امنيت پايگاه داده
-(53 Body)  Print
Responsive image

در سال هاي اخير، حوادث امنيتي که منجر به افشاي اطلاعات حساس شده اند، با حجم بيشتري رخ داده  و گزارشات متعدد نشان مي دهد شدت اين رخدادها در حال افزايش است. اين در حالي است که حجم قابل توجهي از اين اطلاعات در سطح پايگاه هاي داده  ذخيره شده و اين موضوع بيش از گذشته اهميت پياده سازي کنترل هاي امنيتي در سطح سرويس دهنده هاي پايگاه داده را نشان مي دهد. گزارش حوادث امنيتي و ارتباط آن به پيامد حوادث بر امنيت داده ها نشان مي دهد، در صورت نفوذ به پايگاه هاي اطلاعاتي بيشترين سطح افشا، سرقت و دستکاري اطلاعات به صورت غيرمجاز رخ داده است. نکته قابل توجه اينکه در بسياري از موارد، کارکنان سازمان و کاربران داخلي به صورت تعمدي يا در اثر خطاي انساني و در کل به دليل نبود مميزي صحيح عامل اصلي اين حوادث بوده اند و اين نشان مي دهد امنيت پايگاه داده نيازمند کنترل هاي امنيتي، فراتر از کنترل دسترسي و احرازهويت است. وقوع يک نفوذ به يک پايگاه داده حساس همچون سيستم پردازش اطلاعات کارت هاي بانکي در صنعت پرداخت و يا اطلاعات سوابق پزشکي، نه تنها به صورت مستقيم به منافع سازمان لطمه وارد مي کند، بلکه جرايم و تبعات سنگيني را مطابق با الزامات نظارتي و قانوني به همراه خواهد داشت. لذا همواره به سازمان ها توصيه مي شود به ارزيابي وضعيت امنيتي خود در پايگاه هاي داده پرداخته و پس از شناخت شکاف هاي امنيتي موجود، اقدامات اصلاحي و کنترل هاي بازدارنده لازم را در لايه هاي مختلف پياده سازي نمايند.

پايگاه هاي داده، به عنوان يک دارايي از پيچيدگي ذاتي بالايي برخوردارند. بسياري از متخصصين امنيتي فاقد دانش و تجربه کافي در زمينه شناسايي مخاطرات امنيتي مرتبط با پايگاه هاي داده هستند. بنابراين به صورت پيش فرض، مسئوليت امنيتي اين بخش برعهده راهبران پايگاه داده (DBA) مي باشد. با توجه به گزارش فارستر(Forrester)، تنها 5-10% از زمان و تمرکز کاري راهبران صرف مقوله امنيت مي شود. بر اساس اين گزارش، بيش از 90% سازمان ها بيش از يک نوع سرويس دهنده پايگاه داده را پشتيباني نموده و صدها يا هزاران پايگاه اطلاعاتي عملياتي در سازمان هاي بزرگ به صورت عملياتي يافت مي شود. در عين حال، روش اجرايي پيا ده سازي امنيت در سطح پايگاه داده، به دليل برنامه هاي کاربردي که آن ها را مورد استفاده قرار مي دهند، تابع ملاحظات خاصي است.

 

در قدم اول، جهت تعيين راهبرد و مسير راه محافظت از پايگاه هاي داده، نياز به بکارگيري استانداردها و بهروش ها مي باشد. اين منابع بايستي به عنوان رهنمودهايي براي راه اندازي، پيکربندي و عملياتي سازي سامانه و در محيطي امن بکارگرفته شوند. تدوين و اجراي خط مشي هاي امنيتي، بکارگيري استانداردها و بهروش ها، تفکيک وظايف و تامين دسترسي پذيري در موفقيت طرح امنيت شبکه بسيار حايز اهميت هستند.

 

از چهار اصل اساسي در تحقق امنيت پايگاه هاي داده مي توان به اين ترتيب نام برد: 

  1. ايجاد يک زيربناي مستحکم بر پايه کنترل دسترسي، احرازهويت، مجازشماري
  2. پويش و طبقه بندي اطلاعات و در نهايت مديريت وصله هاي امنيتي (Patch Management)
  3. بکارگيري کنترلهاي پيشگيرانه از جمله پوشش داده (Data Masking)، رمزنگاري و مديريت تغييرات
  4. پياده سازي زيرساخت تشخيص نفوذ از طريق مميزي، پايش، نظارت و ارزيابي امنيتي مستمر

با توجه به مدل تهديدات موثر بر پايگاه هاي داده، کنترل هاي امنيتي ياد شده بايستي در تمامي لايه ها از جمله شبکه، وب، برنامه هاي کاربردي، کانال هاي مديريت پايگاه داده و ترمينال هاي کاري مورد توجه قرار گيرد. با اين وجود موثرترين مکانيزم هاي امنيتي تا حد امکان نزديک به پايگاه هاي  اطلاعاتي پياده سازي مي شوند. با پياده سازي اصل دفاع در عمق، در مواجهه با تهديدات و مهاجمين داخلي که به راحتي امکان عبور از کنترل هاي لايه هاي خارجي تر را دارند، مي توان از پايگاه هاي داده محافظت کرد. 

