در قسمت اول و دوم از سری مقالات IBM Security Guardium Data Activity Monitor به بررسی مزایای استفاده از آن و همچنین تشریح نحوه مدیریت پایگاه داده و بررسی Policyهای آن پرداخته شد. در این قسمت (پایانی) به ادامه ی بررسی سایر قابلیت های IBM Security Guardium Data Activity Monitor خواهیم پرداخت.
عملکرد (Performance)
همانطور که مطلع هستید، کسبوکار بهسرعت در حال پیشرفت است و Clientها درخواست دسترسی پیوسته به دادهها را دارند؛ در نتیجه، محیطهای IT شامل پایگاههای داده، برنامههای تراکنشی، پلتفرمهای تحلیلی، File Systemها و برنامههای جدید همچون Big Data باید مفاد موافقتنامههای سطح خدمات سختگیرانهی دسترسی (Availability)، عملکرد (Performance) و پاسخگویی (Responsiveness) را رعایت نمایند. همچنین الزامات پذیرش باید رعایت شود و راهبردهای امنیتی بدون تاثیر بر عملکرد، اجرا گردند. Guardium Data Activity Monitor را میتوان با استفاده از قابلیتهای مهم زیر با تاثیر قابلچشمپوشی بر عملکرد (در بیشتر موارد مجموعاً کمتر از ۱ درصد) اجرا نمود.
- Agent سیستمعاملمحور
رویت کامل ترافیک دادهها را فراهم کرده در عین حال تنها موارد مورد نیاز، نظیر ترافیک دادههایی که هماکنون از سیستمعامل به “منبع داده” میروند و همچنین بیرون فرستادن آن از باند، جهت آنالیز نمودن را مانیتور میکند. در نتیجه، مانیتورینگ برخلاف ثبت Logهای ممیزیبومی (native audit logging) تاثیری بر عملکرد منبع داده یا برنامه نمیگذارد.
- فیلتر نمودن ترافیک پایگاه داده
از ترافیک غیرضروری بررسی پایگاه داده جلوگیری مینماید.
- تعدیل متمرکز Load Balancing برای معماری چندلایه (Multi-Tier)
Agentهای Guardium یا STAPها را میتوان بهصورت خودکار توزیع نمود تا بهصورت خودکار بهترین تنظیمات جهت ارسال ترافیک فعالیت دادهها را پیدا نمایند.
- پشتیبانی از معماری ۶۴بیتی
امکان مدیریت و ذخیرهسازی دادههای بیشتر ترافیک داده را با منابع کمتر فراهم مینماید.
مقیاسپذیری (Scalability)
مدیریت امنیت داده و پذیرش بهشکل روزافزونی چالشبرانگیز شده است. نه تنها تعداد حملات سایبری به رشد خود ادامه داده، بلکه پیچیدگی و وسعت محیطها هم بهشکل چشمگیری افزایش یافته است. تحت تاثیر سرعت تغییر چشمانداز کسبوکار که شامل ادغامها (Mergers)، برونسپاری (Outsourcing)، بهکارگیری Cloud، تعدیل نیروی کار و تسریع اتوماسیون کسبوکار است، منابع داده همچنان در مرزهای جغرافیایی و سازمانی در حال بسطوتوسعهاند. علاوه بر این، دادهها از نظر حجم، تنوع و شتاب در حال رشد میباشند و انواع جدیدی از ذخیرهسازهای داده را معرفی مینمایند (مانند پایگاههای دادهی Hadoop و NoSQL). با توجه به تجهیزات محدود به منابع فعلی IT، پیچیدگی محیطها برای مدیریت و تشدید WorkLoad، سازمانها امروزه بهدنبال ابزارهایی جهت افزایش اتوماسیون در عملیات امنیت داده و پذیرش خود می باشند.
Guardium Data Activity Monitor برای مقیاسبندی یکپارچه از یک منبع داده به دهها هزار منبع داده، بدون اختلال در عملیات، مجهز شده است. قابلیتهای اتوماسیون آن عبارتند از:
- سازگاری خودکار با تغییرات در دیتاسنتر (Grid)
این قابلیت به تعدیل خودکار Load کاری و مدیریت تغییرات یا موارد اضافه شده به محیط، بدون تاثیرگذاری روی عملکرد یا قابل دسترس بودنِ زیرساخت مانیتورینگ داده، می پردازد. اضافه و حذف Dynamic منابع داده بدون تغییر تنظیمات، از دیگر ویژگی های این مورد می باشد. Guardium Grid قابلیت ارتجاعی (Elasticity) را جهت پشتیبانی از Large Deployment هنگام تغییرات مکرر فراهم میسازد. مقیاسپذیری Load Balancing و مزایای عملکرد، به Clientها در کاهش هزینههای مدیریت کمک نموده و همچنین نیاز به مدیریت اطلاعات جزئی تنظیمات (IP یا نام Host) را هنگام اضافه یا حذف شدن منابع داده به حداقل رسانده و پروژههای افزایش ظرفیت داده را تسهیل مینماید.
