《2017年全球数据库安全市场趋势》

发布时间：2017-5-9                                                         分析人：Deborah Kish、Brian Lowans

---

0、常用缩写术语

缩略词	解释
RDBMS	关系型数据库
on-premises	本地部署
DCAP（data center audit and protection）	数据中心审计和保护，它包括CASB和UEBA
CASB（cloud access security broker）	云访问安全broker
UEBA（user and entity behavior analytics）	用户和实体行为分析
DLP（data loss prevention）	数据丢失预防
GDPR（general data protection regulation）	通常数据保护规则
SA-CBT（security awareness computer-based training）	目前该技术呈增长趋势，它是供应商在数据安全衔接生态系统的一部分

【备注】看到这里SA-CBT貌似很牛B的样子，可它的实现原理是怎么样的呢？

一、介绍

1、企业面临的挑战

• 应对规模化的数据量激增和降低运营成本

  激增的数据的存储载体可能是关系型数据库、非关系型数据库、文件或者云服务提供的DBaaS等

• 应对恶意内部人员和外部***威胁

  内部权限滥用、网络钓鱼等

  
  

    上面的挑战一旦成功，对企业带来的风险可想而知，诸如金融负债、客户诉讼等。为应对该挑战企业往往想到的是：什么时候发生了数据泄露？谁访问了数据？访问数据的用户是否合法？但确认什么时候发生了数据泄露是一个急迫的问题，Gartner客户正在寻求复杂的数据安全工具。据Gartner《2016年度最终用户安全支出调查》：

（1）最终用户最感兴趣的技术是“电子邮件”、“网络网关”和“安全意识培训”

（2）52%的受访者表示计划实施DCAP和DLP

（3）53%的受访者打算实施UEBA      

（4）42%的受访者计划未来两年内实施CASB

为什么大家对这些技术有兴趣呢？主要是由于组织对数据保护有要求，比如欧盟的GDPR。

【备注】看到这里，突然想起了中国最近的信息安全法，结果各云服务商都搞实名认证，真是没有买卖就没有伤害 ：）

2、客户面临的常见数据库安全威胁

• SQL注入***：利用数据库的漏洞（当你无法对其打补丁时，可以通过网络来保护它）

• 内存溢出

• 缺省口令或者弱口令：被恶意***者或者内部用户利用

• 错误配置

• 用户账号信息泄露

• 数据驻留：各种数据隐私、健康数据、财务数据和信用卡数据必须严格受限

二、市场趋势

1、数据库逐步搬迁至云端

• DBaaS趋势势不可挡

       云供应商是无利不起早的人，包括AWS、Azure、Oracle和IBM等，他们提供DBaaS服务来满足客户的需求；另一方面，企业也期望可以在on-premises、Cloud和Hybrid Service之间灵活选择，所以他们期望云供应商提供的云或者混合产品，在用户体验、一致性等方面需要与on-premises保持相同。

• 迁移至云端有利于降低成本

    除了成本降低之外，对于合规、潜在宕机风险也需要云供应商确保，或者至少与企业内部面临的风险是相当的。

• 大数据的发展需要

      大数据使用非关系型数据库越来越多，像NoSQL数据库、基于文件的系统和Hadoop等，且越来越多的有价值数据都被移到了Hadoop集群，这迫使去供应商需要集成多个平台，目前很少有供应商能为Hadoop提供全面的数据安静监控能力。

2、云端数据需要和本地数据有相同的保护策略

       尽管数据库正向云端迁移，但本地数据库仍旧需要，因为DBaaS只不过是一个可选项，正如大家所见，一些企业或者组织考虑到云数据库安全的不足，他们会比较谨慎考虑DBaaS，举个例子来说，如果员工使用了数据库工具下载和创建新文档，然后把这些文档移动到第3方文件共享系统（如box），这将是一个严重的问题，具体的威胁包括：

• 破坏数据驻留和合规要求

• 恶意内部人员或者***使用/窃取文件

       一些DBaaS服务开始提供本机保护 、安全检测和数据驱动安全功能，然而复杂的功能只能通过第3方服务获得，如特权分析、DCAP、数据脱敏和集中监控等等。

3、数据安全市场驱动

    大数据平台、SaaS和IaaS环境的出现促使企业重新审查传统的关系型数据库和文件服务器的安全策略，由于方法有限，且许多组织的数据环境孤立，它们缺乏安全策略的一致性和同步性。现在有了多个数据仓库，一些组织被迫部署多个DLP或DCAP产品，又便更好地管理和协调其数据安全策略。

