بررسی IBM Security Guardium Data Activity Monitor – قسمت اول

نظارت مداوم بر دسترسی داده و حفاظت از داده‌های حساس در سازمان ها

IBM Security Guardium Data Activity Monitor سازگارترین، قابل اتخاذترین و مقیاس‌پذیرترین راهکار جهت اطمینان از امنیت و یکپارچگی داده‌ها، در محیط‌های ناهمگن از جمله پایگاه‌های داده، Data Warehouses، فایل‌ها، فایل Share شده، Cloud، و پلت‌فرم‌های Big Data نظیر پایگاه‌های داده‌ی Hadoop  و NoSQL را ارائه می‌دهد.

این راهکار بطور بی‌وقفه بر تمام عملیات دسترسی داده نظارت می‌نماید، تا فعالیت های بدون مجوز (Unauthorize) را تشخیص دهد. این فرآیند بر اساس اطلاعات دقیق متنی مانند «چه‌کسی، چه‌چیزی، کجا، کِی و چطورِ» در هر دسترسی داده‌ صورت می پذیرد. Guardium Data Activity Monitor بلافاصله جهت جلوگیری از فعالیت‌های غیرمجاز یا مشکوکِ عوامل داخلی دارای Privilege خاص و یا هکرهای احتمالی واکنش نشان داده و کنترل‌های مدیریت امنیت داده در سازمان‌های ناهمگن را به‌صورت خودکار تغییر می دهد.

Guardium Data Activity Monitor باعث افزایش سطح امنیت شده و از طریق مجموعه ای از قابلیت‌های اصلی که هزینه‌ی کلی مالکیت را به حداقل می‌رساند، از الزامات پذیرش، پشتیبانی می‌نماید. این قابلیت‌ها در چهار سطح ساده و سازگار زیر ارائه می‌گردند:

• Express Data Activity Monitor
• Standard Data Activity Monitor
• Advanced Data Activity Monitor
• Central Management and Aggregation Pack

کاهش میزان خطرهای احتمالی

برای هر فعالیت یا کار سازمانی مورد نظر، ریسک احتمالی از دست رفتن داده‌ها و یا در معرض نمایش قرار گرفتن آنها وجود دارد. احتمال آسیب، خسارت، از دست رفتن داده‌ها یا هر اتفاق نامطلوب دیگری با آسیب‌پذیری داخلی و خارجی ایجاد می‌شود. اما می‌توان با واکنش سریع و یا حتی با اقدام پیشگیرانه، از بروز آن مشکلات جلوگیری نمود. Guardium Data Activity Monitor خطر نشت داده‌ها را با فراهم نمودن اطلاعات و امنیت داده‌ها و قابلیت‌های زیر کاهش می‌دهد:

• شناسایی خودکار یا انجام تنظیمات بر روی داده های دارای خطر احتمالی:

این فرآیند با استفاده از پیدا نمودن داده‌، طبقه‌بندی، گزارشات مجوزها  و بررسی سوابق آنها؛ جهت تشخیص داده‌های دارای ریسک مانند داده‌های حساس غیرفعال  یا تنظیمات دارای ریسک مانند مجوزهای غیرفعال به داده‌ها و اختصاص Privilege بیش‌ازحد، صورت می‌پذیرد.

• نظارت بدون وقفه بر فعالیت داده‌ها با برنامه ترجمه‌ی کاربر نهاییِ (End-User Translation):

ارائه‌ی Visibility و Granularity صددرصدی به تمام پایگاه‌های داده، فایل‌ها، فایل های Share شده، Data Warehouse، تراکنش‌های Hadoop و NoSQL در سراسر پلت‌فرم‌ها و پروتکل‌ها، به همراه امنیت و رسیدگی غیرقابل نفوذ؛ که جداسازی وظایف را پشتیبانی می‌نماید. همچنین بر مواردی مانند طیف وسیع از Policyهای دسترسی به داده‌های حساس، فعالیت های کاربر دارای Privilege، کنترل تغییرات، فعالیت‌های برنامه/کاربر و استثناهای امنیتی نظارت داشته و آنها را اجرا می نماید. علاوه بر موارد فوق؛ نظارت بر تمام تراکنش‌های داده، جهت ایجاد یک دنباله‌ی بررسی Fine-Grained و مداوم از تمام منابع داده‌ها که «چه‌کسی، چه‌چیزی، کجا، کِی و چطورِ» هر تراکنش اعم از اجرای تمام دستورات SQL روی تمام Objectهای Database را شناسایی می‌نماید؛ بررسی تمام Login/Logoutها، استثناهای امنیتی نظیر عدم موفقیت در Login و خطاهای SQL و تشخیص انفصال‌ها (شناسایی داده‌های حساس برگشتی از queryها). ایجاد بررسی یک انبار مرکزی برای گزارش پذیرش در سطح سازمان، بهینه‌سازی عملکرد، تحقیقات و مباحث قانونی می پردازد.

