در قسمت اول از مقاله IBM Security Guardium Data Activity Monitor به مزایای استفاده از آن پرداخته شد و در این قسمت از مقاله، به بررسی نحوه مدیریت پایگاه داده و بررسی Policyهای آن می پردازیم.
مدیریت ساده و موثر
امروزه سازمانهای IT جهت افزایش هرچه بیشتر استفاده از منابع و زمان تحت فشار زیادی هستند. عملیات با امنیت پایین و فرآیندهای دستی در چنین محیط مهمی به شکل روزافزونی بیفایده تلقی میشوند. رویکردهای دستی (Manual)، علاوه بر ناکارآمد نمودن کسبوکار، مستعد خطا نیز می باشند. همانطور که دادههای کسبوکارافزایش می یابد، وسعت پروژههای امنیت دادهها نیز باید گسترش یابد. توجه نمایید که همزمان با تغییر نیازها، به راهکارهای امنیتی سازگارتر و سادهتر نیاز خواهید داشت. در عصر Big Data که دادهها رشدی صعودی دارند، باید بهجای اینکه پرداختن به رویکردهای موجود، راهکارهای امنیت دادهها را بهینه و بهتناسب شفاف نمود.
Guardium Data Activity Monitor قابلیتهای ویژهای به سازمانها ارائه مینماید که به آنها در روان سازی و سازگار نمودن حفاظت از دادهها و مدیریت امنیت بدون تاثیرگذاری روی منابع دادهها، شبکهها یا برنامهها کمک خواهد نمود. در زیر به بررسی چند نمونه در این زمینه خواهیم پرداخت:
- سازگاری گزارشها و Policyهای پویا نسبت به تغییرات محیط IT و رخدادهای امنیتی
این مورد، حفاظت ارائهشده توسط Guardium را به بالاترین سطح خود میرساند. با یک کلیک، گروهها، Policyها، تستها و دیگر پارامترهای قابلپیکربندی را میتوان طوری بهروزرسانی نمود که با توجه به رشد و پیشرفت مداوم محیط IT، زیرساخت پایگاه داده و تهدیدهای مربوطه سازگار گردند. با وجود تغییرات دائمی که در محیط IT رخ می دهد، در گزارشات بررسی، هشدارها و Policyهای آنی برای تسهیل تعمیر و نگهداری از مدیریت خودکار گروه استفاده میشود. فهرستهای سفید یا فهرستهای سیاه را میتواند روی هر آیتم قابل بررسی مثل کاربرها، آدرسهای IP، نام جداول و غیره ایجاد نمود. علاوه بر آن، نگهداری گروه را میتوان بهصورت دستی از طریق GUI یا بهصورت خودکار با یکپارچهسازی LDAP انجام داد؛ میتوان گروهها را با Queryها یا GuardAPIها پر نمود و یا با گروههای کاربری در Active Directory، IBM Tivoli DS، Novell، Open LDAP، SunOne، IBM z/OS و غیره، همگامسازی نمود.
علیرغم تغییرات مداوم در محیط، مدیریت Policyها، گزارشدهی و بررسی غیرمستقیم از طریق گروهها به حفظ یک فرآیند ثابت مدیریت کمک مینماید.
- کنسول مرکزی برای مدیریت و کنترل بکارگیری Guardium
این مورد به کنسول مدیریتی متمرکز تحت وب در Guardium اشاره دارد. معماری چندلایهی مقیاسپذیر از محیطهای کوچک و بزرگ با داشبوردهای بررسی سلامت built-in پشتیبانی مینمایند. بهروزرسانیهای نرمافزاری، بدون اینکه لازم باشد تیم مدیریت تغییرات یا صاحبان منابع را درگیر نماید، بهصورت متمرکز و خودکار مدیریت میشوند.
- پیدانمودن پایگاه داده، طبقهبندی دادهها و گزارشهای Entitlement
این مورد به کشف و طبقهبندی دادههای حساس میپردازد. فرایند پیدا نمودن Database را میتوان طوری تنظیم نمود که به بررسی بخشهای مشخص شبکه، طبق یک برنامهریزی یا در هنگام نیاز بپردازد. زمانی که موارد دلخواه شناسایی شدند، محتوا بررسی میشود تا دادههای حساس شناسایی و طبقهبندی شوند. گزارشهای Entitlement یک ارزیابی ریسک خودکار در مورد اینکه چهکسی اجازهی دسترسی به دادههای حساس را دارد ارائه میدهد.
