Защита баз данных — важная часть построения системы защиты информации. Специализированные решения для защиты баз данных обладают более эффективными функциональными возможностями по сравнению со штатными средствами СУБД. Попробуем понять, какие продукты в этой области есть на рынке информационной безопасности и каковы перспективы этого сегмента.
- Введение
- Системы защиты баз данных (Database Security)
- Мировой рынок систем защиты баз данных
- Российский рынок систем защиты баз данных
- Обзор отечественного рынка систем защиты баз данных
- 5.1. «Гарда БД»
- 5.2. «Крипто БД»
- Обзор зарубежного рынка систем защиты баз данных
- Выводы
Введение
Базы данных любой организации являются критически значимым ресурсом в силу того, что там размещена конфиденциальная информация, в том числе персональные и коммерческие данные. Поэтому перед службой информационной безопасности встаёт актуальный вопрос об обеспечении их защиты. Несмотря на то что практически все современные СУБД (системы управления базами данных) имеют встроенные средства защиты, на рынке ИБ есть целый сегмент, в котором представлены продукты для обеспечения безопасности различных баз данных.
Эти продукты можно разделить по функциональным возможностям на два основных типа: DAM (Database Activity Monitoring, мониторинг активности баз данных) и DBF (Database Firewall, файрвол уровня баз данных). В обзоре будут рассмотрены продукты обоих типов, тем более что большинство представленных на рынке систем обладают возможностями как DAM, так и DBF.
Решения по защите баз данных характеризуются более широкими функциональными возможностями и, как правило, имеют более удобную консоль администрирования. Кроме того, они предлагают больше возможностей для интеграции со сторонними системами, такими как SIEM, SOAR, инструменты Zero Trust и пр.
Ранее мы уже писали о системах защиты баз данных, например, в статьях «Ищем бреши в безопасности СУБД с помощью IBM Guardium Database Activity Monitoring» и «Обзор Гарда БД 4 для защиты баз данных и веб-приложений». Также мы обсуждали то, какие технологии по защите баз данных применяются в наше время, в эфире АМ Live «Эксплуатация и внедрение систем мониторинга активности баз данных (DAM)».
Системы защиты баз данных (Database Security)
Как уже было сказано, ко специализированным системам обеспечения безопасности баз данных относятся в основном решения класса DAM и DBF. Ниже более подробно разберём, что представляет собой каждый из этих классов продуктов.
DAM осуществляет мониторинг действий пользователей в системах управления базами данных. При этом системы не требуют изменения настроек или конфигурации самих СУБД, они могут работать независимо от них. DAM обрабатывает копию трафика, тем самым не оказывая влияния на бизнес-процессы.
Такие системы позволяют классифицировать SQL-запросы по принадлежности к определённым группам, разбирать трафик взаимодействия пользователей с базами данных, вести полный аудит SQL-запросов и ответов на них. Помимо этого системы класса DAM обладают системой глубокой фильтрации, позволяющей выявить в огромном количестве запросов потенциальные инциденты и сохранить полный архив действий пользователей.
DBF является, по сути, неким сетевым шлюзом, которой может встраиваться «в разрыв» или функционировать в пассивном режиме для обработки копии трафика. Такая система позволяет осуществлять блокировку нежелательных запросов, но для решения этой задачи потребуется установка DBF первым способом («в разрыв»).
Мировой рынок систем защиты баз данных
Базы данных по-прежнему являются типичным местом хранения критически важной информации. Параметры производственного процесса, финансовые транзакции, конфиденциальные записи клиентов — все эти ценные корпоративные данные должны быть защищены от компрометации их целостности и конфиденциальности без ущерба доступности для бизнес-процессов.
По мере того как всё больше и больше компаний прибегают к цифровой трансформации, проблемы безопасного хранения, обработки и передачи данных продолжают множиться. Средняя стоимость утечки данных составляет на сегодняшний день порядка 4 млн долларов США. Прямые финансовые потери могут стать для многих компаний катастрофическими, без учёта косвенного репутационного ущерба.
Рынок баз данных — это огромная и растущая отрасль. По данным IDC, его объём сегодня превышает 60 миллиардов долларов и должен ещё вырасти за 2022 год.