پیغام‌های فوری امنیتی: ایجاد پیام‌های فوری و Real Time، هنگام نقض Policy امنیتی از جمله پیغام‌هایی به سیستم‌های Security Information و Event Management در سطح سازمان، نظیر IBM Security QRadar جهت انجام واکنش فوری.

(Real-time Data Masking (S-GATE: کسب اطمینان از اینکه داده‌های حساس به دست فرد اشتباهی نمی‌افتد. Guardium Data Activity Monitoring به محتوای داده‌ای که از منابع داده خارج می‌شود، نگاه کرده و فیلدهای غیرمجاز را طبق Privilege درخواست‌دهنده، مبهم می‌نماید.

(Real-time Blocking  (S-GATE شامل قرنطینه‌ی کاربر و شناسه‌ی FireCall: ایجاد کنترل‌های پیشگیرنده در سازمان. Guardium Data Activity Monitor کنترل‌های خودکار و بلادرنگی ارائه می‌دهد که نمی‌گذارد کاربران دارای سطح خاص Privilege، اقدامات غیرمجاز نظیر اجرای Queryها روی جداول حساس، تغییر مقادیر داده‌های حساس، اضافه یا حذف کردن جداول مهم (تغییرات Schema) خارج از فرایند مدیریت تغییرات و ایجاد حساب‌های کاربری جدید و اصلاح Privilegeها انجام دهند.

• واکنش به فعالیت مشکوک با مسدود نمودن فعالیت یا قرنطینه‌ی درخواست‌دهنده
• اجرای ID‌های Firecallی که به کابران مشخص‌شده اجازه‌ی دسترسی به بعضی سرورها در یک محدوه‌ی مشخص زمانی را برای برخی فعالیت‌ها مانند Maintenance Windows بدون تاثیر بر تنظیمات امنیت پایگاه داده

سفارشی‌سازی گزارش‌ساز با قابلیت‌های Drill-Down: سفارشی‌سازی و فیلتر کردن گزارش‌های امنیتی برای نشان دادن پارامترهایی که مطلوب شماست. بعضی از گزارش‌های رایج عبارتند از: خطاهای SQL، Loginهای ناموفق، کاربران محدودشده و نقض‌ Policyها.

گزارش‌ها و پیغام‌های از پیش‌ تعریف‌شده: ارائه‌ی گزارش‌های از پیش‌ تعریف‌شده‌ی متنوع از زوایای مختلف داده‌های مجوز، که به سازمان‌ها امکان شناسایی سریع و آسان ریسک‌های امنیتی را می‌دهد، ریسک‌هایی نظیر Objectهایی که به صورت نادرست در معرض نمایش قرار گرفته‌اند، کاربرانی که مزایای بیش‌از حدی دارند و یا مواردی مانند اقدامات مدیریتی غیرمجاز٫ نمونه‌های گزارش‌های بیشمار از پیش‌ تعریف‌شده عبارتند از: حساب‌هایی با دسترسی های سیستمی (System Privileges)، تمام System Privilege وAdministrator Privilege  که براساس کاربرد و Roleهای آن نمایش داده می‌شود، Object Privileges براساس کاربر و تمام Objectهایی که دسترسی عمومی (Public Access) دارند. تمام اطلاعات مجوز در یک فضای ایمن و غیرقابل‌نفوذ همراه با اطلاعات بررسی منابع داده‌ها ذخیره می‌شوند. گزارش‌های سفارشی را می‌توان به‌راحتی از طریق یک واسط‌کاربری مستقیم Drag-and-Drop ایجاد نمود.

در قسمت های بعدی این مقاله، به بررسی ابعاد دیگر این تکنولوژی پرداخته خواهد شد.

 ــــــــــــــــــــــــــــــــــــــــــــــــــــــ

بررسی IBM Security Guardium Data Activity Monitor – قسمت اول

بررسی IBM Security Guardium Data Activity Monitor – قسمت دوم

بررسی IBM Security Guardium Data Activity Monitor – قسمت سوم(پایانی)