(Возврат на основную страницу)
Построение каталога канала передачи данных: защита ценных
данных от злоумышленников
Билл Вандер (Bill Wunder)
Стратегии мониторинга баз данных
Билл Вандер (Bill Wunder)
Распространенные мифы о SQL Server. Часть 2
Пол С. Рендал (Paul S. Randal)
Построение каталога канала передачи данных: защита ценных данных
от злоумышленников
Билл Вандер (Bill Wunder)
Одним из важных задач Runbook является распространение знания и информации среди
высококвалифицированных сотрудников в центрах обработки данных, в частности
документирование мер по защите данных. Почти всегда де факто будут существовать
правила бизнеса, определяющие перечень тех, кто может и кто не может
просматривать некоторые или все данные, хранящиеся в базе данных компании.
Запись этих правил в Runbook является первым шагом в документировании мер
обеспечения безопасности данных.
После того как правила записаны, наступает необходимость исследовать все
возможности доступа к базе данных в контексте этих бизнес-правил. Очень
эффективно описать всевозможные пути и средства получения данных путем создания
каталога канала передачи данных (Data Bridge Catalog).
Канал передачи данных — это любой логически завершенный путь, по которому могут
быть переданы данные в базу данных или из нее. Канал передачи данных имеет два
логических окончания (хранилище данных и потребитель), соединенные транспортной
магистралью. В контексте безопасности не существует ассоциации с каналом
передачи данных. Безопасность применяется в контексте внутреннего устройства
канала данных, но не поверх него. Внутри канала передачи данных может
присутствовать множество контекстов безопасности. Фактически, критическая
проверка канала передачи данных для обнаружения непреднамеренных брешей является
одним из наиболее интересных и значимых аспектов каталогизации канала передачи
данных.
У каналов передачи данных есть множество возможных вариантов дизайна, так же как
и у автомобильных мостов. Их так много, что в результате критически важные
каналы передачи данных могут допускать не идентифицированный или
несанкционированный доступ к ценным данным компании, обычно в результате
нестандартного или злонамеренного доступа, при том, что доступ остается
незамеченным для администраторов баз данных и системных администраторов. Таким
же образом, как и автомобильный мост может быть использован энергетической
компанией, коммунальным предприятием, автотранспортной компанией или прочими
организациями для перемещения продукта их производства на другую сторону,
разработчики приложений и архитекторы будут изучать существующую архитектуру для
передачи данных от базы к потребителю. К сожалению, злоумышленники могут
использовать тот же самый подход для передачи важных данных туда, где им не
следовало бы находиться. Простым классическим примером окончания канала передачи
данных, который не был предусмотрен архитектурой безопасности базы данных,
являются порты USB. Результаты запросов и даже скриншоты, содержащие
конфиденциальные отчеты, легко и незаметно передаются посредством этих
вездесущих портов. Политически опасно было бы заявить такое, но все же любой,
кто обладает правами администратора, зачастую является неконтролируемым
исполнителем реализации несанкционированных каналов передачи данных.
Теперь читатель имеет хорошее представление о том, что составляет канал передачи
данных. Продолжение статьи будет посвящено совместному размышлению о проекте по
определению и каталогизации каналов передачи данных.
Стратегии мониторинга баз данных
Билл Вандер (Bill Wunder)
Каждая IT-компания, ориентированная на работу с данными, которая использует SQL
Server, имеет как минимум одного администратора базы данных. Возложенные на
администратора обязанности обычно можно описать фразой «должен позаботиться о
базе данных». В более продвинутых компаниях это описание расширяется, а
администратор должен быть в состоянии оправдать большие возложенные на него
надежды.
Распространенные мифы о SQL Server.
Часть 2
Пол С. Рендал (Paul S. Randal)
Читайте первую часть статьи в журнале за ноябрь месяц 2010 года.
(Возврат на основную страницу)