Если проанализировать ситуацию на рынке безопасности баз данных, то можно отметить, что на нём присутствуют крупные игроки с широким ассортиментом продукции, охватывающие различные аспекты безопасности баз данных и занимающие лидирующие позиции по сравнению с конкурентами. Это IBM и Oracle.
За этими вендорами идёт плотная группа компаний, которые стараются приблизиться к лидерам за счёт активного развития своих продуктов, а также инвестиций в расширение портфеля и более широкую интеграцию с продуктами сторонних вендоров. К ним можно отнести McAfee (Trellix), Imperva или Trustwave.
Особо можно выделить Huawei, AWS и Microsoft с их комплексными портфелями решений по безопасности данных, интегрированных в их предложения облачных услуг, а также более мелкие компании, специализирующиеся на конкретных функциональных областях защиты БД.
Исследовательская компания KuppingerCole провела анализ рынка систем безопасности баз данных и в своём аналитическом отчёте «Database and Big Data Security» представила диаграмму, на которой разместила вендоров согласно востребованности их продуктов на рынке. В числе лидеров оказались IBM, Oracle, Imperva, Comforte, SecuPI, Thales, DataSunrise. В число претендентов попали Microsoft, AWS, Delphix, Axiomatics.
Рисунок 1. Диаграмма оценки вендоров в сегменте защиты баз данных (KuppingerCole)
Другая исследовательская компания — Forrester также провела анализ рынка систем защиты баз данных и в своём отчёте «The Forrester Wave™: Data Security Portfolio Vendors, Q2 2019» представила диаграмму, на которой разместила вендоров согласно их стратегической силе, текущему предложению и востребованности на рынке. В перечень попали, в частности, IBM, Oracle, Imperva и McAfee (Trellix).
Рисунок 2. Диаграмма оценки вендоров в сегменте защиты баз данных (Forrester)
В этой статье будут рассмотрены следующие продукты мирового рынка систем защиты баз данных:
- CipherTrust Database Protection (Thales).
- Huawei Database Security Service.
- IBM Guardium.
- Imperva Database Security.
- McAfee Data Center Security Suite for Databases (Trellix).
- Oracle Database Security.
- Trustwave DbProtect.
Российский рынок систем защиты баз данных
Российский рынок систем защиты баз данных развивается не так активно, как мировой. Одним из первых вендоров, которые предложили систему безопасности СУБД, был «Гарда Технологии». Скорее всего, сказался накопленный новосибирским разработчиком опыт развития своего продукта класса DLP. Позже был представлен «Крипто БД» от «Аладдин Р. Д.», имеющий сертификат ФСБ России как средство криптографической защиты информации..
Стоит отметить, что на российском рынке безопасности БД также представлены продукты уже упомянутых зарубежных вендоров: IBM, Imperva, McAfee (Trellix), Oracle, Thales.
Рынок систем защиты баз данных имеет вполне устойчивый рост, поскольку количество используемых СУБД только увеличивается. В связи с этим на российском рынке всегда будет спрос на системы защиты СУБД, как российских производителей, так и зарубежных.
Мы рассмотрим следующие отечественные системы для защиты баз данных, представленные на российском рынке:
- «Гарда БД».
- «Крипто БД».
Обзор отечественного рынка систем защиты баз данных
«Гарда БД»
Аппаратно-программный комплекс «Гарда БД» от разработчика «Гарда Технологии» относится ко классу DAM / DBF и позволяет обеспечить безопасность СУБД, а также независимый аудит операций с базами данных и бизнес-приложениями. Система позволяет вести непрерывный мониторинг обращений к базам данных и веб-приложениям и выявлять подозрительные операции в режиме реального времени. По данным вендора, «Гарда БД» является первым российским решением для защиты БД.
«Гарда БД» также может осуществлять контроль привилегированных пользователей и сотрудников компании при удалённом доступе, выявлять и предотвращать попытки атак на СУБД, в том числе блокировать эти атаки и нежелательные запросы к БД и веб-приложениям. Также в системе есть функциональные возможности для поиска и обнаружения всех БД компании, их классификации и сканирования на уязвимости. «Гарда БД» обладает встроенной системой выявления аномалий и поведенческого анализа действий пользователей.
