稽核很討厭不解釋(哭泣)
不過資料庫稽核不一樣啦,這次的好文章是資料庫稽核喔。
各位大大平時在公司都是怎麼做這個啊(搔頭)?
資料庫稽核,其實沒有那麼棘手!
談到資料庫安全,最重要的兩件事,就是稽核與加密,然後者對應用效能影響較大,且需配合修正前端應用程式,可謂茲事體大,所以往往被擺到最後執行順位;因此「稽核」就成為IT管理者的優先任務,惟此事看似較易上手,但仍具相當執行難度,仍有不少人視此為畏途。
隨著新版個資法上路,面對嚴苛罰則,任憑神經再怎麼大條的企業,想必都不會視而不見,即使未必會立即為此斥資購進大把資訊安全配備,但最起碼,針對個人資料或機敏資料的集結處、也就是資料庫系統,進行必要的安全控制,即可謂事不宜遲。
一旦有效落實資料庫安控,IT管理者即可快速掌握並處理重大安全違規事件,不容竊賊任意搬走個資資產,並可保留完整跡證,以作為日後訟訴或求償之用;依此看來,稽核與加密等兩項攸關資料庫安控的舉措,顯然有其執行必要。
既然非做不可,多數企業也都願意展開相關評估,且評估的起點,經常都是資料庫加密,主因在於,一般從事IT、安控或稽核的人員都認為,只要做好帳號與權限控管,再針對個資進行加密處理,可謂終極保護措施。惟評估到最後,加密通常被順延至最末執行項目,只因它對於應用服務效能影響甚大,同時需要配合改寫應用程式的改寫、變更連線方式,具有較高複雜性。
那麼,相對不複雜的資料庫稽核,無疑成為企業務必優先執行的要務;但其實此事亦非輕而易舉,不僅如同加密,也會影響應用效能,只是程度較輕而已,甚至由於資料稽核功能需求經常被過度放大(例如判斷黑白名單等等),徒然加重管理負擔,使得部分IT管理者仍然敬謝不敏,百般不願採取稽核措施,就算形勢使然不得不做,也會降低稽核等級,僅記錄諸如系統開關機、特權使用者登入等基本資訊。。
做稽核拖垮效能? 因資料庫而異!
持平而論,稽核作業必定會影響資料庫性能,連帶拖累前端執行的應用程式,著實無可避免;但即使如此,不同廠牌資料庫系統所受的影響程度,其實並不一致,企業若能從中取其輕,即可把負面效應減至最低。
以微軟SQL Server為例,縱使執行稽核,對於應用效能的衝擊亦屬輕微,能夠有效化解管理者的疑慮。只因該資料庫奠基Windows平台,彼此系出同門、兄友弟恭,著眼於整體系統的最佳化運作,資料庫面對OS的資源定位,始終保持最理想的協調性,所以即便資料庫性能因稽核而稍受影響,OS仍可掌握足夠資源,撐住前端應用程式的運行效率,不致牽一髮而大動全身。
反觀其餘若干資料庫,與作業系統之間並無兄弟邦誼,對於資源定位,難免顧念自身需求而「狼吞虎嚥」,將大把資源據為己用,譬如從整個系統2GB記憶體中拿走多達1.9GB,按此比例原則,資料庫本身的效能良窳,就會對整體應用效能產生重大影響,若因執行稽核而拖慢資料庫腳步,便將產生骨牌效應,讓前端執行的應用程式效能下降得更厲害。
稽核尚且如此,論及衝擊更為劇烈的加密,其實也有相同問題。如果是SQL Server,運用內建加密功能,即可對機密資訊產生保護,亦可拜相對精準的OS資源定位所賜,不致對應用執行效率構成重大衝擊;至於其他資料庫,如前所述,礙於框限的資源比重頗大,其本身若因加密而拖累效能,與之配合的前端應用程式,在更無豐沛資源庇蔭下,所受衝擊自然更大。
稽核記錄化為報表 需加購額外工具?
多數情況下,只要談到資料庫稽核,都意指進出資料庫的存取記錄,這些記錄是以一條條Log呈現,為可視化程度不高的Raw Data,必須被轉化為報表,方能產生管理價值。
對於許多資料庫用戶,欲將Log轉成為符合安全規範要求的各式稽核報表,要嘛即需向資料庫廠商追加採購相關工具或應用程式,要嘛就得花更多錢,引進報表軟體或BI系統,以便產出更美觀的報表;但無論如何,兩者都涉及額外預算,企業老闆未免會花得心甘情願,即使咬牙放行,對於IT人員又不免徒增管理負擔,凡此種種,亦是導致資料庫稽核「不甚討喜」的因素之一。
然SQL Server本身內含SQL Server Audit元件,用戶無須額外採購,即可依據個資法等資安規範,輕鬆將資料庫的行為記錄轉製為稽核報表,舉凡有權限的使用者存取或登入失敗記錄、系統管理權限使用記錄、資料庫結構調整記錄…等等,都能化為清晰可見的管理資訊,便於推動後續審計作業;倘若管理者需要獲得更加美侖美奐的報表,亦可動用SQL Server內建的Reporting Services,一樣不需額外花費。
更有甚者,用戶可將SQL Server納為System Center集中管制的一環,據此發揮實更大範圍的個資管控效益;例如結合Sharepoint實現「資料不落地」妙效,結合Active Directory實施更精準的權責區分,亦可藉由資料庫稽核、伺服器、網路登入等多方記錄的交互比對,讓安全違規事件更加無所遁形。