數(shù)據(jù)庫安全工具的用途異常廣泛，提供了安全、合規(guī)、甚至運營等方面的好處。這些產(chǎn)品可從第三方獲得，提供的數(shù)據(jù)庫安全級別遠高于關系數(shù)據(jù)庫管理系統(tǒng)(RDBMS)廠商為客戶提供的安全級別。

對數(shù)據(jù)庫評估(又叫數(shù)據(jù)庫安全漏洞評估)、加密、數(shù)據(jù)庫合規(guī)和測試數(shù)據(jù)管理、標記化和數(shù)據(jù)屏蔽等領域的數(shù)據(jù)庫工具來說，尤其如此。

下面是企業(yè)常常使用安全附件來加強數(shù)據(jù)庫安全的幾種典型的使用場合和方式。由于數(shù)據(jù)庫用來支持企業(yè)內部幾乎每一種應用程序和業(yè)務職能，你會發(fā)現(xiàn)數(shù)據(jù)庫無處不在。正是由于具有如此多樣的用途，我們發(fā)現(xiàn)對數(shù)據(jù)庫安全的要求同樣多樣化。

第一種使用場合：合規(guī)

合規(guī)無疑是推動數(shù)據(jù)庫安全開支的最大因素，這也是為什么大多數(shù)公司只把附加的安全技術部署到監(jiān)管部門審查范圍之內的那些數(shù)據(jù)庫上。監(jiān)管法規(guī)往往分為兩個不同方面：受《薩班斯-奧克斯利法案》驅動的反欺詐和確保客戶隱私的支付卡行業(yè)數(shù)據(jù)安全標準，后者受《金融服務現(xiàn)代化法》及諸多州隱私保護法規(guī)的驅動。

數(shù)據(jù)庫安全還受與合規(guī)有關的第三個因素：成本削減的驅動。為數(shù)據(jù)庫或數(shù)據(jù)庫管理的數(shù)據(jù)確保安全常常比為與這些數(shù)據(jù)庫相關聯(lián)的所有應用程序和網(wǎng)絡確保安全來得容易，而且省錢。

用來滿足合規(guī)的數(shù)據(jù)庫安全工具五花八門。比如：

•評估掃描工具可定期檢測范圍內的數(shù)據(jù)庫，查找已知的安全漏洞和(內部)策略合規(guī)。一些監(jiān)管法規(guī)要求定期評估數(shù)據(jù)庫，以查找安全問題、策略(配置)合規(guī)或兩者。

•權限審計，查明職務劃分是否落實到位，并尋找權限申請過度的情況，這由各監(jiān)管法規(guī)定義。雖然所有安全漏洞工具能在某種程度上評估數(shù)據(jù)庫平臺，但不是針對數(shù)據(jù)庫的工具都無法執(zhí)行這項任務：有資格地掃描和評估用戶權限。現(xiàn)在某些監(jiān)管法規(guī)要求這么做，確保用戶無法在指定范圍之外操作，并且發(fā)現(xiàn)用戶被分配多個角色等問題，這會導致利益沖突。這可以手動評估，但是如果有工具可以使用，那么使用工具高效得多。

•數(shù)據(jù)庫活動監(jiān)控(DAM)以監(jiān)控特權用戶，這常常是在合規(guī)項目使用DAM產(chǎn)品的最大一個原因。這會生成登錄/退出報告，還能跟蹤所有的系統(tǒng)活動，并提醒管理員和一小部分特權用戶何時查看了敏感信息。

•使用DAM用于綜合的合規(guī)報告，覆蓋多個數(shù)據(jù)庫和應用程序。安全信息和事件管理(SIEM)平臺并不收集必要的事件，內置的數(shù)據(jù)庫工具并不提供跨數(shù)據(jù)庫統(tǒng)一收集事件或策略執(zhí)行這種功能。策略級報告表明，控制措施落實到位，而其他報告提供了驗證控制措施必不可少的審計跟蹤記錄。大多數(shù)數(shù)據(jù)庫安全工具包括這類報告，滿足眾多主要監(jiān)管法規(guī)的需要，還有針對特定行業(yè)的定制格式。

•標記化和數(shù)據(jù)屏蔽，移除了敏感數(shù)據(jù)，因而將數(shù)據(jù)庫從合規(guī)范圍移除出去。如果敏感數(shù)據(jù)換成非敏感數(shù)據(jù)，合規(guī)需求同樣被移除。

第二種使用場合：Web應用程序安全

SQL注入攻擊是一種針對數(shù)據(jù)庫發(fā)動的攻擊。 雖然攻擊通過應用程序進入，但這是一種數(shù)據(jù)庫攻擊，它仍是過去十年三種最常見的攻擊途徑之一。幾乎所有的Web應用程序都由數(shù)據(jù)庫來支持，但由于面向公眾的是應用程序，應用程序開發(fā)人員常常事先并未考慮到數(shù)據(jù)庫，對它未加保護。雖然Web應用防火墻可以阻止一些SQL注入攻擊，但是一個主要局限是，它們未必明白所要保護的數(shù)據(jù)庫，所以往往出現(xiàn)誤報和漏報。

