《2017年全球數據庫安全市場趨勢》

發佈時間：2017-5-9                                                         分析人：Deborah Kish、Brian Lowans

---

0、經常使用縮寫術語

縮略詞	解釋
RDBMS	關係型數據庫
on-premises	本地部署
DCAP（data center audit and protection）	數據中心審計和保護，它包括CASB和UEBA
CASB（cloud access security broker）	雲訪問安全broker
UEBA（user and entity behavior analytics）	用戶和實體行爲分析
DLP（data loss prevention）	數據丟失預防
GDPR（general data protection regulation）	一般數據保護規則
SA-CBT（security awareness computer-based training）	目前該技術呈增加趨勢，它是供應商在數據安全銜接生態系統的一部分

【備註】看到這裏SA-CBT貌似很牛B的樣子，可它的實現原理是怎麼樣的呢？

1、介紹

一、企業面臨的挑戰

• 應對規模化的數據量激增和下降運營成本

  激增的數據的存儲載體多是關係型數據庫、非關係型數據庫、文件或者雲服務提供的DBaaS等

• 應對惡意內部人員和外部***威脅

  內部權限濫用、網絡釣魚等

  
  

    上面的挑戰一旦成功，對企業帶來的風險可想而知，諸如金融負債、客戶訴訟等。爲應對該挑戰企業每每想到的是：何時發生了數據泄露？誰訪問了數據？訪問數據的用戶是否合法？但確認何時發生了數據泄露是一個急迫的問題，Gartner客戶正在尋求複雜的數據安全工具。據Gartner《2016年度最終用戶安全支出調查》：

（1）最終用戶最感興趣的技術是「電子郵件」、「網絡網關」和「安全意識培訓」

（2）52%的受訪者表示計劃實施DCAP和DLP

（3）53%的受訪者打算實施UEBA      

（4）42%的受訪者計劃將來兩年內實施CASB

爲何你們對這些技術有興趣呢？主要是因爲組織對數據保護有要求，好比歐盟的GDPR。

【備註】看到這裏，忽然想起了中國最近的信息安全法，結果各雲服務商都搞實名認證，真是沒有買賣就沒有傷害 ：）

二、客戶面臨的常見數據庫安全威脅

• SQL注入***：利用數據庫的漏洞（當你沒法對其打補丁時，能夠經過網絡來保護它）

• 內存溢出

• 缺省口令或者弱口令：被惡意***者或者內部用戶利用

• 錯誤配置

• 用戶帳號信息泄露

• 數據駐留：各類數據隱私、健康數據、財務數據和信用卡數據必須嚴格受限

2、市場趨勢

一、數據庫逐步搬遷至雲端

• DBaaS趨勢勢不可擋

       雲供應商是無利不起早的人，包括AWS、Azure、Oracle和IBM等，他們提供DBaaS服務來知足客戶的需求；另外一方面，企業也指望能夠在on-premises、Cloud和Hybrid Service之間靈活選擇，因此他們指望雲供應商提供的雲或者混合產品，在用戶體驗、一致性等方面須要與on-premises保持相同。

• 遷移至雲端有利於下降成本

    除了成本下降以外，對於合規、潛在宕機風險也須要雲供應商確保，或者至少與企業內部面臨的風險是至關的。

• 大數據的發展須要

      大數據使用非關係型數據庫愈來愈多，像NoSQL數據庫、基於文件的系統和Hadoop等，且愈來愈多的有價值數據都被移到了Hadoop集羣，這迫使去供應商須要集成多個平臺，目前不多有供應商能爲Hadoop提供全面的數據安靜監控能力。

二、雲端數據須要和本地數據有相同的保護策略

       儘管數據庫正向雲端遷移，但本地數據庫仍舊須要，由於DBaaS只不過是一個可選項，正如你們所見，一些企業或者組織考慮到雲數據庫安全的不足，他們會比較謹慎考慮DBaaS，舉個例子來講，若是員工使用了數據庫工具下載和建立新文檔，而後把這些文檔移動到第3方文件共享系統（如box），這將是一個嚴重的問題，具體的威脅包括：

• 破壞數據駐留和合規要求

• 惡意內部人員或者***使用/竊取文件

       一些DBaaS服務開始提供本機保護 、安全檢測和數據驅動安全功能，然而複雜的功能只能經過第3方服務得到，如特權分析、DCAP、數據脫敏和集中監控等等。

三、數據安全市場驅動

    大數據平臺、SaaS和IaaS環境的出現促使企業從新審查傳統的關係型數據庫和文件服務器的安全策略，因爲方法有限，且許多組織的數據環境孤立，它們缺少安全策略的一致性和同步性。如今有了多個數據倉庫，一些組織被迫部署多個DLP或DCAP產品，又便更好地管理和協調其數據安全策略。