دستاوردهايي که بايستي در پيادهسازي امنيت در پايگاه داده محقق شود :

  1. پياده سازي سطوح دسترسي متناسب با وظيفه مندي و مبتني بر اصل حداقل امتياز و مطابق با الزامات نظارتي
  2. انطباق با استانداردهاي امنيتي PCI DSS، HIPPA، SOX، FIPS، Common Criteria
  3. پيکربندي امنيتي جهت بهره برداري در محيط عملياتي
  4. تفکيک محيطها و داده ها جهت ارزيابي تغييرات، محافظت از داده و پياده سازي کنترلهاي محافظت از نشتي همچون Data Masking
  5. رمزنگاري سلسله مراتبي جهت محافظت از محرمانگي داده در طي تمامي فازهاي توليد، تثبيت، بازيابي و تبادل
  6. مميزي عملکرد برنامه هاي کاربردي، راهبران و کاربران با سطوح دسترسي مختلف و حفظ استقلال و استمرار آن
  7. پايش مستمر فعاليتها و رويدادها در سطح پايگاه داده و آمادگي براي اجراي واکنش امنيتي
  8. ارزيابي امنيتي و شناسايي آسيب پذيريها جهت يکپارچگي با فرآيند مديريت وصله هاي امنيتي
امروزه ابزارها در زمينه امنيت پايگاه داده نقش قايل توجهي ايفا مينمايند. در يک دستهبندي کلي تجهيزات امنيتي در حوزه پايگاه‌ داده به دو دسته DAM و DBF تقسيم ميشوند که در ادامه به معرفي و بررسي ويژگيهاي آنها پرداخته شده اشت.

راهکارهاي پايش مستمر پايگاه داده ها (DAM) و فايروال پايگاهداده (DBF)

راهکارهاي DAM، بيش از يک دهه است که براي پايش فعاليت ها و مديريت هشدارها و گزارش دهي بکارگرفته شده اند. با اين وجود هيچ زماني به اندازه دوران حاضر اين راهکارها بالغ و در عين حال موثر نبوده اند. رويدادهايي همچون ورود و دسترسي راهبران پايگاه داده، اعمال تغييرات، سطح دسترسي هاي بيش از نياز اعطا شده به کاربران و اساساً هر نوع رويدادي در سطح پايگاه داده قابل ردگيري و گزارش دهي خواهد بود. هر چند کارايي اين راهکارها، به نوع و پيکربندي ابزارهاي مورد استفاده نيز بستگي دارد. بايستي توجه داشت يکي از ويژگي هاي جالب در مورد راهکار DAM، تفکيک اطلاعات مميزي و هشدارها خارج از سرويس دهنده پايگاه داده است و اين امر مانع دستکاري اين اطلاعات به صورت غيرمجاز توسط کاربران تحت پايش خواهد بود. قابليت ديگر، امکان ارسال هشدارها به صورت Real-time است، بنابراين به محض نقض خط مشي هاي امنيتي تعبيه شده، مي توان از واکنش لازم براي رسيدگي به حادثه امنيتي بهره برداري نمود.  

به صورت کلي ميتوان درآمد امنيتي ناشي از بکارگيري ابزارها و تجهيزات را در اين شاخص هاي کليدي برشمرد:

  1. فراهم سازي ديد 100% از وضعيت دسترسي به داده ها در پايگاه داده
  2. امکان پايش کاملا مستقل فعاليت راهبران پايگاه داده
  3. تحليل امنيتي دستورات SQL
  4. همبستگي در شناسايي حوادث امنيتي به صورت Real-time
  5. اجراي مميزي رويدادها مرتبط با حوادث امنيتي
  6. پشتيباني از عمليات تحليل جرايم رايانه اي

ضمن اينکه ميتوان، با توسعه ابزارها و استقرار در محيطهاي بزرگ سازماني به توانمنديهاي زير دست يافت:

  1. مسدودکردن دسترسي در صورت تشخيص حملات و مخاطرات
  2. گزارش دهي در مورد مجازشماري(Authorization) کاربران سطح پايگاه داده
  3. شناسايي داده هاي حساس
  4. پوشايي داده هاي حساس به صورت پويا در سطح پايگاه داده
  5. مديريت و ارزيابي آسيب پذيريهاي امنيتي
  1. شناسايي فرآيندهاي تغيير، نگهداري و راهبري سرويس هاي داده اي شامل اجراي مصاحبه هاي تخصصي
  2. مميزي فعاليت هاي راهبران و کاربران پايگاه هاي داده و پياده سازي زيرساخت پايش مستمر
  3. پياده سازي زيرساخت تشخيص نفوذ از طريق مميزي، پايش، نظارت و ارزيابي امنيتي مستمر
  4. پياده سازي، پيکربندي و بهينه سازي فايروالهاي لايه پايگاه داده (DBF) و پايش مستمر پايگاه داده(DAM)
  5. پياده سازي راهکارهاي رمزنگاري و پوشش گذاري بدون اعمال تغييرات در برنامه هاي کاربردي موجود جهت محافظت از محرمانگي و صحت داده در طي تمامي فازهاي توليد، تثبيت، بازيابي و تبادل
  6. اجراي برنامه مميزي و انطباق سنجي پايگاه هاي داده مطابق با قوانين نظارتي همچون شاپرک و استانداردهاي امنيت داده شامل HIPPA، PCI DSS، FIPS
  7. پيکربندي امنيتي (Hardening) سرويس دهنده هاي پايگاه داده

اغلب سازمان‌ها در تامين امنيت پايگاه هاي داده با چالش هاي جدي مواجه هستند و اين امر مسجل شده که روشهاي امنيتي براي محافظت از تهديدات رو به افزايش کافي نيستند و البته نميتوان هيچ مشکلي عدم از کارمندان ناراضي، فرآيند هاي مبهم و غيرشفاف، نبود مميزي کافي، ضعف در طراحي سيستم هاي اطلاعاتي و مشکلات زيرساختي و البته افزايش انگيزه مهاجمين خارجي را ناديده گرفت. ثامن ارتباط عصر در اين زمينه راهکار جامعي را به سازمان ها ارايه مي‌دهد تا قادر باشند با رفع اين مخاطرات، امنيت داده هاي باارزش خود را تامين نمايند.