比起业务和功能的先行,安全的发展似乎总是慢人一步。但随着IT基础设施对各行业的渗透,无论是本地还是云上对数据安全能力愈加重视,需求也愈加迫切。
国内近几年出现了一些数据库安全厂商,如安华金和、汉领信息、中安比特、昂楷科技等,他们的在国内数据安全市场的声音越来越大;而国外,专注数据库安全的Guardium,结合IBM在全球的影响力优势,也慢慢开始在中国市场发力。
从独立安全企业到“安全免疫体系”中的一员
时间倒退回2002年,一家名为“Guardium”的数据库安全公司在在以色列成立。
Guardium是当时行业内唯一一家拥有针对主机(大型机)安全监控解决方案的安全厂商。同时,Guardium推崇通过在数据库系统上安装轻量级“探针”(软件),从而实现从底层抓取所有对数据库的访问行为。因其部署灵活、对数据库系统资源消耗小、数据库访问行为覆盖全面等特点,Guardium在7年间积累了约400名客户,公司的规模也成长到了150人左右。
2009年末,IBM以2.25亿美元的价格,正式对外宣布完成对Guardium的收购,并决心利用其在“主机安全”领域的优势,为IBM自身的数据库产品(例如IBM DB2)赋能,使其在对数据库的访问活动监控能力有所增强。
2012年,IBM Security 正式成立,原来分散在各子部门的安全产品得到有效的整合。Guardium 系列也开始作为其在“数据安全”领域的独立产品推出。
2016年,IBM Security整合其在数据安全、应用安全、网络安全、终端安全、移动安全、高级防欺诈、身份和存取控制以及安全智能等8个安全领域的产品线,并结合IBM X-Force推出IBM“安全免疫体系”,而Guardium Suite正是其“数据安全”产品类的主力。
安全免疫体系
IBM的优势并不在于其在某项领域的专精程度,相反,通过对细分领域处于领先优势厂商的收购并购,并将其产品技术能力彻底的吸收消化,再整合到自己的现有的产品线中,发挥其更大的作用,这才是这个巨人的真正强大之处。
部署和合规上的优势
从Guardium在2002年成立之初,技术思路就是通过在数据库系统上安装探针软件的方式,实现基于策略的数据流量转发。
S-TAP探针部署
做数据库安全的客户,都想要知道这些数据:什么人,在哪些时间,访问了哪些数据资源。而这需要无论是来自网络层协议通信的应用,还是通过高权限账号从本地直连到数据库的服务器,对数据库的访问信息的抓取都要做到全覆盖。而通过在数据库服务器上安装探针的方式,可以做到把无论是来自本地还是网络的所有操作都抓到。
Guardium的探针本身是操作系统层的软件,与数据库的配置无关,同时作为一个轻量级的进程,从运维的角度来讲对数据库系统资源的消耗非常小,即使是在数据库发生大规模并发访问的情况下,也不会影响其正常运行。
同时,探针软件对平台和主流数据库的非常广泛,国内厂商几乎无人能出其右。而云环境下的探针部署,也因为其运行在OS层而几乎不受影响。无论是VM还是物理机,只要运行的操作系统不变,探针就可以正常工作。
Guardium所支持数据平台类型
除了探针的部署以外,在合规方面,“自动化合规”是目前数据库审计市场大部分客户的需求。因为客户的合规本身是一个成本很高的过程,所以在实际的客户合规过程中,客户往往要做很多额外的的工作。而Guardium本身内嵌了许多“现成“合规最佳实践。例如金融行业的PCI DSS(第三方支付行业数据安全标准)、SOC(萨班斯法案)、SAS70、ISO 27001/2以及”数据隐私法”等甚至还没在中国大陆正式推行的相关规定,都包含在Guardium其中。这无疑给用户的合规带来了极大的便宜。除此以外,对企业内部的“内审”合规性要求,Guardium也能通过其灵活的部署和配置给予最大程度的支持。
PCI DSS 审计
从数据库安全向数据安全的延伸
对大数据平台的支持
因为受Guardium本身的基因所限,IBM在收购后很长一段时间之内,还是以数据库安全的思路来做。但随着大数据技术尤其是Hadoop大数据处理平台在2011年后的快速发展与广泛的商业化应用,IBM也开始逐渐与一些业内影响广泛的大数据厂商(如Cloudera、Hortonworks)合作,而Guardium也从那时开始了对大数据平台支持的研发。
Guardium对Hadoop集群的支持
无论是国内还是国外,有很大一部分的大数据厂商,其发行版的底层都是基于开源的Hadoop来做,而在上层封装的定制化服务,则可以帮助用户进行一系列的操作和访问。而Guardium团队最大的优势,就是在于利用IBM现有的资源和影响力和这些大数据厂商一家一家的洽谈,了解他们底层的开发架构是什么样子,命令的执行又是怎样的。所以通过这些上层服务对数据库的访问行为,可以完全被Guardium所获知。再加上因为Hadoop架构应用的广泛性,Guardium对这些基于Hadoop的大数据厂商的产品理论上都可以实现比较好的支持。
