您好,登錄后才能下訂單哦!
比起業務和功能的先行,安全的發展似乎總是慢人一步。但隨著 IT 基礎設施對各行業的滲透,無論是本地還是云上對數據安全能力愈加重視,需求也愈加迫切。
國內近幾年出現了一些數據庫安全廠商,如中安比特、昂楷科技等,他們的在國內數據安全市場的聲音越來越大;而國外,專注數據庫安全的 Guardium ,結合 IBM 在全球的影響力優勢,也慢慢開始在中國市場發力。
從獨立安全企業到 “ 安全免疫體系 ” 中的一員
時間倒退回 2002 年,一家名為 “ Guardium ” 的數據庫安全公司在在以色列成立。
Guardium 是當時行業內唯一一家擁有針對主機(大型機)安全監控解決方案的安全廠商。同時, Guardium 推崇通過在數據庫系統上安裝 輕量級 “ 探針 ” (軟件),從而實現從底層抓取所有對數據庫的訪問行為。因其部署靈活、對數據庫系統資源消耗小、數據庫訪問行為覆蓋全面等特點, Guardium 在 7 年間積累了約 400 名客戶,公司的規模也成長到了 150 人左右。
2009 年末, IBM 以 2.25 億美元的價格,正式對外宣布完成對 Guardium 的收購,并決心利用其在 “ 主機安全 ” 領域的優勢,為 IBM 自身的數據庫產品(例如 IBM DB2 )賦能,使其在對數據庫的訪問活動監控能力有所增強。
2012 年, IBM Security 正式成立,原來分散在各子部門的安全產品得到有效的整合。 Guardium 系列也開始作為其在 “ 數據安全 ” 領域的獨立產品推出。
2016 年, IBM Security 整合其在數據安全、應用安全、網絡安全、終端安全、移動安全、高級防欺詐、身份和存取控制以及安全智能等 8 個安全領域的產品線,并結合 IBM X-Force 推出 IBM“ 安全免疫體系 ” ,而 Guardium Suite 正是其 “ 數據安全 ” 產品類的主力。
安全免疫體系
IBM 的優勢并不在于其在某項領域的專精程度,相反, 通過對細分領域處于領先優勢廠商的收購并購,并將其產品技術能力徹底的吸收消化,再整合到自己的現有的產品線中,發揮其更大的作用 ,這才是這個巨人的真正強大之處。
部署和合規上的優勢
從 Guardium 在 2002 年成立之初,技術思路就是通過在數據庫系統上安裝探針軟件的方式,實現基于策略的數據流量轉發。
S-TAP 探針部署
做數據庫安全的客戶,都想要知道這些數據:什么人,在哪些時間,訪問了哪些數據資源。而這需要無論是來自網絡層協議通信的應用,還是通過高權限賬號從本地直連到數據庫的服務器,對數據庫的訪問信息的抓取都要做到全覆蓋。而通過在數據庫服務器上安裝探針的方式,可以做到把無論是來自本地還是網絡的所有操作都抓到。
Guardium 的探針本身是 操作系統層 的軟件,與數據庫的配置無關,同時作為一個輕量級的進程,從運維的角度來講對數據庫系統資源的消耗非常小,即使是在數據庫發生大規模并發訪問的情況下,也不會影響其正常運行。
同時,探針軟件對平臺和主流數據庫的非常廣泛,國內廠商幾乎無人能出其右。而云環境下的探針部署,也因為其運行在 OS 層而幾乎不受影響。無論是 VM 還是物理機,只要運行的操作系統不變,探針就可以正常工作。
Guardium 所支持數據平臺類型
除了探針的部署以外,在合規方面, “ 自動化合規 ” 是目前數據庫審計市場大部分客戶的需求。因為客戶的合規本身是一個成本很高的過程,所以在實際的客戶合規過程中,客戶往往要做很多額外的的工作。而 Guardium 本身內嵌了許多 “ 現成 “ 合規最佳實踐。例如金融行業的 PCI DSS (第三方支付行業數據安全標準)、 SOC (薩班斯法案)、 SAS70 、 ISO 27001/2 以及 ” 數據隱私法 ” 等甚至還沒在中國大陸正式推行的相關規定,都包含在 Guardium 其中。這無疑給用戶的合規帶來了極大的便宜。除此以外,對企業內部的 “ 內審 ” 合規性要求, Guardium 也能通過其靈活的部署和配置給予最大程度的支持。
PCI DSS 審計
從數據庫安全向數據安全的延伸
對大數據平臺的支持
因為受 Guardium 本身的基因所限, IBM 在收購后很長一段時間之內,還是以數據庫安全的思路來做。但隨著大數據技術尤其是 Hadoop 大數據處理平臺在 2011 年后的快速發展與廣泛的商業化應用, IBM 也開始逐漸與 一些業內影響廣泛的大數據廠商(如 Cloudera 、 Hortonworks )合作,而 Guardium 也從那時開始了對大數據平臺支持的研發。
Guardium 對 Hadoop 集群的支持
無論是國內還是國外,有很大一部分的大數據廠商,其發行版的底層都是基于開源的 Hadoop 來做,而在上層封裝的定制化服務,則可以幫助用戶進行一系列的操作和訪問。而 Guardium 團隊最大的優勢,就是在于利用 IBM 現有的資源和影響力和這些大數據廠商一家一家的洽談,了解他們底層的開發架構是什么樣子,命令的執行又是怎樣的。所以通過這些上層服務對數據庫的訪問行為,可以完全被 Guardium 所獲知。再加上因為 Hadoop 架構應用的廣泛性, Guardium 對這些基于 Hadoop 的大數據廠商的產品理論上都可以實現比較好的支持。