Рисунок 3. Консоль администрирования «Гарда БД»
Система поддерживает более 30 российских и зарубежных СУБД, в том числе на технологиях Big Data. Также доступна поддержка распределённой кластерной инсталляции и централизованного управления из единого интерфейса. «Гарда БД» предоставляет большие возможности для получения трафика: агенты, подача данных с TAP-устройств, SPAN, GRE, ERSPAN.
Доступны возможности по дешифрации HTTPS-трафика как в пассивном режиме, так и при установке «в разрыв». В качестве ещё одной интересной особенности можно выделить гибкую систему инцидент-менеджмента. «Гарда БД» предоставляет большие возможности по подготовке различного вида отчётов. Также доступна интеграция с SIEM-системами.
Преимущества «Гарда БД»:
- Наличие системы поведенческого анализа действий пользователей и выявления аномалий.
- Поддержка более чем 30 российских и зарубежных СУБД.
- Наличие функциональных возможностей как DAM, так и DBF.
- Наличие сертификата ФСТЭК России.
Подробнее с продуктом можно ознакомиться на сайте компании.
«Крипто БД»
«Крипто БД» от разработчика «Аладдин Р. Д.» является сертифицированной системой предотвращения утечек информации из СУБД Oracle, Microsoft SQL Server, PostgreSQL, Postgres Pro. Платформа обеспечивает надёжное ограничение доступа администраторов СУБД ко хранящимся в базе сведениям.
Одной из ключевых особенностей системы является наличие сертификата ФСБ России для СКЗИ классов КС1 и КС2 (сертификат соответствия № СФ/124-3249). На сегодняшний день это — единственный продукт на рынке с подобным сертификатом.
Рисунок 4. Консоль администрирования «Крипто БД»
«Крипто БД» представляет собой программно-аппаратный комплекс для обеспечения конфиденциальности и целостности информации в СУБД посредством криптографической защиты данных. С его помощью можно осуществлять выборочное шифрование информации хранящейся в логической структуре таблиц СУБД, что существенно снижает нагрузку на аппаратные ресурсы по сравнению, например, с шифрованием всех файлов базы данных.
Несмотря на то что «Крипто БД» является накладным средством защиты информации, система не затрагивает штатных механизмов обработки информации СУБД. При этом обеспечиваются дополнительный контроль доступа к защищённым данным и регистрация всех операций с ними независимо от уровня привилегий пользователей.
Преимущества «Крипто БД»:
- Наличие сертификата ФСБ России для СКЗИ классов КС1 и КС2.
- Возможность выборочного шифрования информации в БД.
- Возможность использования системы в облачных средах через шифрующий прокси-сервер.
Подробнее с продуктом можно ознакомиться на сайте компании.
Обзор зарубежного рынка систем защиты баз данных
CipherTrust Database Protection
Продукт CipherTrust Database Protection от разработчика Thales является модулем платформы CipherTrust Data Security Platform и обеспечивает прозрачное шифрование баз данных (Transparent Database Encryption, TDE) на уровне полей. Система позволяет перемещать большие объёмы конфиденциальных данных за счёт быстрых процессов шифрования и расшифрования. CipherTrust Database Protection поддерживает работу с такими СУБД, как Oracle, Microsoft SQL Server, IBM DB2, Teradata Database.
Продукт устанавливается вместе с компонентом CipherTrust Manager, совместимым со стандартом FIPS 140-2 корпоративным менеджером ключей, который обеспечивает централизованное управление ключами и политиками. Само шифрование может выполняться либо в сервере баз данных для обеспечения более высокой производительности, либо в сервере управления ключами CipherTrust Manager для повышенной безопасности, так как ключи не покидают защищённого хранилища. Кроме того, CipherTrust Manager может работать как сервер ключей для используемых СУБД механизмов шифрования.
Рисунок 5. Схема работы системы CipherTrust Database Protection
Продукт CipherTrust Database Protection вместе с CipherTrust Manager поддерживает развёртывание в облачных и виртуализированных средах, что позволяет заказчикам не вносить корректировок в политику использования облаков и сохранять полный контроль как над своими данными, так и над ключами шифрования.