- پشتیبانی از عملیات GuardAPI) Batch)
این مورد، ادغام هر فرایند IT با Guardium Data Activity Monitor را تسهیل مینماید. GuardAPI یک واسط کاربری CLI متنمحورِ مختص Guardium است که به تمام عملیاتها اجازه میدهد به صورت Remote انجام شوند.
- تجمیع متمرکز(Centralized Aggregation)
تجمیع متمرکز، در واقع گزارشهای بررسی چندین منبع داده را ادغام و نرمالسازی میکند تا گزارشهایی در سطح Enterprise و منبعی قانونی، تولید نماید.
- مدیریت متمرکز (Centralized Management)
از محلی متمرکز به کنترل عملیاتها و تعیین سیاستها از جمله بهروزرسانی Agentهای hands-off، کنترل Policy، سلامت محیط Guardium و تعدیل بار (Load Balancing) میپردازد.
یکپارچهسازی(Integration)
اکثر سازمانها طیف متنوعی از راهکارهای IT و امنیت، مانند راهکارهای سیستمهای ارسال تیکت یا (Security Information and Event Management (SIEM بهره می برند و تمام این راهکارها در نهایت به تعامل با امنیت داده نیازمند هستند. اکثر راهکارهای امنیتی موجود فاقد دید کامل نسبت به الگوهای دسترسی داده که طبق قانون الزامی شده باشد، هستند.
Guardium Data Activity Monitor نگاهی عمقی و تحلیلی ارائه مینماید و در عین حال بهراحتی با راهکارهای موجود امنیتی نظیر IBM Security QRadar یا HP ArcSight ادغام میگردد. بهعلاوه، Guardium Data Activity Monitor یک مدل انعطافپذیر یکپارچهسازی با سیستمهای موجود IT نظیر راهکارهای مدیریت داده، ارسال تیکت و آرشیوسازی ارائه مینماید.
هدف، تسهیل عملیاتهای IT و امنیت، با تکمیل و گسترش آنها به وسیلهی قابلیت های امنیت دادهای است که در زیر به آن می پردازیم:
- یکپارچهسازی با عملیات IT
از محیطهای مدیریت دادهی موجود بهرهبرداری میکند. به طور کلی از Oracle، IBM DB2، Sybase، Microsoft SQL Server، IBM Informix، mySQL، Teradata، IBM PureSystems، Hadoop، IBM InfoSphere BigInsights، PostgreSQL، NoSQL، Mongo DB، SAP HANA و موارد دیگر در تمام پروتکلهای اصلی از اتصالات HTTP، HTTPS، FTP، SAMBA و IBM iSeries گرفته تا منابع دادههای فایلی متن CSV بصورت Built-in و حاضرآماده پشتیبانی می نماید.
همچنین میتوانید بدون وقفه اطلاعات را با ابزارهای رایج عملیات IT نظیر سیستمهای ارسال تیکت به اشتراک بگذارید و ID ،Guardiumهای تیکتها را داخل رکورد بررسی دسترسی داده، رهگیری می نماید.
- یکپارچهسازی با سیستمهای امنیتی و استانداردها (QRadar, HP Arcsight, Radius, LDAP):
تغییرات کاربرها، گروهها، Roleها و تاییدها نسبت به منابع داده و برنامهها را میتوان بهصورت خودکار و مستقیماً از دایرکتوریهای LDAP، Radius و Active Directory بهروزرسانی نمود. همچنین میتوان بهصورت خودکار هر تغییر پرسنل یا کاربر را مدیریت کرده و در عین حال Policyها و گزارشات را مصون نگه داشت و از اصلاح مداوم آنها اجتناب نمود. ضمناً، میتوان جهت ارتباط با سایر رخدادهای امنیتی، هشدارها و تمام اطلاعات بازرسی را به یک SIEM نظیر IBM Security QRadar فرستاد.
