Sentrigo：新一代數據安全衛士

特約通訊員王蔚斯

Sent ri go公司的H edgehog是一種優秀的數據庫安全軟件解決方案。它是一個實時監控所有數據庫活動的系統，它基于已定義的策略規則，對可疑活動進行警告，并在需要時阻止其發生，保護用戶敏感數據遠離外部和內部惡意用戶的攻擊。

在數字信息飛速發展的今天，數據庫技術已經深入各行各業，隨之而來的數據安全問題也越來越受到人們的關注。各種應用系統的數據庫通常存儲著大量敏感、高價值的數據，其中包括客戶資料、財務狀況、人事資源等。為了保證這些敏感數據的安全性，同時又兼顧商業訪問的需求，數據庫的安全問題成為管理系統部署的重點。傳統的系統周邊防護和網絡安全措施在一定程度上可以保障數據庫免受某些侵襲，但對于那些專門針對數據庫特有的易損性和數據庫內部基本無防護狀態而發起的數據庫入侵行動而言，這些保護措施卻是有心無力。更多優秀的數據庫安全保障技術應運而生，本文介紹的Sentrigo公司正是新一代數據庫安全解決方案供應商中的佼佼者，是新一代的數據安全衛士。

在數據安全解決方案上，Sentrigo是公認的革新者，它提供了一整套的數據安全產品，包括數據易損性評估、虛擬補丁、數據活動監測等，可應用于包括Oracle、SQL Server、Sybase在內的眾多數據庫。公司的旗艦產品Hedgehog提供了數據活動監測（DAM）和實時入侵預防功能，保護用戶敏感數據遠離外部和內部惡意用戶攻擊。

Sent ri go：為數據安全保駕護航

Sentrigo公司認為，提高數據庫的安全性不僅包括完善現有數據庫的運行環境，更應該能兼容到將來數據庫升級后的新環境。它主推的Hedgehog系列軟件產品，應用監測防護技術全方位滿足了用戶的安全需求。Hedgehog系列軟件主要從內部和外部兩個角度監測數據庫活動，通過部署在每個數據庫服務器上的基于內存的軟件型傳感器和集中管理控制臺來構建數據庫的安全策略。用戶不管是在數據中心虛擬化架構上部署數據庫還是將數據庫轉移到云架構，都能夠實時保障數據安全。

目前，正在使用的數據安全保護技術有多種，例如：身份管理和訪問控制，本地數據庫審計工具，利用網絡設備進行監控等。但是，傳統的這些方案都存在著一定的局限性。由于訪問權限過低，極易受到黑客攻擊，授權用戶也可隨意控制；非完全的分布模式使得系統需要配置單獨的網絡服務器用于分析本地服務器上傳的數據操作，導致在操作頻繁的系統中占用了大量帶寬用于信息的傳送；同時，由于本地計算機不具備獨立的分析能力，只能事后論證，沒有防御能力，無法及時對數據入侵操作進行堵截和報警。

相比傳統方案，S e n t r i g o公司提供的數據安全解決方案擁有以下優勢：

更好地適應了當今的IT架構：整個Hedgehog的產品線都為軟件形式，用戶可從Sentrigo公司網站下載，且安裝簡單。它包含了一個基于網絡管理控制臺的服務器應用和安裝于被監視的數據庫主機上的微型傳感器構件。安裝程序帶有向導功能，用戶可以在幾分鐘內輕松地完成整個軟件的安裝。一旦安裝，Hedgehog擁有的一系列自帶的集成工具，可以讓用戶在任何一個地方得到關于數據庫的警報信息，并為數據審計建立工作日志。相比之下，其它數據庫安全系統需要幾個月才能完成的部署，Hedgehog只需幾周甚至幾天時間就可啟動和運行。

分布式的軟件模式，節約時間和成本：通過給每個數據庫管理器上的傳感器分配不同的安全策略，Sentrigo的架構可以被直接部署在大型系統中而無需另加網絡服務器。服務器和傳感器之間的所有傳送信息都是被加密和壓縮的，傳感器發送的信息被限制為簡單的安全策略管理和警報信息，服務器也僅在必要情況下向傳感器發送更新的安全策略，警報信息和安全事件只占用極少量的帶寬（一般只占用服務器CPU的2%-5%）。對帶寬的有效利用使Sentrigo解決方案可應用于廣域網（WAN）拓撲結構。