三、技术趋势

1、整合DCAP、DAP和DLP

      DAP可又独立部署在数据库服务器的前面，也可又和其它产品（如WAF、SIEM和UEBA等）一起消减威胁。DAP用于监控用户权限和数据库活动，识别和防止欺诈/恶意/非法/其它不良行为（如识别和停止来自本地连接[滥用特权访问]，主机级别的***[恶意软件]），通过检查数据库活动以发现SQL注入***，还有助于共享数据库收集日志等等。

       对于DLP工具来说，如何可视化地使用、如何控制数据从数据库中提取，又及如何在各种云应用程序（如Box、Dropbox和OnDrive等）中保存是很重要的，特别一提的是，DLP通常不用于扫描和分类数据库内的数据，所又DCAP工具或者其它数据库安全工具不用于编排安全策略。

       另外，非结构化的数据（如Excel、CSV等文件）也面临着暴露风险，因为组织为员工提供了内部信息访问通道，所以在部署数据安全工具时，最终用户将审查供应商对数据孤岛中数据的可见性和控制性的支持。

      技术战略规划者应该把DLP、DCAP和UEBA整合起来作为市场战略的一部分，扩大生态系统将SA-CBT作为另一个层次，使人为因素威胁得以控制。数据安全还需要培训员工基础技术和意识，特别是无意中处理数据的员工，为整个数据安全计划提供增值组件。

2、DCAP

DCAP工具包含的产品提供如下能力：

• 提供唯一的管理Console，使数据安全策略可又一致地下发到多个数据仓库

• 在所有数据孤岛中分类和发现敏感数据

  【备注】数据孤岛包括关系型数据库、数据仓库、非结构化数据文件、半结构化格式（如SharePoint）、半结构化文件共享平台（如Hadoop）、SaaS和IaaS的云存储等。
  

• 设置、监控和控制用户访问数据的权限

  【备注】这里的用户指拥有特别身份的用户，包括高度权限的用户，如管理员和开发人员

• 使用可定制的安全告警监控用户实时访问数据行为，阻止不可接受的用户行为、访问模式或者标准审核流程 要求

• 防止个别用户和管理员对特定数据的访问

  【备注】可以通过加密、标记、脱敏、修改或者阻止

3、DAP和DAM

      DAP和DAM是DCAP的关键类别，因为它们提供了数据库活动的告警和报告，这些工具从关系数据库和周边的用户活动分析演变而来，涵盖了更全面的功能，其中包括数据发现和分类、漏洞管理、应用级分析、***防御、对非结构化数据安全性的支持、身份和访问管理集成和风险管理等。

      DAP和DAM也需要满足许多监管规则的要求，如PCI DSS、HIPAA、SOX等，它不能防范内部威胁。

4、PAM

       DBMS市场中的一些供应商，如IBM、CA Technologies都具有PAM功能，PAM领域的其他供应商包括CyberArk、BeyondTrust、Lieberman Software和Wallix。

       PAM空间很好，鉴于供应商数量众多，可又进一步整合，新产品需要 涵盖数据使用的所有维度（包括数据库、OS）以及安全性、备份、灾难恢复/高可用性（DR/HA）、恢复时间目标/恢复点目标（RTO/RPO）、用户活动监控。上述功能独立部署、本地部署、SaaS等。

5、DCAP和DLP的关系

• DCAP工具使组织跨非结构化、半结构化、结构化存储或者孤岛集中管理数据安全策略和访问管理，比如监控和管理用户和管理员的权限和活动，以及访问了哪些敏感数据等。

• DLP工具提供敏感数据的可见性，无论是端、网络还是文件共享的数据，使DLP组织可以从端或电子邮件中抽取非结构化数据并加以保护。

       所以DCAP和DLP的根本区别在于，DCAP侧重于组织内用户访问的数据，DLP侧重于即将离开组织的数据。

6、加密、令牌和密钥管理

       企业越来越多地使用加密技术，但密钥材料的管理却令人头痛，企业想加密一切数据而不仅仅是账务数据，这就带来性能的开销，所以很多组织只为最为敏感的数据进行加密，对相对不敏感的数据提供分层保护的能力，比如最小权限访问、防火墙隔离、限制与数据的连接等等。