因为现在很多企业都会选择将重要的数据放进这样一个平台做全方位的关联分析,原先黑客可能攻破一个数据库只能拿到这个公司的部分业务信息,而如果是大数据系统出现了问题,发生了数据泄露事件的话,可能就会对公司业务产生巨大的负面影响。
而针对大数据平台的数据安全市场和客户方面,IBM曾向媒体表示,目前IBM已有一个比较大的国内“运营商”客户开始用Guardium保护他们的大数据系统,而IBM也在积极地和世界各地的大数据厂商展开合作,除了之前提到的Cloudera和Hortonworks外,还有国外用的比较多的MongoDB以及IBM自己的BigInsights,Guardium对这些基于Hadoop的大数据平台的支持情况都很不错,IBM认为未来这块市场会比较广阔。
Guardium对MongoDB集群的支持
和IBM现有资源的联动
IBM最大的优势,在于其对整个IT行业的布局和所拥有资源的联动整合。而这同样也会反映在其企业如收购并购等重大的战略决策上。IBM在2009年收购Guardium的时候,其对“主机安全”监控的支持以及与IBM现有主要产品线(比如全球金融系统都用于存放核心业务数据的IBM DB2)的契合是打动IBM的首要原因,也是促成此次收购的先决条件之一。
除此以外,在整个“安全免疫体系”中,Guardium和处于“大脑”位置的SOC平台QRadar的“双向集成”,也是Guardium与其它同类产品区别的明显特点。处于“安全智能”领域的QRadar,会整合客户网络中的SIEM提交的日志分析结果、漏洞状况报告以及风险和资产等数据,并结合IBM X-Force平台提供的实时威胁情报以及Watson for Cyber Security实现联动,分析客户网络的安全环境和外部威胁,检测异常行为和安全事件的发生并通过Resilient系统反馈给用户应急响应流程。整个从检测到分析再到响应的过程,各个安全产品都是联动的,而处于数据安全类的Guardium也是如此。
Guardium与QRadar的双向集成
不只是将Guardium所筛选出来的和数据安全相关的信息推送到QRadar帮助QRadar做出分析判断,更是在QRadar获得情报后,例如发现攻击行为或者说某个数据系统是一个受攻击目标后,作为一个“指挥官”一样的角色去命令Guardium把当前某一个恶意链接断掉,甚至是说短时间隔离出去,并为后期的调查取证以及实时的应急响应,争取一些时间上的优势。这才是所谓的“双向集成”。也就是说,Guardium可以和QRadar做到某种程度上的互动,不仅仅是我告诉你一些情报,而是在处置的过程中可以联合起来,做一些保护的动作。
当然,Guardium和类似QRadar的SIEM或是SOC平台的集成并不局限于QRadar,例如惠普的Arcsight等,以及一些国内用户使用SIEM和SOC平台,只要都是使用符合某些通信标准的协议格式,例如leef格式(Log Event Enhanced Format),Guardium都可以集成其中,发挥起自己在数据安全领域的能力。
数据安全分析
最早Guardium的设计初衷是实现数据库的监控,包括前文所提到的对主流行业标准的自动化合规。换句话说,并不是那么强调从安全的角度来讲看问题。而发展到今天,IBM的“安全免疫系统”则是更重视从“安全”的视角解决问题。那么,如何将一些底层的技术数据,向业务层面转化,发现一些规律性的内容,并最终应用到安全上,是Guardium进行数据安全分析的目标。
数据安全分析
例如,从客户的时间维度来看,数据库的访问是有规律的,客户的业务时间也是有规律的,Guardium则是要把这个规律先找到。实际上Guardium在其系统里已经内建了机器学习的引擎,并可以根据你历史访问活动的信息刻画出一个数据的访问“基线”,而之后则可以利用这个基线对后期的访问活动做一些判别。
回望中国数据安全市场,国内一些专注于数据安全这一细分领域的厂商,近几年发展的速度非常迅猛。无论是本地还是云上,市场对数据安全的需求一直很强烈,而各家客户数据库类型和操作系统的纷繁复杂也给国内这些厂商在技术能力上设置了不小的“关卡”。同时,无法和这些国际上主流的数据库厂商建立交流和合作机制、难以实现对各家数据库产品的深度兼容,也是这些数据安全厂商亟待解决的问题。
反观IBM,除了保持并扩大目前在技术、资源上的积累优势外,是否能让自己的安全产品更加“接地气”,更习惯于倾听中国客户的声音,让安全产品在细节上更契合中国用户的使用习惯,我想尤其是对于像IBM这样的全球“巨人”来讲,绝不会是一件容易的事情。但是,值得期待。