H edgehog ：實時數據庫監視和入侵防御

Sentrigo公司的主打產品Hedgehog是一個基于主機的數據庫安全軟件解決方案，可實現實時數據活動監測、數據庫審計和預防入侵。Hedgehog可以在幾天內部署完成上千個數據庫，且對數據庫性能的影響很小，即使在操作頻度極高的系統中也不會影響數據庫的日常運作。它完美地整合了用戶已有的安全構架、IT管理，可用于部署企業級數據庫。對于那些要求數據庫操作監控、入侵預警、目標用戶鑒別和虛擬補丁的用戶而言無疑是最佳選擇。

數據庫活動監測（D A M）

Hedgehog高效的數據監視器和日志功能可以記錄所有對敏感信息的操作記錄（也包括數據定義和設置），同時保證零操作延時。系統警報信息被保存在管理服務器上，僅可被擁有Hedgehog軟件許可的用戶訪問，有效地實現了許多規范中要求的“職責分離”。它主要有如下特征：

·獨立監測和審計所有數據活動，包括管理員操作、所有一般操作

·在數據庫外安全的存儲操作日志

·整合多個異構數據庫管理系統（DBMS）操作并且將不同DBMS操作規范化

·執行系統管理員、數據庫管理員、信息安全人員和合規人員的責任分離制

實時堵截入侵

通過查閱日志文件，及時發現威脅數據庫的罪魁禍首是一方面，在入侵發生的第一時間堵截，保證數據庫安全又是另一重要保護措施。當Hedgehog Enterprise監測到數據庫安全受到威脅時，向管理控制臺或第三方事件監測工具發布實時警報。而對于高危攻擊，通過適當的配置，Hedgehog Enterprise可立即終止入侵操作，并在一段時間內隔離可疑用戶，同時升級防火墻阻止該可疑IP的重新接入。Hedgehog Enterprise主要有以下特點：

非入侵式數據操作：對于應用實時入侵防御系統（IPS）的數據而言，一項關鍵的技術難題是避免增加操作延時和引起新的單點故障。Sentrigo獨特的分布式構架使每個數據服務器上傳感器擁有自主操縱權，相互獨立地運行。一旦接收到來自管理服務器的安全警報，各個傳感器都進行單獨評估，任何進行中的侵害行為都將被立即停止。Sentrigo方案為內存掃描模式，因此安全策略不會增加數據操作延時，即使某個安全構件失效也不會影響前端數據庫的使用。

自由配置：使用Sentrigo獨創的專利技術，Hedgehog監控器可實時地監測所有數據操作，包括：存儲操作、觸發服務、構件視圖、數據加密等。基于高度靈活的軟件策略，通過配置，系統可記錄低優先級活動并對最高危行為發出警報并終止操作。配置可以被選擇應用于所有數據庫，或者用戶自定義的需要對敏感數據執行最嚴格的監控的數據庫。

虛擬補丁：正規的補丁通常要經過某些IT標準或內部政策的審核，等到正式發布通常要幾個月甚至幾年。這期間公司數據庫都處在未打補丁的不安全狀態，容易使關鍵數據庫受到侵襲，導致數據丟失、隱私被竊。Hedgehog的虛擬補丁（Hedgehog vPathc）為未打補丁的DBMS內核提供保護，通過在數據庫周圍構建安全層，使數據庫免受侵擾，同時可阻隔來自黑客的一般入侵，而且它無需停機時間或者應用測試。

易損性評估

Sentrigo公司的易損性評估解決方案（Hedgehog DBscanner）能夠為用戶全景展現當前數據庫的安全狀況，包括正在運行的每個數據庫的補丁版本、密碼強度等超過3000項的檢測結果。可掃描Oracle,Microsoft SQL Server,IBM DB2 and MySQL數據庫和應用程序，DBscanner是最全面的數據庫易損性評估解決方案。DBscanner的掃描結果可以從Hedgehog控制臺獲取，可快速、簡便地整合進Hedgehog Enterprise，自動保護系統免于最新發現的入侵行為。

