Інструменти безпеки в системі керування базами даних (СКБД) MySQL Enterprise Edition

Головна Новини та огляди Інструменти безпеки в системі керування базами даних (СКБД) MySQL Enterprise Edition

25.04.2024

У світі, де кількість кіберзагроз постійно зростає, захист і безпека конфіденційної інформації від несанкціонованого доступу й кібератак стає критично важливим завданням для безперервної роботи, збереження репутації та фінансової стабільності.

Тому в редакції MySQL Enterprise Edition наявні такі засоби для безпеки даних:

Enterprise Authentication: зовнішні модулі автентифікації;
Enterprise Encryption: криптографія з відкритим/приватним ключем, асиметричне шифрування;
Enterprise Transparent Data Encryption (TDE):шифрування 256 AES, керування ключами;
Enterprise Masking and De-identification: деідентифікація, анонімізація конфіденційних даних;
Enterprise Firewall: блокування атак SQL-ін'єкцій, виявлення вторгнень;
Enterprise Audit: аудит активності користувачів, відповідність нормативним вимогам.

MySQL Enterprise Authentication

MySQL Enterprise Edition готовий до використання зовнішніх модулів автентифікації для легкої інтеграції наявних інфраструктур безпеки, включно з модулями автентифікації Linux Pluggable Authentication Modules (PAM) і Windows Active Directory. Автентифікуючи користувачів MySQL із централізованих каталогів, організації можуть запровадити систему єдиного входу. Можливо використовувати однакові імена користувачів, паролі та дозволи. Це робить адміністраторів MySQL продуктивнішими, усуваючи необхідність керувати обліковими даними в окремих системах. Це також сприяє поліпшенню безпеки ІТ-інфраструктури завдяки використанню наявних правил і процесів безпеки (наприклад, визначення слабких паролів і керування терміном дії пароля).

MySQL Enterprise Encryption

Щоби гарантувати захист конфіденційних даних протягом усього їхнього життєвого циклу, MySQL Enterprise Encryption надає галузевий стандарт функціональності для асиметричного шифрування (криптографія з відкритим ключем). MySQL Enterprise Encryption забезпечує шифрування, генерацію ключів, цифрові підписи та інші криптографічні функції, аби допомогти організаціям захистити конфіденційні дані та відповідати нормативним вимогам.

MySQL Enterprise Encryption дає змогу:

захистити дані за допомогою комбінації відкритих, закритих і симетричних ключів для шифрування і дешифрування даних;
шифрувати дані, що зберігаються в MySQL, за допомогою алгоритмів шифрування RSA, DSA або DH;
додавати цифровий підпис до повідомлень, щоби підтвердити автентичність відправника (невідмовність) і цілісність повідомлення;
усувати непотрібний доступ до даних, дозволивши адміністраторам баз даних керувати зашифрованими даними;
взаємодіяти з іншими криптографічними системами та пристроями без зміни наявних програм;
уникнути розкриття асиметричних ключів у клієнтських програмах або на диску.

MySQL Enterprise Transparent Database Encryption

MySQL Enterprise Transparent Data Encryption (TDE) захищає важливі дані завдяки шифруванню даних у стані спокою в базі даних MySQL Enterprise Edition. Ця опція забезпечує конфіденційність інформації, запобігає витоку даних і допомагає відповідати нормативним вимогам, зокрема:

General Data Protection Regulation (GDPR);
Payment Card Industry Data Security Standard (PCI DSS);
Health Insurance Portability and Accountability Act (HIPAA) тощо.

MySQL Enterprise TDE забезпечує шифрування даних у стані спокою через шифрування фізичних файлів бази даних, використовуючи стандартні алгоритми AES. Дані шифруються автоматично в режимі реального часу перед записом у сховище й розшифровуються під час читання зі сховища. Як результат, хакери та зловмисники не можуть прочитати конфіденційні дані безпосередньо з файлів бази даних.

MySQL Enterprise TDE використовує дворівневу архітектуру ключа шифрування, яка складається з головного ключа шифрування і ключів табличного простору, що забезпечує легке керування і ротацію ключів. Керування ключами табличного простору здійснюється автоматично через захищені протоколи, а головний ключ шифрування зберігається в централізованому рішенні для керування ключами.

Шифрування і дешифрування таблиці бази даних відбувається без будь-якого додаткового кодування або модифікацій схеми. Крім того, користувачі та програми продовжують отримувати доступ до даних прозоро, без змін.

MySQL Enterprise Masking and De-Identification

Функціонал MySQL Enterprise Masking and De-identification надає користувачам MySQL Enterprise Edition просте у використанні вбудоване рішення, яке допомагає захистити конфіденційні дані від несанкціонованого використання завдяки приховуванню та заміні справжніх значень замінниками.

Маскування і деідентифікація у MySQL Enterprise Edition дає змогу:

дотримуватися нормативних вимог і законів про конфіденційність даних, як-от GDPR, PCI DSS тощо, які вимагають деідентифікації даних;
значно зменшити ризик витоку даних завдяки запобіганню несанкціонованому доступу до конфіденційних даних;
захистити конфіденційну інформацію, покращуючи середовища розробки, тестування і аналітики.

Маскування даних у MySQL Enterprise Edition реалізовано на самому MySQL Server, тому логіка маскування централізована й має мінімальний вплив на продуктивність.