3、技術趨勢

一、整合DCAP、DAP和DLP

      DAP可又獨立部署在數據庫服務器的前面，也可又和其它產品（如WAF、SIEM和UEBA等）一塊兒消減威脅。DAP用於監控用戶權限和數據庫活動，識別和防止欺詐/惡意/非法/其它不良行爲（如識別和中止來自本地鏈接[濫用特權訪問]，主機級別的***[惡意軟件]），經過檢查數據庫活動以發現SQL注入***，還有助於共享數據庫收集日誌等等。

       對於DLP工具來講，如何可視化地使用、如何控制數據從數據庫中提取，又及如何在各類雲應用程序（如Box、Dropbox和OnDrive等）中保存是很重要的，特別一提的是，DLP一般不用於掃描和分類數據庫內的數據，所又DCAP工具或者其它數據庫安全工具不用於編排安全策略。

       另外，非結構化的數據（如Excel、CSV等文件）也面臨着暴露風險，由於組織爲員工提供了內部信息訪問通道，因此在部署數據安全工具時，最終用戶將審查供應商對數據孤島中數據的可見性和控制性的支持。

      技術戰略規劃者應該把DLP、DCAP和UEBA整合起來做爲市場戰略的一部分，擴大生態系統將SA-CBT做爲另外一個層次，令人爲因素威脅得以控制。數據安全還須要培訓員工基礎技術和意識，特別是無心中處理數據的員工，爲整個數據安全計劃提供增值組件。

二、DCAP

DCAP工具包含的產品提供以下能力：

• 提供惟一的管理Console，使數據安全策略可又一致地下發到多個數據倉庫

• 在全部數據孤島中分類和發現敏感數據

  【備註】數據孤島包括關係型數據庫、數據倉庫、非結構化數據文件、半結構化格式（如SharePoint）、半結構化文件共享平臺（如Hadoop）、SaaS和IaaS的雲存儲等。
  

• 設置、監控和控制用戶訪問數據的權限

  【備註】這裏的用戶指擁有特別身份的用戶，包括高度權限的用戶，如管理員和開發人員

• 使用可定製的安全告警監控用戶實時訪問數據行爲，阻止不可接受的用戶行爲、訪問模式或者標準審覈流程 要求

• 防止個別用戶和管理員對特定數據的訪問

  【備註】能夠經過加密、標記、脫敏、修改或者阻止

三、DAP和DAM

      DAP和DAM是DCAP的關鍵類別，由於它們提供了數據庫活動的告警和報告，這些工具從關係數據庫和周邊的用戶活動分析演變而來，涵蓋了更全面的功能，其中包括數據發現和分類、漏洞管理、應用級分析、***防護、對非結構化數據安全性的支持、身份和訪問管理集成和風險管理等。

      DAP和DAM也須要知足許多監管規則的要求，如PCI DSS、HIPAA、SOX等，它不能防範內部威脅。

四、PAM

       DBMS市場中的一些供應商，如IBM、CA Technologies都具備PAM功能，PAM領域的其餘供應商包括CyberArk、BeyondTrust、Lieberman Software和Wallix。

       PAM空間很好，鑑於供應商數量衆多，可又進一步整合，新產品須要 涵蓋數據使用的全部維度（包括數據庫、OS）以及安全性、備份、災難恢復/高可用性（DR/HA）、恢復時間目標/恢復點目標（RTO/RPO）、用戶活動監控。上述功能獨立部署、本地部署、SaaS等。

五、DCAP和DLP的關係

• DCAP工具使組織跨非結構化、半結構化、結構化存儲或者孤島集中管理數據安全策略和訪問管理，好比監控和管理用戶和管理員的權限和活動，以及訪問了哪些敏感數據等。

• DLP工具提供敏感數據的可見性，不管是端、網絡仍是文件共享的數據，使DLP組織能夠從端或電子郵件中抽取非結構化數據並加以保護。

       因此DCAP和DLP的根本區別在於，DCAP側重於組織內用戶訪問的數據，DLP側重於即將離開組織的數據。

六、加密、令牌和密鑰管理

       企業愈來愈多地使用加密技術，但密鑰材料的管理卻使人頭痛，企業想加密一切數據而不只僅是帳務數據，這就帶來性能的開銷，因此不少組織只爲最爲敏感的數據進行加密，對相對不敏感的數據提供分層保護的能力，好比最小權限訪問、防火牆隔離、限制與數據的鏈接等等。

