés) és HSM-mel (kulcskezelő hardvermodul), hogy teljes körű biztonságot nyújtson.
Az Imperva nemcsak a hálózat peremén, hanem a belső rétegekben is védelmet nyújt, és képes a forgalom átfogó korrelációjára. Emellett a megoldása nemcsak az adatokat, hanem az emberi tényezőt – az adminisztrátorokat és felelősöket – is támogatja, akik az adatvagyon védelmének kulcsszereplői.