云時代的數據安全保障

云計算是IT業最熱門的話題，相對于傳統的軟件構架，低成本、高效率的特點使其發展迅速。然而，將用戶的敏感數據信息轉移到云中，對數據庫的安全保障提出了重大挑戰。相比傳統軟件，由于云計算的特點，用戶數據分散存儲，外部訪問者擁有內部接入權，傳統的數據監視變得形同虛設。此時，Sentrigo基于內存掃描的傳感器架構凸顯優勢，它使云架構下的數據庫安全管理如同本地數據庫一樣容易且安全。

遠程監控數據庫安全

在虛擬化和云計算的環境中，客戶通常需要考慮很多關鍵性的因素。首先，由于數據庫服務器不屬于用戶私有網絡，這給傳統的基于網絡的數據監測解決方案帶來了不可逾越的障礙。另外，系統環境的動態特性意味著服務器需要頻繁對資源進行預分配和再分配以保證資源的最大利用率。由于服務器動態配置的特性（用戶不能確定需要監控哪臺服務器）導致簡單地將監視器程序安裝在目標數據庫的做法不可行。

Sentrigo公司的Hedgehog方案依托可自主運作的傳感器架構，在分布式的環境中也可以很好地運作。系統中安裝Hedgehog后，無需任何配置，Hedgehog將立即與管理服務器建立聯系。在Hedgehog中，所有管理服務器之間的有關設置策略和收發警報的信息都是被加密、壓縮過的，避免任何相關的網絡安全問題。此外，由于傳感器是本地自主運作的，云中的資源可以免除各種攻擊就如同數據存儲在用戶的本地系統中。

監控移動數據庫和特權用戶

利用虛擬技術，云計算架構使計算機（虛擬機或物理機）可以利用更多的資源服務數據庫系統。而且數據庫可以獨自運行，無需用戶配置機名和網段等。但是，許多數據庫安全方案要求用戶安裝代理，安裝代理通常需要變更內核級別、重啟系統等，這些都在很大程度上影響了數據庫系統的正常運作。此外，由于更改了管理服務器配置，使用這些安全方案后，數據庫服務器的自動配置過程難以進行。

監視服務器上虛擬機間的活動

如果用戶在部署虛擬化環境時允許各種應用共享服務器的硬件，那么同一服務器的應用與數據庫間的通信將僅在本機上可見，這將使得基于網絡的數據庫安全方案難以監控同一服務器上的數據操作。為了避免這一問題，通常需要添加本地代理，以處理本地虛擬機間的數據活動。然而，這些本地代理并不能像Sentrigo公司的傳感器一樣可以自動運作保護本地數據安全。它們只能將可疑操作上傳網絡服務器進行分析，這種方式不僅極大地占用系統資源，也難以高效地處理虛擬機間頻繁的數據活動。

Sentrigo公司的Hedgehog依托真正的分布式構架，使同一服務器上的多臺虛擬機可以獨立地設置安全策略，發送操作警報，全面保障本地數據安全。這也使Hedgehog成為虛擬環境下最有效的數據安全解決方案。

動態環境中監視數據活動

在虛擬構架中，特別是云計算環境下，運行數據庫的計算機經常需要更新，每個新的虛擬機都需要被有效地監控以確保服從整體信息安全策略的管理。這也意味著運行數據庫的新虛擬機需要安裝必要的軟件，并且依據它承載的數據和數據安全規范對軟件進行單獨配置。例如，許多DAM系統要求的代理軟件就很難在第一時間被裝入虛擬機，因為代理的安裝需要更改內核等級、重啟系統等等，這也導致了DAM系統不能自動更新虛擬機。

在Sentrigo架構下，開機時系統即可監測到新安裝的虛擬機，本地傳感器將被自動地安裝在新的虛擬機上，并與管理服務器取得連接，以便配置虛擬機安全策略。無需手動配置虛擬機，無需安裝復雜的代理軟件，Sentrigo使系統的更新更加自動和便捷。

Sentrigo公司憑借著數據安全領域的領先技術贏得Network World、SC雜志等媒體的一致好評。最近，Sentrigo又獲得云計算世界大獎賽的“最佳安全解決方案獎”以及2010全球最佳產品獎。相信在不久的將來，Sentrigo將會在數據安全領域貢獻更多新的技術與產品，取得更加卓越的成績！

參考資料：http://www.sentrigo.com/