CipherTrust Database Protection обеспечивает комплексное журналирование и аудит событий, позволяющие отслеживать доступ к зашифрованным данным и ключам шифрования. В результате можно эффективно выполнять внутренние политики безопасности и различные нормативные требования, включая PCI DSS и HIPAA.
Преимущества CipherTrust Database Protection:
- Соответствие стандартам FIPS 140-2, PCI DSS, HIPAA.
- Возможность работы в облачных и виртуальных средах.
- Прозрачное шифрование конфиденциальных данных на уровне столбцов в базах данных.
Подробнее с продуктом можно ознакомиться на сайте компании.
Huawei Database Security Service
Database Security Service — это сервис защиты баз данных от компании Huawei. С помощью механизма машинного обучения и технологий анализа больших данных система проводит аудит БД, обнаруживает атаки со внедрением SQL-кода и выявляет операции с высоким риском.
Среди прочего предоставляются резервное копирование и восстановление журналов аудита базы данных, обеспечивается соблюдение требований ко хранению данных аудита. Также реализована возможность контроля рисков, сеансов, распределения сеансов и распределения SQL в режиме реального времени, включая выявление внутренних нарушений и ненадлежащих операций, обеспечение безопасности активов. Доступно оповещение о рискованных операциях и атаках в режиме реального времени.
Рисунок 6. Схема работы Huawei Database Security Service в режиме DBF
Сервис осуществляет мониторинг доступа пользователей к базе данных в режиме реального времени, генерирует подробные аудиторские отчёты, отправляет предупреждения о рискованных операциях и активности при атаках. Кроме того, создаются сводки различного типа, в том числе в соответствии с требованиями регуляторов и стандартов (например, PCI DSS).
Database Security Service помимо прочего предоставляет возможности DBF для защиты баз данных ото внешних угроз, таких как SQL-инъекции. С помощью консоли администрирования настраиваются политики для управления учётными записями, предотвращения злоупотребления привилегиями, защиты информации от кражи. Также сервис предлагает возможности для динамического маскирования данных.
Преимущества Database Security Service:
- Наличие механизма машинного обучения.
- Возможность создания отчётов в соответствии с требованиями стандартов (например, PCI DSS) и регуляторов.
- Наличие возможностей для динамического маскирования данных.
Более подробная информация о сервисе размещена на сайте компании.
IBM Guardium
IBM Guardium обеспечивает автоматизацию контроля за безопасностью данных в СУБД и создания отчётов, обнаружение и классификацию данных и их источников, мониторинг операций пользователей и реагирование на угрозы в режиме реального времени.
Система обеспечивает мониторинг и прозрачность транзакций для всех платформ и протоколов по пользователям, включая администраторов баз данных, разработчиков и подрядчиков, а также для приложений. IBM Guardium способен выявлять аномальное поведение путём автоматического сравнения действий с эталоном. Возможна настройка политик проверки исходящих данных по определённому шаблону значения, что позволяет обнаруживать, например, передачу номеров кредитных карт.
Рисунок 7. Консоль администрирования IBM Guardium
IBM Guardium обеспечивает безопасность данных вне зависимости от того, где они хранятся. Функциональные возможности позволяют обнаруживать и классифицировать информацию, оценивать и устранять уязвимости, отслеживать операции с данными и применять шаблоны для упрощения нормативного контроля БД (в т. ч. предоставляемых как сервис), больших данных (Big Data), файлов и мейнфреймов. Guardium обеспечивает одинаковый уровень защиты для хранилищ данных, расположенных локально или в гибридной / мультиоблачной среде.
Доступны широкие возможности по интеграции IBM Guardium с другими продуктами IBM, например IBM Security Guardium Insights, IBM Security Guardium Data Encryption, IBM Security Guardium Vulnerability Assessment, IBM Cloud Pak for Data, а также инструментами информационной безопасности других производителей.
Преимущества IBM Guardium:
- Определение местонахождения конфиденциальных данных.
- Возможность мониторинга среды БД мейнфрейма.