DAM產(chǎn)品和數(shù)據(jù)庫防火墻可以解決這些問題，不需要勞命傷財?shù)刂貙憫贸绦虼a，即可排除SQL注入攻擊和腳本安全漏洞。改寫企業(yè)應用程序以處理安全問題的成本常常超過最初開發(fā)應用程序的成本;而在其他情況下，按照現(xiàn)有的人員數(shù)量，不可能在短時期內拿出修正版。這就是為什么許多公司尋找可應對這些攻擊的附加工具。

比如說，只要新的查詢或模式出現(xiàn)，查詢白名單就會提醒管理員，或者明白應用程序應該發(fā)送什么數(shù)據(jù)、自動阻止之外的任何數(shù)據(jù)。市面上的一些工具甚至能將違規(guī)情況返回給Web應用程序防火墻，或者提醒，或者終止可疑會話，甚至阻止行為不端的IP地址。

第三種使用場合：變更管理和內部審計

關鍵數(shù)據(jù)庫在補丁和升級過程中因糟糕的變更管理而出現(xiàn)故障比因攻擊而出現(xiàn)故障更為常見。不像應用程序代碼變更，管理員通常徑直進入到生產(chǎn)數(shù)據(jù)庫，直接處理數(shù)據(jù)，很容易引起停運。增添DAM支持的閉環(huán)變更管理(也就是故障單系統(tǒng))可減少糟糕變更的可能性，并且大大加深了問責制，即便使用共享的登錄信息。

評估工具可以掃描數(shù)據(jù)庫，讓安全團隊和合規(guī)團隊可以驗證數(shù)據(jù)庫管理員盡到了本職工作。DAM用于閉環(huán)驗證：管理員的操作對應于特定的變更故障單，而監(jiān)控機制表明了每個SQL命令的完整日志――還常常返回值。

DAM通常用于事件收集和分析，為合規(guī)報告和SIEM系統(tǒng)提供數(shù)據(jù)基礎，那樣審計團隊擁有所需的事件數(shù)據(jù)。而越來越多的公司在使用DAM和動態(tài)屏蔽技術，保護這些系統(tǒng)遠離惡意查詢，那樣不用更改應用程序或支持性數(shù)據(jù)庫，就可以實施安全策略。

如果一些公司擔心內部竊取和欺詐，這后一種驗證讓非數(shù)據(jù)庫管理員能夠全面了解數(shù)據(jù)庫維護和補丁方面所做的工作。

第四種使用場合：遺留數(shù)據(jù)庫安全

說實話，內部的許多數(shù)據(jù)庫是在沒人考慮數(shù)據(jù)或數(shù)據(jù)庫安全軟件的情況下就倉促設計和部署的。設計的這些數(shù)據(jù)庫依賴危險的因素，比如外部存儲的程序，或者使用社會保障號碼作為主要的數(shù)據(jù)庫密鑰。但是這些數(shù)據(jù)庫實例依然存在，因為它們支持關鍵的業(yè)務流程。問題在于，就算企業(yè)能找到仍非常清楚遺留系統(tǒng)的工作原理而改造遺留應用程序的人員，而且獲得了這方面所需的預算，軟硬件仍是太陳舊了，你只要碰一下系統(tǒng)，它們就出現(xiàn)故障。

數(shù)據(jù)庫安全工具日益關注的方面之一是遺留數(shù)據(jù)庫安全。這些尤其適合這種場合：企業(yè)因所需的變更會引起數(shù)據(jù)庫停止運行而無法為數(shù)據(jù)庫服務器確保安全。

誰會得益于數(shù)據(jù)庫安全軟件?

對大多數(shù)企業(yè)來說，它們根本不會詢問自己是否需要保護關系數(shù)據(jù)庫或RDBMS。畢竟，一連串的數(shù)據(jù)泄密事件和合規(guī)要求已解決了這個問題。

與此同時，企業(yè)組織還發(fā)現(xiàn)網(wǎng)絡和端點安全產(chǎn)品并沒有保護到數(shù)據(jù)庫。他們還痛苦地發(fā)現(xiàn)，RDBMS廠商的普通的安全產(chǎn)品聲稱可保護到數(shù)據(jù)庫，卻提供了不夠標準的策略和良莠不齊的事件收集功能。實際上，普通產(chǎn)品無法區(qū)別正常使用和惡意使用，也無法足夠有效地評估配置和補丁級別，因為它們缺少數(shù)據(jù)和分析功能。

讓這個問題復雜化的是，需要這些數(shù)據(jù)的利益相關方(比如安全團隊和內部審計團隊)缺少收集數(shù)據(jù)的技術經(jīng)驗。IT和數(shù)據(jù)庫管理員又不愿改動應用程序或數(shù)據(jù)庫，生怕破壞這些系統(tǒng)的穩(wěn)定性。

數(shù)據(jù)庫安全工具在這方面提供了實實在在的好處;它們讓用戶可以提供所需的安全和審計，又不用更改實際數(shù)據(jù)庫，也不會給數(shù)據(jù)庫的性能帶來負面影響。真正的挑戰(zhàn)在于，選擇合適的數(shù)據(jù)庫安全軟件，以解決企業(yè)面臨的問題，我們會在下一篇文章中探討這方面。

英文：Four enterprise scenarios for deploying database security tools