Kilka słów o tym, czym jest DBFW oraz kto potrzebuje takiego typu rozwiązania

DBFW – „database firewall”, czyli ochrona komunikacji z bazą danych z wykorzystanie mechanizmów blokowania połączeń na podstawie zaimplementowanych polityk bezpieczeństwa.

Jak działa?

DBFW działa w dość zbliżony sposób jak standardowy FW dla sieci komputerowych, czyli blokuje komunikacje, którą uzna za niewłaściwą. Jaka komunikacja może być niewłaściwa? Niewłaściwe mogą być zapytania, które wykraczają ponad zdefiniowaną politykę takie jak np. jeden ze zwykłych (nie administrator) użytkowników próbuje pobrać całą zawartość tabeli z danymi do kontrahentów. Powyższy przykład ma o tyle znaczenia dla organizacji iż użytkownikowi nie były wcześniej potrzebne takie informacje oraz ta tabela jest szczególnie wrażliwa na przedsiębiorstwa i bez uprzedniej zgody nie ma możliwości pobranie większej ilości danych z tego miejsca. Na podstawie jednego z rozwiązań, które opiszę poniżej systemy DBFW działają na zasadach blokowanie lub anonimizacji danych, które otrzyma później użytkownik. Blokowanie odpowiedzi od serwera bazy danych jest dość trywialnym zagadnieniem i nie wymaga większych wyjaśnień, co innego się tyczy procesu anonimizacji danych. Anonimizacja jest metodą zmiany danych tak aby nie było możliwości domyślenia się danych bazowych, głównym celem anonimizacji jest fakt, że np. użytkownik nie potrzebuje znać szczegółowych danych kontrahentów jak np. numer karty kredytowej lecz powinien znać ilość wydanych pieniędzy w jego sklepie dlatego, że są to dane, które są niezbędne do określenia profilu klienta w celu zwiększenia sprzedaży. Anonimizacja również pozwala na to aby np. administrator mógł zweryfikować poprawność projektowanego przez niego oprogramowania.

Dla kogo jest DBFW?

Główne, praktycznie i częściowo wymagane zastosowanie rozwiązania DBFW są dla instytucji, które np. przetwarzają duże ilości danych krytycznych oraz liczba osób uprawnionych do bezpośredniego przetwarzania danych (tak zwani „privileged user”)  takich jak banki/księgowość/kancelarie prawne. Nie jest to rozwiązanie dla każdej instytucji a przed wdrożeniem należy zrealizować dokładną analizę potrzeb.

Guardium IBM jako jeden z DBFW

Guardium IBM jest jednym z przedstawicieli rodziny narzędzi zaprojektowanym do realizacji ochrony danych w bazie danych. Główne cechy charakterystyczne dla systemu IBM: niskie obciążenie bazy danych, szybka reakcja, łatwość w integracji, transparentność, możliwość wdrożenia wirtualnego, system agentowy, Jedną z najważniejszą cech charakterystycznych jest szybkość reakcji liczona w milisekundach, która nie jest uciążliwa dla użytkownika końcowego. oraz niskie obciążenie systemu na poziomie około 1% CPU. Preferowane model wdrożenia zakłada tylko analizę zapytań od  użytkowników uprzywilejowanych, lecz jest również możliwość wdrożenia dla całych aplikacji. Powodem dlaczego rozwiązanie jest preferowane dla użytkowników jest fakt iż aplikacje są wrażliwe na choćby minimalne spadki wydajności (efekt skali zapytań) oraz aplikacje z zasady są przetestowanymi i zoptymalizowanymi rozwiązaniami, które powinny być projektowane/wykonane z dbałością o sztukę pod kątem bezpieczeństwa IT. Na plus należy zaliczyć, że rozwiązanie pozwala analizować nie tylko bazy danych o strukturze relacyjnej (MSSQL, MySQL itd.), lecz również pozwala np. na weryfikacją baz plikowych.

2017-10-27T09:30:26+00:00

Zostaw komentarz