Өгөгдлийг хамгаалах төгс шийдэл Maximum Security

November 20, 2019

Бид байгууллагын хувьд кибер аюулгүй байдал чухал гэж ярьдаг ч үнэндээ аюулаас юуг хамгаалж байгааг биш хэрхэн хамгаалах дээр илүү ач холбогдол өгч байна. Эцсийн дүндээ бидний хамгаалах гол зүйл бол мэдээж байгууллагын чухал нөөц болох “Дата” юм.

Ихэнх байгууллагын аюулгүй байдлын хувьд firewall, endpoint security, antivirus, SIEM, access control system гэх мэтчилэн өгөгдлийн сангаа тойрсон хамгаалалтуудад  анхаарал хандуулдаг. Байгууллагын хувьд өгөгдлийн сан бол хар хайрцаг юм. Үнэндээ энэ хар хайрцгийн аюулгүй байдлыг хангах нь чухал бөгөөд ямарваа нэг аюул, халдлага болсон үед энэ хар хайрцаг үгүй болбол ямар ч найдлагагүй гэж хэлж болно.

Доорх зургаас халдлага үйлдэгч, хакеруудын халдах боломжтой хэсгүүдийг харуулав.

 

Халдлага үйлдэгчид эцсийн хэрэглэгч эсвэл админууд руу халддаг. Эсвэл хамгаалалт муу веб, аппликейшн болон сүлжээнд халдлага үйлдэхийн зэрэгцээ сторейжийн түвшинд буюу өгөгдлийн сан руу халдлага үйлдэж болно. Зарим тохиолдолд байгууллагууд тестийн орчинд байгууллагын бодит өгөгдлүүд дээр ажилладаг бөгөөд  энэ нь халдлага үйлдэгчдэд бэлэн хоол болох тохиолдол байдаг. Учир нь байгууллага тестийн орчныхоо аюулгүй байдалд төдийлөн анхаардаггүй.

Тэгвэл дээрх халдлагуудаас хэрхэн яаж хамгаалах вэ?

Database Security Assessment Tool

Эхний алхам бол DBSAT (Database Security Assessment Tool) ашиглаад өгөгдлийн сангийн хэр хамгаалагдсанаа үнэлэх нь зөв юм. Ингэснээр та бүхэн одоогийн нөхцөл байдал, эрсдэлээ олж харах бөгөөд үүнээс хэрхэн хамгаалах талаар ойлголттой болно.

Privilege Analysis

Аюулгүй байдлын ерөнхий гол шаардлагуудын нэг бол least privilege юм. Ийм хэт өндөр эрх бүхий хэрэглэгчдийг хязгаарлах үүний тулд Privilege Analysis ашиглаж шаардлагагүй зарим эрх хэрэглэгчдээс эрхүүдийг хасах. Oracle өгөгдлийн санд DBMS_PRIVILEGE_CAPTURE package ashiglaad эрхийн хэрэглээний тайлан гаргах замаар эрхийн зохицуулалт хийх бүрэн боломж олгодог.

Data Redaction

Та бүхний сайн мэдэх PCI DSS стандарт дээр картын 12 оронтой дугаарыг бүтнээр нь зарим  хэрэглэгчид харуулахгүй гэсэн шаардлага байдаг. Энэ шаардлагыг ямар нэг апп хөгжүүлэлт хийхгүйгээр шийдэх арга бол DATA REDACT буюу нууцлалын зэрэгтэй мэдээллийг ON fly нуух юм. Ихэнх апп-д эрхийн тохиргоо байдаг ч хэрэв апп мэдээллээ өгөгдлийн сангийн түвшинд  share хийхээр бол Data Redaction ашиглаж нууцлал бүхий өгөгдлөө нуух боломж олгоно.

Database Firewall

Апп-ийн хэзээ ч хийж байгаагүй сэжигтэй үйлдлийг DB firewall таслан зогсоодог. Oracle Audit Vault нь аудит логуудыг аюулгүй нэг цэгт хадгалах боломж олгох бөгөөд тэрхүү цугларсан аудит дээр нэг цэгээс шинжилгээ хийх боломжтой.

Transparent data encryption

Сторейжийн түвшинд өгөгдлөө encryption хийх TDE (transparent data encryption). Ингэснээр сторейжээс мэдээлэл алдах үед хэн ч тэрийг decrypt хийх боломжгүй байна.

Сүлжээндээ  encrypt хийх

Ихэнх байгууллага гадагш гарч байгаа сүлжээ болон апп дээрээ л  encrypt хийгээд байдаг бол харин апп өгөгдлийн сан дотоод хэрэглэгчдийн сүлжээ encrypt байдаггүй . Oracle өгөгдлийн сан сүлжээгээ encrypt хийснээр өгөгдлийг дундаас нь тайлах боломжгүй боломж юм.

Data masking

Байгууллагын хэрэгцээ шаардлагаас үүдэж production системийн өгөгдөл дээр тест хийх шаардлага гардаг. Гэвч тестийн орчин маань production өгөгдөл хулгайлах таатай орчин болж өгдөг. Иймд бид Data Masking буюу production өгөгдлөө утгын өөрчилж тестийн системд өгснөөр бид энэхүү асуудлыг шийдэх боломжтой.

Database Vault

Байгууллагын удирдлагууд өгөгдлийн сангийн админуудаас өгөгдлөө хамгаалах тал дээр ихээхэн асуудалтай байдаг. Тэгвэл Database Vault нь энэ асуудлыг шийдэх боломжтой буюу админы хандах эрхийг хянах болон хязгаарлах боломжтой.

 

О.Ундрах-Оргил

Дижитал Технологийн газрын МэргэжилтэнОракл өгөгдлийн сан инженерээр мэргэшсэн. 2010 оноос ажлын гараагаа Мэдээллийн Технологийн тэргүүлэх компани Ай Ти Зон компаниар эхэлж одоо хүртэл ажиллаж байна.