Защита баз данных

Что такое база данных

База данных — это хранилище информации. В любой компании из любой сферы деятельности есть базы данных, которые различаются по типу содержимого и виду, например:

• CRM-системы имеют базы данных контрагентов;
• бухгалтерия имеет соответствующую базу данных;
• операторы связи хранят данные своих клиентов, журналы звонков и сообщений;
• медицинские учреждения заводят базы данных пациентов с историями болезней и персональной информацией.

Базы данных не только хранят ценную информацию для компаний и их клиентов, но и позволяют составлять аналитические отчёты.

Зачем необходима защита баз данных

Обеспечение безопасности баз данных позволяет защитить компанию от угроз:

• непреднамеренный или преднамеренный несанкционированный доступ с последующим хищением или уничтожением конфиденциальной информации, изменением метаданных, структуры, программ или безопасности со стороны хакеров, неавторизованных пользователей, администратора базы данных;
• ограничение пропускной способности, перегрузка, снижение производительности с последующим ограничением работы авторизованных пользователей;
• ввод неверных данных, команд, ошибки администрирования, саботаж с последующим повреждением данных или их потерей;
• хищение информации, получение запатентованных и личных данных, нанесение вреда программам, отказ в доступе к базам данных или его прерывание, сбой в работе вследствие инфекций вредоносных программ;
• несанкционированная эскалация привилегий, программные ошибки;
• преднамеренное или непреднамеренное причинение физического ущерба серверам баз данных.

Для защиты баз данных необходимо обеспечить им доступность, целостность и конфиденциальность.

Способы защиты

Защита базы данных требует комплексного подхода. Методов большое множество — рассмотрим только основные.

Штатный аудит и мониторинг

Это средство защиты часто используется коммерческими организациями и входит в состав систем управления базами данных (далее — СУБД). Механизм работы штатного аудита заключается в настройке и включении триггеров, а также создании специфических процедур, которые начинают срабатывать во время запроса доступа к чувствительной информации. При этом ведется журнал запросов и подключений к системе управления базами данных в виде таблицы, где указаны данные о том, в какое время, кем и какой запрос был сделан.

Штатный аудит отвечает основным отраслевым требованиям регуляторов, но бесполезен в случае необходимости проведения внутренних расследований инцидентов и решения задач информационной безопасности.

Резервное копирование

Настройка регулярного резервного копирования на жестком диске с дублированием на другом носителе позволяет восстановить информацию в случае сбоя в работе системы управления базами данных.

Шифрование

Это использование устойчивого криптоалгоритма для шифрования информации в базах данных. В случае применения такого метода защиты, злоумышленник увидит информацию в нечитаемом виде в отличие от пользователей, имеющих ключ доступа.

Проблема заключается в способе хранения ключей, так как нет гарантии того, что ключ не будет намеренно передан третьему лицу. Кроме того, шифрование не обеспечивает безопасность от администратора базы данных.

VPN и двухфакторная аутентификация

Организация доступа внутренних пользователей и администраторов к базам данных с применением VPN и двухфакторной аутентификацией (использование двух разных типов аутентификации) значительно повышает уровень защиты от несанкционированного проникновения.

Помимо стандартной пары логина и пароля для доступа к защищенному сегменту сети используется еще один фактор участвующий в аутентификации, например:

• USB-ключи, смарт-карты, iButton;
• одноразовый код в виде СМС или email;
• генератор паролей (технология SecurID);
• биометрические данные и т. д.

Автоматизированные системы защиты

Это специализированные системы обеспечения безопасности баз данных, представляющие собой решения DAM (Database Activity Monitoring) и DBF (Database Firewall). Применяются, когда уже реализованы вышеописанные меры защиты баз данных.

DAM производит мониторинг пользователей в системах управления базами данных. При этом не требуется специально изменять настройки или конфигурации систем управления базами данных. Поэтому это решение называется независимым. DAM может работать пассивно с копией трафика, тем самым не оказывая влияния на бизнес-процессы.

DAM (Database Activity Monitoring):

• ведёт аудит ответов и SQL-запросов, классифицируя их по группам;
• анализирует трафик пользователей, работающих с базами данных;
• архивирует действия пользователей для расследования инцидентов;
• обладает высокой степенью фильтрации потенциальных инцидентов среди миллионов запросов;
• классифицирует информацию;
• проверяет уязвимости;
• получает матрицу доступа к информации, что помогает выявить неиспользуемые расширенные привилегии доступа, учётные записи.

DBF (Database Firewall) — это сетевой шлюз, смежное с DAM решение, которое может работать как в проактивном режиме, так и в пассивном с копией трафика.

Основные функции DBF (Database Firewall):

• защита внутренних и внешних серверов баз данных;
• независимый мониторинг пользователей;
• поведенческий анализ;
• блокировка подозрительных запросов;
• выявление повышенных прав пользователей.

Решения

Ниже представлен перечень компаний, которые предоставляют решения в сфере безопасности баз данных:

• «Аладдин Р.Д.»,
• «КриптоПро»,
• «Код Безопасности»,
• «ИнфоТеКС»,
• «Гарда Технологии»,
• Fortinet,
• IBM,
• Oracle,
• Acronis,
• Veeam.