Маскування та деідентифікація у MySQL Enterprise Edition можуть приховувати або маскувати конфіденційні дані, керуючи тим, як дані відображаються. Функціональність передбачає надійні алгоритми маскування, включно з вибірковим маскуванням, розмиттям, випадковою заміною даних та іншими спеціальними методами для номерів кредитних карток, рахунків та іншої особистої інформації, що допомагає ІТ-відділам підтримувати структурні правила для деідентифікації цінностей. Функції маскування і деідентифікації MySQL Enterprise передбачають:

вибіркове маскування: приховує певну частину чисел або рядків, як-от номери телефонів і номери платіжних карток;
випадкова заміна даних: заміна реальних значень на випадкові за збереження узгодженості формату;
розмивання-додавання випадкової дисперсії до наявних значень, наприклад, рандомізованих числових діапазонів для зарплат;
підстановка в словнику: випадкова заміна значень зі словників для певних завдань;
чорний список і заміна: заміна даних, які містяться в чорному списку, за збереження без змін місця даних і самих даних, які не додані до чорного списку.

MySQL Enterprise Firewall

Опція MySQL Enterprise Firewall убезпечує від загроз кібератак, надаючи захист у режимі реального часу. Будь-яка програма, яка вводить дані користувача, як-от поля для входу та особистої інформації, перебуває під загрозою. Атаки на бази даних здійснюються не лише із застосунків, а і з багатьох інших джерел, зокрема атаки SQL-вірусів, або через неправильне використання співробітниками.

MySQL Enterprise Firewall захищає дані MySQL Enterprise Edition завдяки моніторингу, попередженню і блокуванню несанкціонованої активності бази даних без будь-яких змін у програмах. MySQL Enterprise Firewall має кілька режимів роботи, щоби допомогти адміністраторам блокувати, виявляти й реагувати на зловмисні атаки на бази даних:

Allow (Дозволити) – оператори SQL виконуються і генеруються результати для операторів, які відповідають затвердженому білому списку;
Block (Блокувати) – блокується виконання операторів SQL, які не відповідають затвердженому білому списку;
Detect (Виявлення) – оператори SQL, які не відповідають білому списку, виконуються, а адміністратори сповіщаються про порушення політики.

MySQL Enterprise Firewall блокує атаки SQL-Injection (SQL-ін’єкції), які можуть призвести до втрати цінних особистих і фінансових даних. Створення білого списку, моніторинг загроз у реальному часі, блокування операторів SQL і сповіщення надають змогу адміністраторам баз даних захищати активи даних.

MySQL Enterprise Firewall відстежує загрози базі даних у режимі реального часу. Усі вхідні запити проходять через механізм аналізу SQL і зіставляються із затвердженим білим списком очікуваних операторів SQL. Атаки SQL блокуються, якщо вони не надають очікувані оператори.

Твердження, які не відповідають затвердженому білому списку, блокуються, реєструються і можуть бути проаналізовані, щоби допомогти заблокувати потенційну атаку SQL-ін’єкції. Це надає адміністраторам баз даних цінну інформацію для запобігання зловмисним атакам, викраденню облікових даних і втраті даних.

MySQL Enterprise Audit

Для відповідності нормативним вимогам у медичному, фінансовому, державному та інших секторах щодо оброблення і зберігання персональних даних обов’язковим є журналювання, архівування та доступ «за запитом» до журналів аудиту, які зберігають дані про перегляд і роботу з найбільш конфіденційними даними та дії з ними.

MySQL Enterprise Audit надає просте у використанні рішення для аудиту, яке допомагає запроваджувати ефективніші засоби контролю безпеки й відповідати нормативним вимогам.

MySQL Enterprise Audit надає адміністраторам баз даних необхідні інструменти для додавання вимог аудиту.

Визначення користувачем спеціальних подій журналу аудиту. Можливість додавати спеціальні події до журналу аудиту MySQL, надаючи додаткову інформацію щодо викликів SQL. Наприклад, номери відстеження, посилання на квитки служби підтримки або інший контекст програми.
Шифрування. Файли аудиту тепер можна шифрувати за допомогою стандарту AES-256. Ці файли можуть надаватися і розшифровуватися зовнішніми програмами, які мають ключ шифрування.
Відповідність стандартам і нормативним вимогам. Надання даних, які необхідні організації та аудиторам для відповідності вимогам.
Легка інтеграція зі сховищами та сховищами аудиту. Легке архівування й аналіз журналів аудиту на основі XML за допомогою Oracle Audit Vault та інших сторонніх рішень, включно зі Splunk.
Динамічність і простота керування. Динамічне вмикання і вимикання потоку аудиту, зміна фільтрів без простоїв.
Низькі накладні витрати. Збирання важливих даних аудиту без впливу на продуктивність, використання дрібного зерна фільтрації для мінімізації розміру журналу аудиту та впливу на введення-виведення.
Досягнення цілей безпеки за допомогою комплексного аудиту. Можливість перевіряти діяльність адміністраторів баз даних, доводити достовірність даних і здійснювати аналіз для розслідування або виявлення.
Видалення конфіденційних даних і фільтрація для захисту даних. Видалення конфіденційних даних зі звітів SQL у журналі аудиту, фільтрування за підключеннями, користувачами, доступом до таблиці, типом доступу, статусом оператора (успішно/невдало), вмістом запиту тощо.

Наявність усіх вище наведених опцій із безпеки в MySQL Enterprise роблять інфраструктуру цієї бази даних захищеною і такою, що відповідає сучасним нормативним вимогам до безпеки.

З усіх питань щодо продукції Oracle звертайтеся на адресу oracle@erc.ua