Когда большинство IT-специалистов задумываются о повышении уровня безопасности своих баз данных, то мониторинг активности баз, шифрование и патч-менеджмент - первое, что приходит на ум для того, чтобы оградить свои уязвимые хранилища информации от нападения. Все это, безусловно, необходимо, чтобы создать надежную защиту, но бросаться в такие проекты без надлежащего разделения информации и сегментации сети – то же самое, что ставить телегу впереди лошади.
"Средние и крупные организации недостаточно сегментированы", - говорит Крис Новак генеральный директор Verizon Business. "Базы данных в таких организациях распространяются на офисы, учебные заведения и промышленные комплексы по всему миру. И если они не сегментированы, то риск для базы данных в одном месте, приводит к повышенному риску по всему миру".
По мнению экспертов, сегментация сети закладывает основу для наиболее эффективной работы программ защиты базы данных, по ряду причин, но, пожалуй, самой важной из них является прагматизм. Хотя способы защиты баз данных значительно улучшились за последние несколько лет, защита очень многих организаций по-прежнему далека от совершенства.
И в действительности, защита наиболее важных баз данных предприятий осуществляется "абсолютно ужасно". Так оценивает её доктор Майк Ллойд, главный технический директор RedSeal Systems, потому что, по его словам, чем важнее информация, которую нужно охранять, тем меньше действий предпринимается для этого.
"Понятно, что предприятия сфокусированы на работоспособности. Когда каждая минута простоя базы данных несет серьезные убытки, владельцы приложений очень неохотно применяют патчи. Необходимость тестировать любой патч также гораздо выше. И, конечно, некоторые контрмеры могут привести к снижению производительности. И получается, повторюсь, что самые важные машины имеют самые слабые типы активной защиты",- сказал он. "В итоге получается, что если вы оцените, насколько хорошо пропатчены различные IT-серверы в компании, вы, как правило, сможете найти их обратную связь с бизнес-критичностью. Более важные активы патчатся гораздо реже".
Хотя самостоятельная деятельность предприятий по усилению сохранности баз данных не обязательно является непосильной и невыполнимой задачей, но она может увести компанию по неправильному пути. Реализация тщательно спланированной программы безопасности, покрывающей сотни или даже тысячи баз данных, может занять много времени. В то же время организации не могут позволить себе оставить важные данные без защиты. Проведя сегментацию сети и разделив информацию по степени важности, можно эффективно выполнить сортировку базы данных, дополнив систему безопасности компенсационными средствами контроля за наиболее важной информацией.
"Если ты не можешь поддержать "коронные" сервера самыми последними, на данный момент, патчами, то тебе нужно поместить эти наиболее важные активы в "зону" и защищать их", - посоветовал Ллойд. "Эту модель обеспечения безопасности можно назвать "Парень в пузыре" - тебе нужно защищать эти наиболее чувствительные машины, используя внутренний периметр, потому что постоянно патчить, в данном случае, не вариант".
Сегодня, некоторые специалисты по безопасности баз данных могут обидеться на позицию Ллойда касательно политики использования патчей. В конце концов, увеличение интенсивности патчения баз данных было любимым занятием для многих экспертов по безопасности в течение нескольких лет. Но, смирился ли ты с низкой интенсивностью патчения, или нет, сегментация поможет тебе защитить критически важные базы данных.
"В идеале, ты хочешь снизить незащищенность путем разделения информации", - сказал Новак. "Даже если ты проделал хорошую работу, ты все равно не сможешь избежать различных инцидентов, но ты хотя бы сможешь заставить кого-то, кто мог бы просто войти через парадную дверь, преодолеть несколько запертых дверей, прежде, чем он доберется до твоих сокровищ".
На самом деле, хорошая сегментация может помочь в подготовке к применению повышенных мер безопасности, потому что часто самое трудное в обнаружении наиболее важных данных – это определение того места, где они находятся.