• FPE（Format Preserving Encryption）

         2016年3月，国家标准与技术研究所（NIST）标准化了两种执行FPE的方法：FF1和FF3，这种新标准的匿名数据集扩展到信用卡之外的医疗数据和其它敏感个人信息，这对于符合PCI DSS的组织来说是有好处的，关于NIST FPE的详情不在此处描述。

• 无钥加密

         无钥加密专利在1999年就已提交，至到最近才有进一步发展，如SDO（Secret Double Octopus）就基于共享密钥开发了无钥加密，其中共享密钥在数学上被归类为“信息理论上安全的”算法，是一种与***者计算能力无关的算法，本质上，***如果想成功地访问那些敏感的或者受保护的数据，他们首先要识别出那些无用“碎片”数据正在通过的网络路径，他们要获取到每一个“碎片”，然后把这些“碎片”尽可能地放在一起，这样才能应对现代密码学的挑战。所又密钥共享算法意味着一个现实世界的***者捕获的信息是不是足够的，没有办法进行蛮力尝试，这种方式是防止中浊人***和窃听***的理想选择。

• 数据修改和数据脱敏

        数据修改和数据脱敏是由于隐藏敏感信息（如信用卡、社保号等）的有效办法，这些方法已在金融部门得到广泛应用，然后像医疗保健、政府、石油和天然气等行业也都感兴趣。数据脱敏是一种防止敏感数据滥用的技术，它为用户提供虚构且实用的数据，而不是真实的敏感数据，因此用户可以保持其执行业务流程的能力，同时不用担心敏感数据的泄露。

        数据脱敏对于数据库来说是一个有用的功能，它提供了一个额外的保护层来保护敏感数据的完整性，不同于加密和标记化，它是一个不可逆的过程，其中对数据进行单向转化。
  

7、技术发展有利于加强安全能力

       不断发展的产品允许最终用户授予隔离文件、表、行、列、单元格，甚至是部分单元的权限，从而进一步保护敏感信息，此外正在构建的内容感知和上下文感知策略，又查看文档中实际嵌入的信息，而不依赖于分配给文档的元数据。

       技术提供商也将机器学习纳入到数据库安全产品中，机器学习提供高级分析、评估用户和其它实体（这里的其它实体包括应用程序、IP、设备和网络等）的活动和行为，又便发现安全违规。用户活动也超出原始的logout和login，其中也包括用户移动、对组织资产的访问、访问发生的上下文等。越来越多的厂商（如BlueTalon、IBM、Imperva、Datiphy、Information和SecuPi等）都开始玩大数据又提供数据库的安全。

      越来越多的数据安全应用程序将区块链技术整合到自己的架构中，支持区块链的数据安全应用提供了一个替代方案来建立信任和弹性，而非依赖集中仲裁。支持区块链的数据安全解决方案可应用于跟踪数字资产，如数据类型、标识符、加密密钥、事务和设置属性等。应用于数据安全的区块链仍然是一个新兴领域，值得去挖掘。

【备注】这段总结为一句话，数据库安全技术已有使用大数据、区块链、内容感知技术的趋势。

三、供应商

1、供应商推动当前数据库安全市场趋势

      下面列出了数据库安全市场中提供新产品开发的供应商，他们正又具体的能力去推动研究中所述的市场趋势，下面这个表不是所有的供应商，而是列出目前市场中提供创新产品开发的供应商。

2、传统的数据库平台厂商在数据库安全方面的发展

• IBM：集中在专门的威胁检测分析、3D风险可视化和弥补客户本地部署与云化部署之间的差距。IBM最新的软件旨在让客户采用混合数据架构，未来重点放在安全“免疫系统”、高级分析、认知分析简化部署上。

• Oracle：仍然专注于解决客户最迫切的数据库安全问题，包括HA、可扩展性、性能和可管理性，预计甲骨文继续支持正在转向云端的客户，同时提供实时分析，并提供其它方法来处理大数据的扩散。

• MySQL：继续在DB服务器中构建安全功能，比如5.7版本中增强了mysql.user要求plugin字段非空、不再支持mysql_old_password认证插件等安全特性，同时还不回了透明加密（TDE）、企业防火墙和企业审计。

• MariaDB：最新产品添加了表空间级别的本机数据库静态加密、解耦应用程序和数据库的开源代理、客户端和服务器之间的安全传输（TLS）等。

• Microsoft：SQL Server侧重于通过静态和内存中的数据进行加密来增加安全措施。