在目前的資料庫活動監控(Database Activity Monitoring,DAM)產品中,WareValley Chakra是少數能同時兼具資料遮罩功能的一套系統,目的是為了針對使用者透過應用程式存取資料庫的過程中,查詢結果裡面有機敏資料的狀況,能加以防護,以免資料外洩。

但值得注意的是,它僅提供基本的遮罩保護機制,並不是專門拿來作遮罩的工具,因此企業如果只是希望在資料庫安全稽核的功能應用下,同時擁有簡單的遮蔽資料功能,並且不需用到進階的自定遮罩格式與規則套用機制,該產品會比較合用。

此外,它也能用來控管特定的資料庫使用行為,自動發出警示或予以阻擋,並且提供完整的記錄與稽核機制,可涵蓋資料庫連線、SQL指令執行,以及透過Telnet、SSH、FTP、Rcmd遠端登入資料庫系統的行為。同時,Chakra對於資料庫的查詢動作與結果回覆,也可以做到雙向記錄的功能(預設只記錄使用者的查詢指令)

而Chakra對於這些稽核記錄內容的保護,主要是在管理者檢視時會有遮罩,但對於記錄下來的原始資料並不會進行修改,以免影響資料的關聯性與證據力。

提供簡易的資料遮罩機制

系統建置上,Chakra支援多種部署模式,例如監聽網路封包的Sniffing模式,以及置於資料庫系統前的閘道模式,而該套產品若要執行資料遮罩功能,需在閘道模式下才能進行。

在控管政策的類型中,在這套產品的網頁管理介面Chakra Manager中,IT人員可針對稽核記錄、警示、遮罩與SQL指令的控制,設定相關的政策來防護資料庫安全。

其中的遮罩政策的管理,就是在Chakra能否實施資料遮罩應用的關鍵。

首先,對於資料庫欄位套用遮罩字元使用上,預設是「*」字元,使用的企業並不能自行改用其他字元,來遮蔽機敏資料,而這適用於所有資料庫的一般純文字欄位。

若需針對數字型態資料欄位套用遮罩,Chakra也只能固定使用1或*,如果是日期∕時間型態的資料欄位,則固定套用1970/01/01 00:00:00。而且這兩種形態的資料要靠Chakra作遮罩,還有資料庫平臺限制,數字型態的資料遮罩,需在Oracle Database、SQL Server和MySQL的資料庫環境,日期∕時間型態的資料遮罩僅限Oracle。

其次,在遮罩應用類型上,Chakra可設定遮蔽特定資料欄位的全部內容或遮蔽部分內容等兩種。其中,後者只能支援純文字類型的資料欄位,設定遮罩規則時,除了指定資料表與欄位之外,若希望把iThome遮蔽成i*ho*e,IT人員可以設定成_*__*_的遮罩格式來定義(字元排列位置中,需遮蔽的是以*表示,不需遮蔽的是以底線表示)。同理,若設定成***,經過處理後就會變成***home。

對於已經設定好的遮罩規則,Chakra的網頁介面上也提供搜尋的機制。而經過遮罩的SQL執行後,結果會顯示在Log Analyzer主功能頁面的Alert分頁下,管理者可以在Alert Policy選取名為Marked SQL的條件,即可過濾出與資料遮罩有關的執行結果,若點選細部資訊的連結,可以看到預設的遮罩理由是「This SQL is masked.」。


相關報導請參考「個資遮罩:既保護個資,也讓流程不打結」


Advertisement

更多 iThome相關內容