因為現在很多企業都會選擇將重要的數據放進這樣一個平臺做全方位的關聯分析,原先黑客可能攻破一個數據庫只能拿到這個公司的部分業務信息,而如果是大數據系統出現了問題,發生了數據泄露事件的話,可能就會對公司業務產生巨大的負面影響。
而針對大數據平臺的數據安全市場和客戶方面, IBM 曾向媒體表示,目前 IBM 已有一個比較大的國內 “ 運營商 ” 客戶開始用 Guardium 保護他們的大數據系統,而 IBM 也在積極地和世界各地的大數據廠商展開合作,除了之前提到的 Cloudera 和 Hortonworks 外,還有國外用的比較多的 MongoDB 以及 IBM 自己的 BigInsights , Guardium 對這些基于 Hadoop 的大數據平臺的支持情況都很不錯, IBM 認為未來這塊市場會比較廣闊。
Guardium 對 MongoDB 集群的支持
和 IBM 現有資源的聯動
IBM 最大的優勢,在于其對整個 IT 行業的布局和所擁有資源的聯動整合。而這同樣也會反映在其企業如收購并購等重大的戰略決策上。 IBM 在 2009 年收購 Guardium 的時候,其對 “ 主機安全 ” 監控的支持以及與 IBM 現有主要產品線(比如全球金融系統都用于存放核心業務數據的 IBM DB2 )的契合是打動 IBM 的首要原因,也是促成此次收購的先決條件之一。
除此以外,在整個 “ 安全免疫體系 ” 中, Guardium 和處于 “ 大腦 ” 位置的 SOC 平臺 QRadar 的 “ 雙向集成 ” ,也是 Guardium 與其它同類產品區別的明顯特點。處于 “ 安全智能 ” 領域的 QRadar ,會整合客戶網絡中的 SIEM 提交的日志分析結果、漏洞狀況報告以及風險和資產等數據,并結合 IBM X-Force 平臺提供的實時威脅情報以及 Watson for Cyber Security 實現聯動,分析客戶網絡的安全環境和外部威脅,檢測異常行為和安全事件的發生并通過 Resilient 系統反饋給用戶應急響應流程。整個從檢測到分析再到響應的過程,各個安全產品都是聯動的,而處于數據安全類的 Guardium 也是如此。
Guardium 與 QRadar 的雙向集成
不只是將 Guardium 所篩選出來的和數據安全相關的信息推送到 QRadar 幫助 QRadar 做出分析判斷,更是在 QRadar 獲得情報后,例如發現攻擊行為或者說某個數據系統是一個受攻擊目標后,作為一個 “ 指揮官 ” 一樣的角色去命令 Guardium 把當前某一個惡意鏈接斷掉,甚至是說短時間隔離出去,并為后期的調查取證以及實時的應急響應,爭取一些時間上的優勢。這才是所謂的 “ 雙向集成 ” 。也就是說, Guardium 可以和 QRadar 做到某種程度上的互動,不僅僅是我告訴你一些情報,而是在處置的過程中可以聯合起來,做一些保護的動作。
當然, Guardium 和類似 QRadar 的 SIEM 或是 SOC 平臺的集成并不局限于 QRadar ,例如惠普的 Arcsight 等,以及一些國內用戶使用 SIEM 和 SOC 平臺,只要都是使用符合某些通信標準的協議格式,例如 leef 格式( Log Event Enhanced Format ), Guardium 都可以集成其中,發揮起自己在數據安全領域的能力。
數據安全分析
最早 Guardium 的設計初衷是實現數據庫的監控,包括前文所提到的對主流行業標準的自動化合規。換句話說,并不是那么強調從安全的角度來講看問題。而發展到今天, IBM 的 “ 安全免疫系統 ” 則是更重視從 “ 安全 ” 的視角解決問題。那么,如何將一些底層的技術數據,向業務層面轉化,發現一些規律性的內容,并最終應用到安全上,是 Guardium 進行數據安全分析的目標。
數據安全分析
例如,從客戶的時間維度來看,數據庫的訪問是有規律的,客戶的業務時間也是有規律的, Guardium 則是要把這個規律先找到。實際上 Guardium 在其系統里已經內建了機器學習的引擎,并可以根據你歷史訪問活動的信息刻畫出一個數據的訪問 “ 基線 ” ,而之后則可以利用這個基線對后期的訪問活動做一些判別。
回望中國數據安全市場,國內一些專注于數據安全這一細分領域的廠商,近幾年發展的速度非常迅猛。無論是本地還是云上,市場對數據安全的需求一直很強烈,而各家客戶數據庫類型和操作系統的紛繁復雜也給國內這些廠商在技術能力上設置了不小的 “ 關卡 ” 。同時,無法和這些國際上主流 的數據庫廠商建立交流和合作機制、難以實現對各家數據庫產品的深度兼容,也是這些數據安全廠商亟待解決的問題。
反觀 IBM ,除了保持并擴大目前在技術、資源上的積累優勢外,是否能讓自己的安全產品更加 “ 接地氣 ” ,更習慣于傾聽中國客戶的聲音,讓安全產品在細節上更契合中國用戶的使用習慣,我想尤其是對于像 IBM 這樣的全球 “ 巨人 ” 來講,絕不會是一件容易的事情。但是,值得期待。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。