解决原生数据库安全问题的参考建议

　　数据库存放着一些高度敏感、受到严格监管的数据，通过泰利斯的解决方案，您的组织可以为数据库及其包含的资产建立强大、全面的防御。

　　数据库安全挑战

　　在当今的企业中，数据库存放着一些高度敏感、受到严格监管的数据——这些数据正是恶意的内部人员和外部攻击者所企图的。近年来发生了许多广为人知的数据库攻击，暴露了数亿条记录，并对受影响的组织造成了财务和声誉损失。

　　故障中心点

　　数据库是一个集中的聚集点，也是窃贼的焦点。数据库存放着各种各样的公司资产，包括敏感的、受监管的资源，如客户支付数据、患者记录和知识产权。简而言之，你的数据库，无论是本地数据库还是云数据库，都保存着对你的业务至关重要的数据，这些数据被潜在的攻击者觊觎。

　　安全控制措施不足

　　不充分的安全控制会使您的组织面临欺诈和数据泄露。例如，当数据库加密和相应的密钥管理都在数据库中处理时，数据库管理员(DBA)可以同时控制数据和密钥。数据库加密解决方案通常忽略了内部滥用的可能性，以及攻击者模仿特权用户的高级持久威胁。

　　复杂和低效的密钥管理

　　随着数据库环境的扩展，密钥管理的挑战也在增加。使用多个密钥管理工具是复杂的，并且为错误和欺诈创造了更多的机会。虽然数据库供应商提供密钥管理功能，但这仅在企业使用该供应商的特定数据库时有效。考虑到供应商数据库的每个实例都需要一个单独的加密密钥，管理不同数据库的密钥会导致更加复杂，并加剧密钥丢失或被盗的风险。

　　TDE是否足够?

　　Oracle和Microsoft SQL Server数据库提供透明数据加密(TDE)功能，支持在数据库或单元级别进行加密。但是，很可能还需要加密包含有关这些数据库的敏感数据的日志和报告文件。对于许多组织来说，其他应用程序和数据库中的数据也需要加密，这需要在多种加密产品、密钥管理和存储系统以及实现工作方面进行投入。

　　传统方法的局限性和风险

　　传统上，安全团队专注于外围和终端防御，当这些防御失败时，组织的数据就会暴露出来。

　　缺乏能见度

　　如果组织不知道敏感数据在不同数据库中的位置，他们就无法有效地保护敏感数据。

　　可靠性和性能问题

　　企业在对忧优化程度较低的数据库进行加密时，经常会遭受实时访问数据性能降低的影响。

　　安全控制措施不足

　　本地数据库加密工具在内部滥用，因为数据库管理员可以访问加密数据和加密密钥。

　　复杂密钥管理

　　随着数据库环境的扩展，密钥管理的挑战也在增加。使用多个数据库供应商提供的不同密钥管理工具会增加成本和复杂性。

　　为了遵守组织策略和合规要求，您的安全团队需要通过为您的数据库建立强大的防御来解决这些威胁。

　　具有强访问控制的数据库加密和密钥管理

　　通过泰利斯的解决方案，您的组织可以为数据库及其包含的资产建立强大、全面的防御。泰雷兹解决方案具有数据发现和分类、强大的加密、令牌化和密钥管理、细粒度访问控制和日志记录功能，可帮助保护您的本地和云数据库环境。您的安全团队可以加密敏感数据，并应用粒度策略来限制谁可以访问该数据解密。

　　数据库加密解决方案

　　CipherTrust Manager

　　CipherTrust Manager使组织能够集中管理加密密钥，提供粒度访问控制和配置安全策略。它有虚拟和物理两种形式，符合FIPS 140-2，最高可达3级。

