- 28/11/2017
- Posted by: Đào Nhật Minh
- Category: Công nghệ
Trong thời kỳ bùng nổ công nghệ thông tin hiện nay, nhu cầu về dữ liệu ngày càng trở nên quan trọng đối với doanh nghiệp. Trong đó, CSDL nơi lưu trữ những dữ liệu quan trọng nhất của doanh nghiệp vì nó chứa các thông tin về khách hàng, tài chính, nghiệp vụ… phục vụ cho các ứng dụng sản xuất kinh doanh của doanh nghiệp. Ngoài ra, CSDL còn được sử dụng cho mục đích phân tích và khai thác dữ liệu phục vụ nhu cầu phân tích thị trường, phát triển sản phẩm, định hướng phát triển doanh nghiệp trong tương lai.
Ngoài việc vận hành cho CSDL hoạt động tốt, thì việc bảo vệ nó khỏi những hành vi đánh cắp dữ liệu là công tác cực kỳ quan trọng. Khi dữ liệu của doanh nghiệp bị đánh cắp ảnh hưởng không chỉ tới uy tín, hình ảnh của doanh nghiệp, mà còn ảnh hưởng đến hoạt động kinh doanh khi dữ liệu được cung cấp cho các đối thủ cạnh tranh.
Vậy làm thế nào để doanh nghiệp có thể bảo vệ được CSDL trước những nguy cơ bị đánh cắp dữ liệu từ bên ngoài và bên trong của doanh nghiệp như:
- Đánh cắp dữ liệu do tấn công qua hệ điều hành đọc trực tiếp từ các datafile?
- Đánh cắp dữ liệu do bản sao lưu bị thất lạc?
- Đánh cắp do bị khai thác trên hệ thống kiểm thử, hệ thống dành cho phát triển?
- Đánh cắp dữ liệu qua lỗ hổng SQL Injection trên ứng dụng?
- Đánh cắp dữ liệu do tài khoản người dùng nội bộ bị lộ?
- Đánh cắp dữ liệu thông qua tài khoản đối tác?
Chúng tôi xin giới thiệu giải pháp bảo mật theo chiều sâu cho hệ thống CSDL Oracle của doanh nghiệp. Các hành động trong bảo mật dữ liệu thông thường chia các nhóm: ngăn ngừa (Prevent), phát hiện (Detect), phân tích/đánh giá (Evaluate).
Theo đó các sản phẩm bảo mật do Oracle cung cấp tương ứng:
- Ngăn ngừa (Prevent)
- Oracle Advanced Security
- Oracle Redaction and Masking
- Oracle Database Vault & Oracle Label Security
- Phát hiện (Detect)
- Oracle Audit Vault & Oracle Database Firewall
- Phân tích/Đánh giá (Evaluate)
- Database Vault – Privilege Analysis
- Oracle Enterprise Manager – Discover Sensitive Data and Databases
- Oracle Database Lifecycle Management – Configuration Management
1. Oracle Advanced Security
Đây là sản phẩm được tích hợp sẵn trong CSDL Oracle, nó cung cấp 2 tính năng nổi bật: Transparent Data Encryption và Data Redaction.
1.1. Transparent Data Encryption (TDE)
Đây là giải pháp bảo mật xuyên suốt vòng đời của CSDL bao gồm cả các bản sao lưu. Nó ngăn chặn các hành vi đọc trực tiếp dữ liệu từ các file của CSDL thông qua hệ điều hành hoặc khôi phục dữ liệu từ bản sao lưu bị thất lạc. TDE hỗ trợ nhiều thuật toán mã hóa dữ liệu như Advanced Encryption Standard (AES) 128, 192,256 bits hay Triple Data Encryption Standard (TDES) 168 bits, đồng thời cho phép người dùng tùy chọn cách thức mã hóa dự liệu nhạy cảm theo cột trên bảng, tablespace, hoặc toàn bộ database. Việc mã hóa được thực hiện tự động trên database và hoàn toàn trong suốt đối với các ứng dụng. Các bản sao lưu dữ liệu bằng công cụ RMAN cũng được tự động mã hóa trong toàn bộ quá trình sao lưu. Ngoài ra, TDE cũng được tích hợp với Oracle Key Vault (quản lý tập chung key mã hóa cho nhiều CSDL) để mã hóa dữ liệu.
