Защита баз данных

Защита баз данных — это комплексный подход к обеспечению безопасности информации, хранящейся в них. Под этим понятием подразумеваются меры, направленные на предотвращение её потери, хищения или изменения.

База данных — это хранилище информации. В любой компании из любой сферы деятельности есть базы данных, которые различаются по типу содержимого и виду.

Примеры:

  • CRM-системы имеют базы данных контрагентов;
  • бухгалтерия имеет соответствующую базу данных;
  • операторы связи хранят данные своих клиентов, журналы звонков и сообщений;
  • медицинские учреждения заводят базы данных пациентов с историями болезней и персональной информацией.

Базы данных не только хранят ценную информацию для компаний и их клиентов, но и позволяют составлять аналитические отчёты.

Зачем необходима защита баз данных

Обеспечение безопасности баз данных позволяет защитить компанию от угроз:

  • непреднамеренный или преднамеренный несанкционированный доступ с последующим хищением или уничтожением конфиденциальной информации, изменением метаданных, структуры, программ или безопасности со стороны хакеров, неавторизованных пользователей, администратора базы данных;
  • ограничение пропускной способности, перегрузка, снижение производительности с последующим ограничением работы авторизованных пользователей;
  • ввод неверных данных, команд, ошибки администрирования, саботаж с последующим повреждением данных или их потерей;
  • хищение информации, получение запатентованных и личных данных, нанесение вреда программам, отказ в доступе к базам данных или его прерывание, сбой в работе вследствие инфекций вредоносных программ;
  • несанкционированная эскалация привилегий, программные ошибки;
  • преднамеренное или непреднамеренное причинение физического ущерба серверам баз данных.

Для защиты баз данных необходимо обеспечить им доступность, целостность и конфиденциальность.

Способы защиты

Защита базы данных требует комплексного подхода. Методов большое множество — рассмотрим только основные.

Штатный аудит и мониторинг

Это средство защиты часто используется коммерческими организациями и входит в состав систем управления базами данных (далее — СУБД). Механизм работы штатного аудита заключается в настройке и включении триггеров, а также создании специфических процедур, которые начинают срабатывать во время запроса доступа к чувствительной информации. При этом ведется журнал запросов и подключений к системе управления базами данных в виде таблицы, где указаны данные о том, в какое время, кем и какой запрос был сделан.

Штатный аудит отвечает основным отраслевым требованиям регуляторов, но бесполезен в случае необходимости проведения внутренних расследований инцидентов и решения задач информационной безопасности.

Резервное копирование

Настройка регулярного резервного копирования на жестком диске с дублированием на другом носителе позволяет восстановить информацию в случае сбоя в работе системы управления базами данных.

Шифрование

Это использование устойчивого криптоалгоритма для шифрования информации в базах данных. В случае применения такого метода защиты, злоумышленник увидит информацию в нечитаемом виде в отличие от пользователей, имеющих ключ доступа.

Проблема заключается в способе хранения ключей, так как нет гарантии того, что ключ не будет намеренно передан третьему лицу. Кроме того, шифрование не обеспечивает безопасность от администратора базы данных.

VPN и двухфакторная аутентификация

Организация доступа внутренних пользователей и администраторов к базам данных с применением VPN и двухфакторной аутентификацией (использование двух разных типов аутентификации) значительно повышает уровень защиты от несанкционированного проникновения.

Помимо стандартной пары логина и пароля для доступа к защищенному сегменту сети используется еще один фактор участвующий в аутентификации, например:

  • USB-ключи, смарт-карты, iButton;
  • одноразовый код в виде СМС или email;
  • генератор паролей (технология SecurID);
  • биометрические данные и т. д.

Автоматизированные системы защиты

Это специализированные системы обеспечения безопасности баз данных, представляющие собой решения DAM (Database Activity Monitoring) и DBF (Database Firewall). Применяются, когда уже реализованы вышеописанные меры защиты баз данных.

DAM производит мониторинг пользователей в системах управления базами данных. При этом не требуется специально изменять настройки или конфигурации систем управления базами данных. Поэтому это решение называется независимым. DAM может работать пассивно с копией трафика, тем самым не оказывая влияния на бизнес-процессы.

DAM (Database Activity Monitoring):

  • ведёт аудит ответов и SQL-запросов, классифицируя их по группам;
  • анализирует трафик пользователей, работающих с базами данных;
  • архивирует действия пользователей для расследования инцидентов;
  • обладает высокой степенью фильтрации потенциальных инцидентов среди миллионов запросов;
  • классифицирует информацию;
  • проверяет уязвимости;
  • получает матрицу доступа к информации, что помогает выявить неиспользуемые расширенные привилегии доступа, учётные записи.

DBF (Database Firewall) — это сетевой шлюз, смежное с DAM решение, которое может работать как в проактивном режиме, так и в пассивном с копией трафика.

Основные функции DBF (Database Firewall):

  • защита внутренних и внешних серверов баз данных;
  • независимый мониторинг пользователей;
  • поведенческий анализ;
  • блокировка подозрительных запросов;
  • выявление повышенных прав пользователей.

Решения

Ниже представлен перечень компаний, которые предоставляют решения в сфере безопасности баз данных:

Получить консультацию