- شناخت تحلیلی قوی
تحلیل فعالیت دادهها بهصورت متمرکز از یک محیط دادهای ناهمگن از یک فرمت استفاده مینماید. استفاده از جدیدترین ابزارهای تحلیلی جهت بهدست آوردن شناخت کاربردی از رفتارهای دسترسی داده با ابزارهایی نظیر Connection Profiling، Quick Search real-time forensics، الگوریتمهای Outlier Detection و Investigative Dashboard.
- Policyهای ازپیشتعریفشدهی امنیتی
این مورد به شما اجازه میدهد Policyهای امنیت دادهی خود را بر اساس دادههای مورد بررسی، ایجاد و مدیریت کرده یا Policyهای ازپیشتعریفشدهی سهلالوصول را بکار بگیرید. Policyها را میتوان طوری ایجاد نمود که هرگونه سناریو تهدیدی دربرابر دادهها را که از سازههای مورد بررسی رایج استفاده میکند (مانند نظیر چهکسی، از کجا، کی، به کجا، روی چهچیزی، چه اقدامی و سایر اطلاعات زمینهای) تشخیص دهد.
- دسترسی به Policyهایی که رفتار غیرعادی را با مقایسهی مداوم تمام فعالیتهای دادهای با مقدمات رفتار طبیعی شناسایی کند. یکی از نمونههای رفتار غیرعادی میتواند SQL injection attack باشد که نوعاً الگوهای دسترسی دادهای را نشان میدهد که با خصوصیات برنامههای کسبوکار متعارف تناقض دارد.
- Policyهای استثنا برپایهی آستانههای قابلتعریف نظیر تعداد loginهای ناموفق بیشازحد یا خطاهای SQL شکل میگیرند.
- Policyهای اخراج دادههایی را که مخزن داده را ترک میکنند، جهت تعیین الگوهای مشخص ارزش دادهها نظیر شمارهی کارتهای اعتباری بررسی مینماید.
گردشکاری قابلسفارشیسازی موجودِ پذیرش با شتابدهندههای ازپیشتعیینشدهی پذیرش (مانند مرور گزارشها، اوجگیری (escalations)ها و sign-offها):
فرآیندهای سازمانی نظارت، از جمله تولید گزارش، توزیع، sign-offهای الکترونیک و اوجگیریها را متمرکز و خودکار میکند. با مشخص کردن ترکیب یگانهی مراحل گردشکاری، اقدامات و کاربر شما، به ایجاد فرایندهایی سفارشی پرداخته و امکان اجرای خودکار فرایندهای نظارتی را برمبنای گزارش خط/آیتم فراهم میکند که این امر خود منجر به رشد حداکثری کارآیی فرآیند بدون قربانی کردن امنیت میشود. این امر تضمین میکند که بعضی از اعضای تیم فقط دادههایی که به نقش خودشان مربوط است را میبینند و نتایج فرآیند را در یک انبار ایمن متمرکز، ذخیره مینماید. SOX، PCI، HIPAA و غیره با گزارشهای ازپیشتعریفشده از مهمترین مقررات پشتیبانی مینماید. واسط کاربری گرافیکی و سادهی آن به طیف وسیعی از فرایندها اجازهی ایجاد و سازگاری با نیازهای خاص و خواست افراد را میدهد.
از کارهای قابل بررسی بسیار متفاوتی پشتیبانی مینماید، از قبیل مرور نتایج ارزیابیهای آسیبپذیری که بهصورت خودکار ایجاد شدهاند، کشف دارایی (asset discovery) و طبقهبندی دادهها، خروجی گرفتن از گزارشها با فرمتهای مختلف نظیر PDF، CSV، CEF، Syslog forwarding، SCAP یا Schemaهای سفارشی.
- پلتفرم ایمن و خودبسنده (خودنظارتی، بررسی داخلی، Appliance ایمن)
در واقع این سیستم عملیاتی مانند مدیریت و پیکرهبندی، با هدف حفظ کنترلهای پذیرش، حفظ جداسازی وظایف، و تطابق با گواهی ضوابط رایج و FIPS 140-2 را مورد بررسی قرار میدهد.
در قسمت بعدی (قسمت نهایی) به بررسی قابلیت های استفاده از IBM Security Guardium Data Activity Monitor خواهیم پرداخت.
ــــــــــــــــــــــــــــــــــــــــــــــــــــــ
بررسی IBM Security Guardium Data Activity Monitor – قسمت اول
بررسی IBM Security Guardium Data Activity Monitor – قسمت دوم
بررسی IBM Security Guardium Data Activity Monitor – قسمت سوم(پایانی)