　　安策数据库加密产品结构图

　　CipherTrust Data Discovery and Classification

　　合规的关键第一步是了解敏感数据的构成、存储的位置和方式，以及谁可以访问这些数据。有效的扫描使您能够为您的整体数据隐私和安全建立坚实的基础。不需要去不同的供应商获得分离的解决方案。Thales CipherTrust数据发现和分类可以有效地定位跨文件服务器和传统数据库(包括Oracle, IBM DB2和Microsoft SQL Server)的大多数类型的数据。

　　CipherTrust Transparent Encryption

　　CipherTrust透明加密提供数据静态加密，特权用户访问控制和详细的访问审计日志。它可以部署在文件或卷级别，而无需修改应用程序或数据库。使用CipherTrust透明加密，您可以保护整个企业数据库中的敏感数据，无论您运行的是Oracle, IBM DB2, Microsoft SQL Server等。MySQL, Sybase, NoSQL环境，或任何组合。

　　CipherTrust Application Data Protection

　　CipherTrust应用数据保护通过api为密钥管理、签名、哈希和加密服务提供加密功能，使开发人员可以轻松地保护应用程序或数据库服务器中的数据。该解决方案附带了受支持的示例代码。它加速了定制数据安全解决方案的开发，同时消除了开发人员密钥管理的复杂性

　　CipherTrust Database Protection

　　CipherTrust数据库保护提供高性能的列级数据库加密，其体系结构可以提供高可用性，以确保每次数据库写入和读取几乎以未受保护的数据库的速度进行。数据库具有安全、集中的密钥管理，无需更改数据库应用程序。粒度访问控制确保只有授权用户或应用程序可以查看受保护的数据。可以使用每个列的特定密钥来确保粒度，并且CipherTrust Manager为每个密钥提供一系列强大的访问控制，同时确保职责分离，这是数据安全的一个关键方面。

　　CipherTrust Tokenization

　　CipherTrust令牌化提供了对敏感数据进行令牌化的vaultless和vaulted两种方式。vaultless令牌化提供包括动态数据屏蔽，而vaulted则需要使用特定于环境的api。

　　CipherTrust Cloud Key Manager for Cloud Services

　　简化多云环境的自带密钥(BYOK)管理，如亚马逊网络服务、微软Azure、谷歌云平台、Salesforce和IBM云。该解决方案提供全面的云密钥生命周期管理和自动化，提高安全团队效率，简化云密钥管理。

　　CipherTrust数据库保护优势

　　泰雷兹数据库加密解决方案提供以下几个关键优势:

　　没有明显性能影响的数据库保护

　　Thales CipherTrust数据安全平台解决方案具有高度可扩展性，可在不影响性能的情况下保护您的数据库环境。CipherTrust透明加密已在性能密集型环境中进行了现场测试，具有经过验证的可扩展性，可支持每秒50,000个加密事务。

　　无缝实现

　　Thales CipherTrust Data Protection支持高性能、级数据库加密，无需更改应用程序、基础设施或业务实践，并且可以轻松地在虚拟、云、大数据和传统环境中扩展应用层加密。

　　改进的合规状况

　　泰雷兹CipherTrust数据发现和分类提供数据发现和分类、风险评估、丰富的可视化和详细的报告，能够快速识别受监管的数据，突出安全风险，并帮助您发现合规性差距。这使得您的组织可以轻松地发现和缩小隐私漏洞，优先考虑补救措施，并就隐私问题做出明智的决定。

　　支持的数据环境

　　Database: IBM DB2, Microsoft SQL Server, MongoDB, MySQL, NoSQL, Oracle, Sybase,

　　Big Data: Hadoop, NoSQL, SAP HANA, Teradata

　　关于 SafePloy安策与 Thales泰雷兹的关系

　　法国泰雷兹Thales集团(原Imperva/Gemalto/SafeNet/Aladdin/Rainbow)是全球顶尖信息安全厂商，SafePloy安策作为Thales长期稳定的中国区合作伙伴，为出海的中国企业提供全球化数据安全服务能力和支持能力，也为在中国地区经营的跨国企业提供可信、可控、又合规的本地化数据安全策略。