1.2. Data Redaction (che dấu dữ liệu)
Đây là giải pháp cho phép che dấu những dữ liệu nhạy cảm trong kết quả tìm kiếm dữ liệu được trả về cho người sử dụng mà không có quyền xem những dữ liệu nhạy cảm này. Nó không thay đổi các giá trị thực của dữ liệu, mà nó chỉ thay đổi lại kết quả trả về dựa trên điều kiện kiểm tra những thông tin kết nối vào CSDL như tên ứng dụng, tên người dùng, IP,.. Data Redaction hoàn toàn không làm thay đổi ứng dụng và ảnh hưởng tới các hoạt động quản trị thông thường như sao lưu, khôi phục từ bản backup, nâng cấp CSDL, nâng cấp bản vá…
2. Oracle Data Masking and Subsetting
2.1. Data Masking (Masking Data for Non-Production)
Môi trường kiểm thử và phát triển thường là nơi dễ bị thất thoát những dữ liệu nhạy cảm do đây là nơi chứa những dữ liệu được sao chép từ môi trường thật nhưng không được bảo vệ hay kiểm soát giống như môi trường thật. Oracle Data Masking là giải pháp hỗ trợ che dấu các dữ liệu nhạy cảm bằng cách thay thế những dữ liệu dữ liệu nhạy cảm này bằng những dữ liệu tự động sinh theo những quy tắc mà người quản trị khai báo khi thực hiện sao chép dữ liệu từ môi trường thật sang các môi trường kiểm thử và phát triển.
2.2. Data Subsetting
Data Subsetting hỗ trợ thực hiện nhóm các dữ liệu dựa trên các điều kiện và tiêu chí cần chia sẻ, ví dụ: chỉ chia sẻ 1% dữ liệu của bảng, chỉ chia sẻ những dữ liệu của năm 2016,… những bản ghi nằm ngoài các tiêu chí chia sẻ được bỏ qua trong quá trình kết xuất dữ liệu để chia sẻ cho môi trường khác. Đây là giải pháp giảm thiểu những rủi ro bảo mật cho những dữ liệu nhạy cảm, bỏ qua công đoạn xóa những dòng dữ liệu không cần thiết hoặc nhạy cảm trên CSDL trước khi chia sẻ cho môi trường kiểm thử, phát triển, hoặc đối tác.
3. Database Vault (Privileged User Controls)
Oracle Database Vault là giải pháp bảo mật cung cấp nhiều tính năng mạnh mẽ, sử dụng để thiết lập chính sách bảo mật phân chia đúng chức năng nhiệm vụ giữa người quản trị bảo mật, quản trị CSDL, quản trị ứng dụng và người sử dụng. Một số tính năng nổi trội như:
- Ngăn chặn tài khoản có quyền quản trị CSDL (như sysdba, dba) thực hiện truy xuất dữ liệu của ứng dụng, các hành vi sử dụng tài khoản có quyền quản trị CSDL để gán quyền, tạo, sửa, xóa hoặc thay đổi trên các đối tượng của ứng dụng.
- Nâng cao bảo mật khi tích hợp nhiều ứng dụng vào cùng một CSDL. Hỗ trợ xây dựng các chính sách bảo mật để ngăn chặn các user ứng dụng khác nhau thực hiện truy xuất được dữ liệu của nhau.
- Hỗ trợ tính năng phân tích và báo cáo về quyền sử dụng của người dùng, xác định những quyền không sử dụng trên CSDL để hỗ trợ cấp phát quyền sử dụng hợp lý cho người dùng (không thừa, không thiếu) để giảm thiểu rủi ro, tăng tính bảo mật cho CSDL.
4. Oracle Label Security (Label Based Access Control)
Trong tích hợp dữ liệu, có thể dữ liệu nhạy cảm và dữ liệu ít nhạy cảm hơn được lưu cùng trong một bảng, do đó xảy ra rủi ro người dùng có khả năng xem được những dữ liệu mà không có đặc quyền. Oracle Label Security là công cụ mạnh mẽ, hỗ trợ bảo mật nhiều lớp đến từng bản ghi trên CSDL. Dựa trên MLS (U.S. Department of Defense Multi-Level Security), dữ liệu sẽ được phân loại và gán nhãn theo các tính chất bảo mật (ví dụ như public, confidential, sensitive), đồng thời các tài khoản người dùng gán nhãn theo nhóm đặc quyền truy xuất dữ liệu (ví dụ như phòng VIP, Executive, CEO). Hạn chế truy cập sẽ dựa trên nhãn bảo mật dữ liệu và giấy phép truy cập của tài khoản người dùng.
