Bezpečnosť dát a databázových systémov je čoraz dôležitejšia

Prevádzka online informačného systému prináša zásadné výzvy v oblasti bezpečnosti. Pri jej posudzovaní je potrebné zohľadniť aj širší kontext súvisiacich systémov. V praxi to znamená, že treba myslieť aj na požiadavky, ktoré vyplývajú z platných právnych predpisov. Od 1. 7. 2013 je účinný nový zákon o ochrane osobných údajov č. 122/2013 Z. z. a spolu s ním aj vykonávací predpis – vyhláška č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení. Tieto predpisy stanovujú administratívne a technické opatrenia, ktoré je potrebné realizovať. Ich zanedbanie sa trestá vysokými sankciami.

Ochrana dát je pre každú organizáciu kľúčovou témou. Dáta sú jedným z najcennejších aktív a zároveň primárnym cieľom útočníka. Bezpečnosť informačného systému nekončí nastavením firewallu, je nutné minimalizovať aj možnosti  prístupu k dátam. Zabezpečenie databázy a dát je nutné vykonať na niekoľkých úrovniach a spôsobmi, ktoré sú bežne dostupné, bohužiaľ častokrát málo využívané.

Ako chrániť svoje dáta?

Niektoré možnosti zabezpečenia sú bezplatne dostupné v DBMS. Je to napríklad nastavenie autorizácie používateľov a oddelenie administrátorských právomocí. Pridelenie relevantných práv pomôže minimalizovať riziko ich zneužitia. Administrátor nemusí mať vždy prístup k dátam na to, aby mohol spravovať databázu. Práva môžu byť definované aj na úrovni objektu a tie je takisto potrebné obmedziť na potrebné minimum. V nevyhnutných prípadoch je možné využiť mechanizmus ako napríklad obmedzenie príkazového riadku alebo profile switching s auditovaním profilov. Dáta je možné chrániť aj vhodnou autentifikáciou používateľa. Okrem overovania pomocou operačného systému sú k dispozícii aj externé formy cez LDAP – napr. Active Directory alebo Kerberos.

Do úvahy je vhodné vziať aj možnosť obmedzenia prístupu k záznamom, na ktoré má používateľ nárok. Správa tohto riešenia je veľmi náročná, najmä v prostredí väčšieho počtu používateľov a obvykle sa rieši na úrovni aplikácie. Ďalšia forma zabezpečenia, šifrovanie dát, je momentálne na Slovensku veľmi aktuálna téma. Dôvodom sú nové požiadavky slovenských regulátorov. Šifrovať sa dá viacerými spôsobmi, odporúčaným riešením je použitie transparentného šifrovania, ktoré nevyžaduje zmeny v konfigurácii databázových systémov a aplikácii. V prípade zvýšeného rizika snifovania komunikácie medzi serverom a databázovými klientmi je možné nastaviť aj SSL kryptovanie sieťovej komunikácie.

Dáta sa dajú v prípade potreby maskovať, klasifikovať, auditovať prístup k ním. Treba ich však aktívne chrániť. Aktívna ochrana monitoruje aktivity používateľov, identifikuje podozrivé správanie a výrazne zvyšuje bezpečnosť dát aj databázy. Podozrivé správanie je zaznamená pre potreby auditu, ktorý skontroluje bezpečnostný administrátor.

Pri ochrane dát je v neposlednom rade potrebné myslieť aj na kontrolu slabých miest v konfigurácii operačného alebo databázového systému. Bezpečnostné nedostatky môžu mať fatálne následky a kontrola systémových nastavení a konfigurácií je preto viac ako potrebná. Zraniteľnosti systému dokážu odhaliť predkonfigurované testy na úrovni operačného systému a databáz a kontrola správania používateľov.

Proces komplexnej ochrany dát vyžaduje viacero foriem zabezpečenia. Nie všetky z nich sú bezplatne dostupné a dodávané v DBMS. Výber správneho bezpečnostného riešenia je preto dôležitý – nielen z hľadiska funkcií, ale aj vplyvu na aplikácie alebo databázy.

IBM Guardium – virtuálny policajt

Bezpečnostné riešenie IBM Guardium využíva neinvazívnu architektúru, ktorá umožňuje monitorovať a auditovať prístup k dátam bez nutnosti zmien na strane aplikácie alebo databázy. Komunikáciu medzi databázou a používateľskými aplikáciami monitorujú menšie alebo virtuálne servery, vďaka čomu je možné nasadiť riešenie aj na celopodnikovej úrovni.

Guardium umožňuje prevenciu pred SQL inject útokom privilegovaným používateľom, detekciu defraudácie, upozornenia v reálnom čase, forenznú analýzu a data mining. Identifikáciu defraudácie dokáže vykonávať na úrovni aplikačných používateľov.

Centralizovaná a automatizovaná kontrola systémom Guardium umožňuje auditovanie všetkých typov databáz na jednom mieste, predkonfigurované politiky a reporty bez zmien na úrovni databáz a bez nárokov na ich výkon. Pomocou centrálneho manažéra možno celopodnikovo reportovať dodržiavanie povinností vyplývajúcich z legislatívnych nariadení alebo nariadení materských spoločností. Medzi hlavné výhody patrí:

  • Možnosť použiť v heterogénnom prostredí, teda na rôzne typy databáz.
  • Politiky sa tvoria pre celé spravované prostredie, a nie pre každú databázu zvlášť.
  • Ponúkajú vytváranie detailnejšej politiky.
  • Umožňujú mapovanie aplikačných používateľov na jednotlivé príkazy smerom k databázam.
  • Redakciou maskujú dáta pred používateľmi v reálnom čase.
  • Posielajú na určitý čas do karantény používateľov, ktorí porušili pravidlá.
  • Vyhodnocujú slabiny systému kontrolou konfigurácie OS, databáz a používateľov a stav aktuálnosti DB softvéru.
  • Obsahujú reporty na splnenie formálnych a právnych požiadaviek.
  • Uľahčujú konfiguráciu automatizovanou klasifikáciou citlivých dát.
  • Umožňujú integráciu s externými dátami.
  • Ponúkajú viac funkcií v jedinom nástroji.

Guardium má takisto predkonfigurované politiky a reporty na jednoduchšie splnenie bezpečnostných štandardov SOX, PCI DSS ako aj legislatívnych požiadaviek – direktív na zabezpečenie dát od Európskej komisie.

bezpecnost-dat
Guardium – komplexné zabezpečenie Vášho databázového prostredia.

Ochranu dát netreba podceňovať

Bezpečnosť dát je dnes čoraz dôležitejšia a ich zabezpečenie netreba podceňovať. IBM Guardium predstavuje komplexné riešenie, ktoré dokáže pokryť všetky bezpečnostné požiadavky.

Článok vznikol v spoluprácii so spoločnosťou IBM.

bezpecnost