- Риск-ориентированная оценка аномальной активности.
- Широкие возможности по интеграции IBM Guardium с другими продуктами.
Подробнее с продуктом можно ознакомиться на сайте компании.
Imperva Database Security
Imperva Database Security предлагает возможности по аналитике, защите и реагированию на все запросы к базам данных, размещённым как локально, так и в облаке, для создания общей картины рисков и угроз, предотвращения утечки данных и своевременного выявления инцидентов.
Продукт от Imperva предлагает предварительно настроенные и расширяемые шаблоны, политики, отчёты и многое другое «из коробки» для быстрого развёртывания системы, контроля доступа к СУБД и управления рисками.
Рисунок 8. Консоль администрирования Imperva Database Security
Imperva обладает удобной единой панелью управления безопасностью СУБД, развёрнутыми в распределённых средах, локальной среде, в облаке или нескольких облаках, для поиска неуправляемых экземпляров баз данных, классификации данных, оценки уязвимостей и исследования активности пользователей.
Продукт предлагает механизмы расширенной аналитики для поиска угроз до их превращения в инциденты. Встроенные функции оркестровки безопасности данных, автоматизации и реагирования помогают администраторам быстро устранять обнаруженные нарушения.
Преимущества Imperva Database Security:
- Предварительно настроенные шаблоны, политики, отчёты «из коробки».
- Наличие единой панели управления безопасностью СУБД, развёрнутых в разных средах.
- Возможность поиска неуправляемых экземпляров БД.
Подробнее с продуктом можно ознакомиться на сайте компании.
McAfee Data Center Security Suite for Databases
McAfee Data Center Security Suite for Databases — это система от вендора McAfee Enterprise, который недавно анонсировал ребрендинг под новым именем Trellix. Она защищает критически важные базы данных в режиме реального времени ото всех видов угроз: внешних, внутренних, эксплуатации уязвимостей. Система обеспечивает безопасность СУБД и выполнение требований регуляторов без необходимости вносить изменения в архитектуру, покупать дорогое аппаратное обеспечение и время от времени перезагружать базы данных.
В комплект McAfee Data Center Security Suite for Databases включён ряд программных продуктов для комплексной защиты баз данных. Благодаря модульному характеру платформы от Trellix можно индивидуально настраивать компоненты системы с целью автоматизации процессов управления обнаружением, мониторингом и безопасностью.
Рисунок 9. Консоль администрирования McAfee Database Security
Отдельно отметим функцию виртуального патчинга, которая обеспечивает безопасность необновлённых СУБД путём обнаружения и блокирования попыток атак и вторжений в режиме реального времени, не требуя при этом отключения баз данных и тестирования приложений. С помощью этого компонента можно обеспечить непрерывную защиту баз данных с устаревшими версиями СУБД, уже не поддерживаемыми их поставщиками.
Также доступна интеграция с технологиями мониторинга баз данных (DAM), позволяющая автоматизировать процесс устранения уязвимостей и заполнения объектов правил для динамического обновления политик. Также доступна интеграция с SIEM.
Преимущества McAfee Data Center Security Suite for Databases:
- Наличие компонента по управлению уязвимостями в БД.
- Простое и быстрое развёртывание системы.
- Наличие функции виртуального патчинга.
- Мониторинг всех действий с СУБД, включая действия легитимных и привилегированных пользователей.
Подробнее с продуктом можно ознакомиться на сайте компании.
Oracle Database Security
Oracle Database Security — это комплекс защиты баз данных для контроля и предотвращения утечек информации из БД, выполнения требований регуляторов, использования механизмов шифрования, управления ключами, маскирования данных, управления доступом привилегированных пользователей, мониторинга активности и аудита.
Концепция Oracle Database Security объединяет в себе четыре продукта. Oracle Data Safe обеспечивает защиту данных и соответствие требованиям за счёт обнаружения, классификации и маскировки конфиденциальных данных. Oracle Key Vault предоставляет возможности централизованного управления ключами шифрования, хранилищами ключей Java и файлами учётных данных. Oracle Audit Vault and Database Firewall ведёт мониторинг активности, а также отслеживает трафик баз данных Oracle и сторонних производителей СУБД для обнаружения и блокировки угроз. Легковесный автономный инструмент Oracle Database Security Assessment Tool предоставляет информацию о конфигурации безопасности базы данных, пользователях и их правах.