• FPE（Format Preserving Encryption）

         2016年3月，國家標準與技術研究所（NIST）標準化了兩種執行FPE的方法：FF1和FF3，這種新標準的匿名數據集擴展到信用卡以外的醫療數據和其它敏感我的信息，這對於符合PCI DSS的組織來講是有好處的，關於NIST FPE的詳情不在此處描述。

• 無鑰加密

         無鑰加密專利在1999年就已提交，至到最近纔有進一步發展，如SDO（Secret Double Octopus）就基於共享密鑰開發了無鑰加密，其中共享密鑰在數學上被歸類爲「信息理論上安全的」算法，是一種與***者計算能力無關的算法，本質上，***若是想成功地訪問那些敏感的或者受保護的數據，他們首先要識別出那些無用「碎片」數據正在經過的網絡路徑，他們要獲取到每個「碎片」，而後把這些「碎片」儘量地放在一塊兒，這樣才能應對現代密碼學的挑戰。所又密鑰共享算法意味着一個現實世界的***者捕獲的信息是否是足夠的，沒有辦法進行蠻力嘗試，這種方式是防止中濁人***和竊聽***的理想選擇。

• 數據修改和數據脫敏

        數據修改和數據脫敏是因爲隱藏敏感信息（如信用卡、社保號等）的有效辦法，這些方法已在金融部門獲得普遍應用，而後像醫療保健、政府、石油和自然氣等行業也都感興趣。數據脫敏是一種防止敏感數據濫用的技術，它爲用戶提供虛構且實用的數據，而不是真實的敏感數據，所以用戶能夠保持其執行業務流程的能力，同時不用擔憂敏感數據的泄露。

        數據脫敏對於數據庫來講是一個有用的功能，它提供了一個額外的保護層來保護敏感數據的完整性，不一樣於加密和標記化，它是一個不可逆的過程，其中對數據進行單向轉化。
  

七、技術發展有利於增強安全能力

       不斷髮展的產品容許最終用戶授予隔離文件、表、行、列、單元格，甚至是部分單元的權限，從而進一步保護敏感信息，此外正在構建的內容感知和上下文感知策略，又查看文檔中實際嵌入的信息，而不依賴於分配給文檔的元數據。

       技術提供商也將機器學習歸入到數據庫安全產品中，機器學習提供高級分析、評估用戶和其它實體（這裏的其它實體包括應用程序、IP、設備和網絡等）的活動和行爲，又便發現安全違規。用戶活動也超出原始的logout和login，其中也包括用戶移動、對組織資產的訪問、訪問發生的上下文等。愈來愈多的廠商（如BlueTalon、IBM、Imperva、Datiphy、Information和SecuPi等）都開始玩大數據又提供數據庫的安全。

      愈來愈多的數據安全應用程序將區塊鏈技術整合到本身的架構中，支持區塊鏈的數據安全應用提供了一個替代方案來創建信任和彈性，而非依賴集中仲裁。支持區塊鏈的數據安全解決方案可應用於跟蹤數字資產，如數據類型、標識符、加密密鑰、事務和設置屬性等。應用於數據安全的區塊鏈仍然是一個新興領域，值得去挖掘。

【備註】這段總結爲一句話，數據庫安全技術已有使用大數據、區塊鏈、內容感知技術的趨勢。

3、供應商

一、供應商推進當前數據庫安全市場趨勢

      下面列出了數據庫安全市場中提供新產品開發的供應商，他們正又具體的能力去推進研究中所述的市場趨勢，下面這個表不是全部的供應商，而是列出目前市場中提供創新產品開發的供應商。

二、傳統的數據庫平臺廠商在數據庫安全方面的發展

• IBM：集中在專門的威脅檢測分析、3D風險可視化和彌補客戶本地部署與雲化部署之間的差距。IBM最新的軟件旨在讓客戶採用混合數據架構，將來重點放在安全「免疫系統」、高級分析、認知分析簡化部署上。

• Oracle：仍然專一於解決客戶最迫切的數據庫安全問題，包括HA、可擴展性、性能和可管理性，預計甲骨文繼續支持正在轉向雲端的客戶，同時提供實時分析，並提供其它方法來處理大數據的擴散。

• MySQL：繼續在DB服務器中構建安全功能，好比5.7版本中加強了mysql.user要求plugin字段非空、再也不支持mysql_old_password認證插件等安全特性，同時還不回了透明加密（TDE）、企業防火牆和企業審計。

• MariaDB：最新產品添加了表空間級別的本機數據庫靜態加密、解耦應用程序和數據庫的開源代理、客戶端和服務器之間的安全傳輸（TLS）等。

• Microsoft：SQL Server側重於經過靜態和內存中的數據進行加密來增長安全措施。