5. Oracle Audit Vault and Database Firewall
Oracle Audit Vault và Database Firewall (AVDF) cung cấp giải pháp bảo mật hỗ trợ ngăn chặn truy cập trái phép (Firewall), giám sát các hoạt động (activity monitoring) và cảnh báo vi phạm chính sách (alert) cho CSDL. Thông qua network traffic, AVDF thực hiện phân tích lấy các câu lệnh tác động vào CSDL và đưa ra những hành động theo chính sách được cấu hình. Ngoài ra AVDF hỗ trợ tích hợp những dữ liệu giám sát về hoạt động trên CSDL, log giám sát của hệ điều hành hoặc thư mục lưu trữ log giám sát vào kho lưu dữ liệu giám sát giúp người quản trị phân tích một cách toàn vẹn về hoạt động của hệ thống máy chủ CSDL.
Lợi ích mang lại:
- Ngăn chặn lưu lượng truy cập trái phép, cung cấp toàn bộ thông tin về hoạt động trên CSDL
- Quản lý tập chung, tích hợp cho nhiều loại dữ liệu kiểm toán (audit data)
- Nhanh chóng cung cấp báo cáo về hoạt động của CSDL với thư viện báo cáo đầy đủ và có thể tùy chỉnh
- Đáp ứng các yêu cầu về bảo mật , sản phẩm được đóng gói và triển khai một lần
- Phân tích câu lệnh SQL với độ chính xác cao và tự động cảnh báo sớm
- Chi phí thấp
Tính năng nổi bật:
- Theo dõi và ngăn chặn các truy cập trái phép, tích hợp các dữ liệu theo dõi (audit data) cho các hệ thống Oracle, MySQL, Microsoft SQL Server, SAP Sybase, IBM DB2, và Oracle Big Data Appliance
- Cung cấp hai chế độ bảo vệ CSDL
- Database Activity Monitoring (DAM): theo dõi và cảnh báo cách hành vi vi phạm trên CSDL
- Database Policy Enforcement (DPE): theo dõi, cảnh báo các hành vi vi phạm và block các câu lệnh
- Hỗ trợ lập các danh sách white list, black list hay exception list căn cứ thông tin trên network như IP, địa chỉ MAC
- Mở rộng cơ chế thu thập dữ liệu thông qua audit collection framework với các template dựa trên XML và table-base audit data
- Cung cấp nhiều loại báo cáo và có thể tùy chỉnh theo yêu cầu kết hợp với cảnh báo chủ động và thông báo
- Hỗ trợ kết xuất báo cáo ra các loại file PDF hoặc Excel
- Phần mềm được cấu hình sẵn tiện lợi và tin cậy
- Hỗ trợ cơ chế sẵn sàng cao (high availability)
- Hỗ trợ bổ sung các vùng đĩa bên ngoài để mở rộng không gian lưu trữ
6. Oracle Enterprise Manager – Discover Sensitive Data and Databases
Oracle Enterprise Manager Data Discovery and Modeling and Sensitive Data Discovery (SDD) sử dụng để tự động hóa quá trình xác định những dữ liệu nhạy cảm bên trong CSDL, giảm thiểu thời gian và loại bỏ những thao tác thủ công. Nó cung cấp thông tin cho tổ chức hiểu rõ hơn về những tài sản dữ liệu đang có, đồng thời hỗ trợ quá trình triển khai những giải pháp bảo mật cho những dữ liệu này. Kết quả tìm kiếm phân tích SDD có thể sử dụng với Oracle DataMasking và Subsetting và những giải pháp bảo mật khác như mã hóa, giám sát.
7. Oracle Database Lifecycle Management – Configuration Management
Database Lifecycle Management Pack cung cấp giải pháp toàn diện giúp những người quản trị CSDL tự động hóa quy trình quản lý vòng đời CSDL. Nó loại bỏ các công việc thủ công và mất thời gian liên quan đến việc xác định các thành phần trong CSDL, thông tin cấu hình, nâng cấp bản vá, quản lý cấu hình, quản lý thay đổi và tự động phòng ngừa thảm họa. Ngoài ra, Database Lifecycle Management Pack cung cấp báo cáo dựa trên cấu hình tiêu chuẩn và khuyến cáo của hãng Oracle.