Рисунок 10. Консоль администрирования Oracle Data Safe
Система обеспечивает защиту от эксплуатации украденных сервисных учётных записей и скомпрометированных аккаунтов администраторов с помощью разграничения прав доступа и многофакторной проверки подлинности.
Продукт Oracle Autonomous Database совместно с Oracle Data Safe позволяет автоматически обеспечивать защиту от атак и уязвимостей с помощью постоянного шифрования, разделения обязанностей и аудита, установки исправлений с нулевым временем простоя.
Преимущества Oracle Database Security:
- Обнаружение, классификация и маскировка конфиденциальных данных.
- Возможность централизованного управления ключами шифрования, кошельками Oracle, файлами учётных данных.
- Высокий уровень производительности, оптимизации и безопасности для СУБД Oracle.
Подробнее с продуктом можно ознакомиться на сайте компании.
Trustwave DbProtect
Система Trustwave DbProtect в автоматическом режиме обеспечивает защиту критически важных данных, обнаруживая уязвимости, которыми могут воспользоваться потенциальные злоумышленники, ограничивая доступ пользователей к наиболее конфиденциальным данным и предупреждая о подозрительных действиях, вторжениях и нарушениях политик.
Trustwave DbProtect позволяет решать такие задачи, как управление рисками для защиты баз данных или проактивная оценка уровня безопасности СУБД, путём анализа уязвимостей, выявления слабых мест и поиска пользователей со чрезмерными правами доступа. Также система обеспечивает мониторинг для обнаружения аномальной активности базы данных и своевременного реагирования.
Рисунок 11. Консоль администрирования Trustwave DbProtect
Система позволяет обеспечить защиту базы данных на основе интеллектуальной поведенческой аналитики. Модуль обнаружения аномалий изучает обычные модели активности пользователей БД и предупреждает о потенциально подозрительных операциях. Также можно настроить активные ответные действия, такие как завершение сеанса или отключение учётной записи пользователя базы данных при возникновении подозрительной активности.
DbProtect предоставляет возможность использовать предварительно заданные в продукте политики или настроить их для отдельно взятой СУБД. Всё это практически не влияет на производительность баз данных.
Преимущества Trustwave DbProtect:
- Возможность проактивной оценки уровня безопасности СУБД.
- Наличие системы интеллектуальной поведенческой аналитики.
- Экономичный подход в лицензионной политике.
- Обширные, постоянно обновляемые знания и аналитика по угрозам.
Подробнее с продуктом можно ознакомиться на сайте компании.
Выводы
Рынок систем защиты баз данных трудно назвать насыщенным, но тем не менее следует отметить, что он активно развивается и каждый год на нём появляются новые продукты и вендоры. Разработчики, которые уже давно предлагают продукты класса Database Security, стараются постоянно развивать их и добиваться максимальной интеграции со своими системами или сторонними разработками. Эту тенденцию можно отследить по таким вендорам, как Imperva или IBM.
Несмотря на то что большинство заказчиков стараются обеспечивать безопасность СУБД встроенными средствами защиты, популярность накладных систем DAM, DBF и других постоянно растёт. Компании начинают активнее обращать внимание на внешние системы безопасности, потому что те предоставляют больше возможностей для защиты БД, обладают более удобным интерфейсом, средствами мониторинга и подготовки отчётности, а также могут предложить такие функции, как отслеживание аномальных действий в БД, в том числе с помощью поведенческой аналитики, или сканирование СУБД с целью обнаружения неиспользуемых баз и поиска уязвимостей в них. Ещё одним весомым преимуществом является наличие возможностей по интеграции с другими системами.
В то же время следует отметить, что российские системы сегмента Database Security представлены на рынке в крайне небольшом количестве. Возможно, ситуация изменится в будущем и мы ещё увидим новые разработки для защиты БД от отечественных вендоров. В конце концов, продукты этого сегмента востребованны и популярны.