- پلتفرم انعطافپذیر و قابلسفارشیسازی یکپارچگی (Universal Feed, Enterprise Integrator)
این پلت فرم به سادهسازی و خودکارنمودن یکپارچهسازی داده، از منابع خارجی داده یا فایلهای متنی در انبار Guardium مبادرت مینماید. زمانی که دادهها در انبار مستقر میشوند، تمام ابزارهای سیاستی، تحلیلی، گزارشدهی، و بار کاری Guardium را میتوان بهکار گرفت، این امر به تمام دادههای ورودی از سایر منابع اجازهی شرکت در تحلیل همبستگی را میدهد. علاوه بر آن امکان ایجاد یک گزارشهای یکدست را فراهم می سازد، که شامل آن دسته از اطلاعات خارجی که امنیت را ارتقا داده و کارایی عملیاتی (نظیر اصلاحات تاییدشده از تغییر سیستمهای ارسال تیکت) را بهبود میبخشد، می باشد. همچنین اطلاعات توضیحی نظیر نامها و شماره تلفنهای کامل که متناظر به نامهای کاربری هستند را وارد میکند تا بررسی استثناها تسهیل گردد. اطلاعات سیستمهای IAM نظیر نقشها و دپارتمانها را ادغام میکند تا سیاستهای امنیتی جزئیتری را ممکن سازد؛ و به IBM Tivoli Storage Manager و EMC Centera وصل میشود تا دادههای بررسی و نتایج فرایند حذف سهوی (Oversight) را آرشیو نماید.
همه چیز دربارهی IBM Security Guardium
Guardium بخشی از IBM Security Systems Framework و IBM Data Security Privacy Platform است. Data Security و Privacy Platform قابلیتهای حفاظت دادهی End-to-Endی را فراهم میسازد که به کشف و تحلیل، حفاظت، یکپارچهسازی و مدیریت دادههای حساس محیط شما کمک مینماید. Guardium تمام موارد مورد نیاز جهت حفاظت داده را از رعایت تمام الزامات پذیرش گرفته تا حفاظت دادهی وسیعتر ارائه مینماید. این مجموعه Modular است بنابراین میتوان از هر نقطهای شروع کرده و سنگ بناهای نرمافزاری امنیت با محصولات دیگر شرکت تلفیق نمود یا بر حسب انتخاب چند سنگ بنا را جهت شتابدهی و مقادیر بیشتر با هم بکار گرفت. این پلتفرم امنیتی مبنایی تشکیلاتی برای پروژههای اطلاعاتمحور است که عملکرد، مقیاسپذیری، اعتبار و شتاب لازم برای تسهیل چالشهای سخت و ارائهی سریعتر اطلاعات معتبر به کسبوکار شما را فراهم میسازد.
جدول . Guardium Data Activity Monitor هزینهی کلی مالکیت را کاهش و امنیت را افزایش داده از الزامات پذیرش با چهار قابلیت سادهی Data Activity Monitor پشتیبانی مینماید: Express, Standard, Advanced, and Central Management and Aggregation Pack
| Compliance | Security | TCO | |
| Risk Reduction | |||
| * | * | Automatically identify risky data or configurations | |
| * | Real-time data activity monitoring with application end-user translation | ||
| * | * | Real-time security alerts | |
| * | * | **Real-time data masking (S-GATE) | |
| * | * | **Real-time blocking (S-GATE), including quarantine and fire ids | |
| * | * | * | Custom report builder with drill-down capabilities |
| * | * | * | Best practice recommendations – predefined reports and alerts |
| Streamlined Management | |||
| * | * | Dynamically adapting reports and policies to IT environment changes and security events | |
| * | Central console to manage and control the Guardium deployment | ||
| * | * | * | Database discovery, data classification, and entitlement reports |
| * | * | * | Powerful analytic insights (Quick Search, Outliner Detection, Connection Profiling, Investigative Dashboard) |
| * | * | * | Predefined security policies |
| * | * | Built-in customizable compliance workflow with preset compliance accelerators (reports review, escalations, sign-offs) | |
| * | * | Secure and self-sustained platform (self-monitoring, internal audit, secure appliance) | |
| Performance | |||
| * | * | * | Operating System based agent |
| * | Filtering of DB traffic | ||
| * | Centralized Load balancing for multi-tier architecture | ||
| * | Support for 64-bit architecture | ||
| Scalability | |||
| * | Automatically adapt to changes in the data center (Grid) | ||
| * | Support to batch operation (GuardAPI) | ||
| * | Centralized Aggregation and normalization of reports and audit logos | ||
| * | Centralized Management for operational control | ||
| Integration | |||
| * | * | * | Integration with IT operations |
| * | * | * | Integration with security systems and standards (QRadar, HP Arcsight, Radius, LDAP, etc) |
| * | * | * | Flexible, customizable integration platform (Universal Feed, Enterprise Integrator) |
ــــــــــــــــــــــــــــــــــــــــــــــــــــــ
بررسی IBM Security Guardium Data Activity Monitor – قسمت اول
بررسی IBM Security Guardium Data Activity Monitor – قسمت دوم
بررسی IBM Security Guardium Data Activity Monitor – قسمت سوم(پایانی)
