以UTM起家的Fortinet,針對資料庫安全稽核推出的FortiDB,主要針對主機端的監控,所以該系列產品透過代理程式搜集存取資料庫的行為,違反政策的行為將傳送到後端專屬的管理伺服器儲存。伺服器有400B、1000B及2000B等3種規格,主要差別在監控的資料庫數量。

代理程式相較於網路的解決方案,沒有漏失封包的疑慮。不過針對企業採用共用帳號存取資料庫的情況,FortiDB記錄下來的是存取資料庫的帳號,未必能追蹤到真正的使用者,必須再搭配身分認證的解決方案。

包含弱點掃描和安全稽核兩種功能

FortiDB的架構是安裝代理程式(Agent)於資料庫,透過政策(Policy)的定義,針對違反規定的存取行為,傳送記錄至後端的管理伺服器。目前FortiDB支援的資料庫包括DB2、SQL Server、Oracle、Sybase及MySQL。

這款產品主要功能,包括弱點評估(VA,Vulnerability Assessment)和稽核兩部分。代理程式安裝完成後,系統便自動偵測資料庫伺服器上所有的DB,進而盤點資料庫的資料表及欄位,還包括偵測密碼、存取權限和組態設定等方面的弱點,提示系統管理員潛在的威脅,並提供修正的建議。

在功能部分,Fortinet表示針對明顯的攻擊行為,在前端的WAF(Web Application Firewall,應用程式防火牆)就會擋下來,所以這款產品的主要訴求是在「稽核」,它能完整記錄已發生的資料存取活動,以供稽核之用,並不包含阻擋的功能。

內建黑/白名單,作為企業設定政策的參考

政策制定方面,FortiDB包括弱點掃描以及存取行為的政策。弱點評估方面的政策,例如修改密碼的頻率等,而稽核政策則是定義需要記錄下來,例如未被授權的存取、變成規格(Schema)、權限變更、失敗的登入或存取,並搭配警示(Alert)機制通知負責人員。

針對記錄下來的行為,FortiDB可以定義嚴重等級,這方面在資安法規上,有明確的要求。除此之外,FortiDB也內建的黑/白名單,提供企業作為設定的參考,並且定期更新範本。

由於代理程式安裝於資料庫本機,多少會占用系統的處理器與記憶體資源,原廠表示根據經驗不會超過10%。為了避免耗費資源,FortiDB系統本身預設不記錄正常的存取行為,企業若希望再降低伺服器的資源耗用,原廠建議簡化政策設定,或者利用群組功能,以降低政策的數量。

共用帳號問題是企業的一大挑戰

相較於網路監控的方式,透過代理程式在資料庫本機監控存取行為,好處在於不會有漏失封包的風險,再者以加密方式連線至主機的資料存取行為,一般網路設備是無法監控的,而代理程式就沒有這類的問題。

不過,代理程式所面臨的挑戰,是許多企業的應用程式,以共用帳號的方式存取資料,導致代理程式記錄的資料庫使用者帳號,未必能對應出確切的使用者真正身分。

透過Checksum比對,確保資料不被竄改

FortiDB記錄下來的資料,系統將以Checksum(檢查碼保護),驗證完整性。若有管理者登入FortiDB刪除資料的疑慮,原廠建議資訊安全與系統管理的角色要做到權責分離,再者,可以設定透過Syslog或者SNMP Trap傳送警訊通知相關人員。

同樣的,資料庫上的代理程式若是當掉或者被有心人士關掉,系統本身也會留下記錄,但是為釐清責任歸屬,最好也做到資料庫管理者與資安人員的權責分離,以避免完全由同一個人負責,會有產生弊端的風險。

提供法規模組,協助產生稽核報表

稽核報表部分,FortiDB預設提供約30個報表,管理者可根據使用者權限、執行的SQL指令、資料表……等資訊,層層下掘分析存取行為的合法性。

針對資安法規的部分,FortiDB目前提供沙賓(SOX)及PCI的模組,提示使用者關於法規需要的內容,經由簡單的拖拉點選動作,系統便可產出符合法規的稽核報表。

除了法規的要求,為因應內部稽核的需要,管理者也可以透過管理介面自訂報表線上查詢,或者設定排程,定期產出報表以電子郵件派送給指定的人員。

基於資訊安全上的考量,FortiDB不允許外接資料庫或儲存設備,但可以透過備份的方式,定期將歷史資料備份至外部儲存設備。備份出來的內容,報表部分是PDF、CSV等格式,所以使用者可以直接檢視,但是記錄資料的部分,若有需要仍須倒回FortiDB才能開啟。

 

包括弱點掃描和存取行為的政策設定

FortiDB的政策包括弱點掃描及存取行為的設定。弱點掃描方面,例如修改密碼的頻率;而稽核政策則是定義需要記錄下來的行為,例如未授權的存取。

 

資料庫管理

管理者可以在FortiDB中自行新增或刪除納管的資料庫,或者透過自動偵測的方式搜尋。為方便管理,也可設定群組。

 

 

產品資訊

Fortinet FortiDB

●原廠:Fortinet

●產品屬性:硬體+軟體

●建議售價:80萬元起

●原廠網址:www.fortinet.com

●聯絡電話:(02)2796-1666

●代理商:群環科技/(02) 2389-0808、力麗科技/(02) 2100-2458、懇懋科技/(02) 6600-9669、聯達資訊/(02) 6606-8189

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「資料庫安全稽核產品採購大特輯」

 


Advertisement

更多 iThome相關內容