比起業(yè)務(wù)和功能的先行，安全的發(fā)展似乎總是慢人一步。但隨著IT基礎(chǔ)設(shè)施對各行業(yè)的滲透，無論是本地還是云上對數(shù)據(jù)安全能力愈加重視，需求也愈加迫切。

國內(nèi)近幾年出現(xiàn)了一些數(shù)據(jù)庫安全廠商，如安華金和、漢領(lǐng)信息、中安比特、昂楷科技等，他們的在國內(nèi)數(shù)據(jù)安全市場的聲音越來越大;而國外，專注數(shù)據(jù)庫安全的Guardium，結(jié)合IBM在全球的影響力優(yōu)勢，也慢慢開始在中國市場發(fā)力。

從獨立安全企業(yè)到“安全免疫體系”中的一員

時間倒退回2002年，一家名為“Guardium”的數(shù)據(jù)庫安全公司在在以色列成立。

Guardium是當(dāng)時行業(yè)內(nèi)唯一一家擁有針對主機(jī)(大型機(jī))安全監(jiān)控解決方案的安全廠商。同時，Guardium推崇通過在數(shù)據(jù)庫系統(tǒng)上安裝輕量級“探針”(軟件)，從而實現(xiàn)從底層抓取所有對數(shù)據(jù)庫的訪問行為。因其部署靈活、對數(shù)據(jù)庫系統(tǒng)資源消耗小、數(shù)據(jù)庫訪問行為覆蓋全面等特點，Guardium在7年間積累了約400名客戶，公司的規(guī)模也成長到了150人左右。

2009年末，IBM以2.25億美元的價格，正式對外宣布完成對Guardium的收購，并決心利用其在“主機(jī)安全”領(lǐng)域的優(yōu)勢，為IBM自身的數(shù)據(jù)庫產(chǎn)品(例如IBM DB2)賦能，使其在對數(shù)據(jù)庫的訪問活動監(jiān)控能力有所增強(qiáng)。

2012年，IBM Security 正式成立，原來分散在各子部門的安全產(chǎn)品得到有效的整合。Guardium 系列也開始作為其在“數(shù)據(jù)安全”領(lǐng)域的獨立產(chǎn)品推出。

2016年，IBM Security整合其在數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、終端安全、移動安全、高級防欺詐、身份和存取控制以及安全智能等8個安全領(lǐng)域的產(chǎn)品線，并結(jié)合IBM X-Force推出IBM“安全免疫體系”，而Guardium Suite正是其“數(shù)據(jù)安全”產(chǎn)品類的主力。

IBM的優(yōu)勢并不在于其在某項領(lǐng)域的專精程度，相反，通過對細(xì)分領(lǐng)域處于領(lǐng)先優(yōu)勢廠商的收購并購，并將其產(chǎn)品技術(shù)能力徹底的吸收消化，再整合到自己的現(xiàn)有的產(chǎn)品線中，發(fā)揮其更大的作用，這才是這個巨人的真正強(qiáng)大之處。

部署和合規(guī)上的優(yōu)勢

從Guardium在2002年成立之初，技術(shù)思路就是通過在數(shù)據(jù)庫系統(tǒng)上安裝探針軟件的方式，實現(xiàn)基于策略的數(shù)據(jù)流量轉(zhuǎn)發(fā)。

S-TAP探針部署

做數(shù)據(jù)庫安全的客戶，都想要知道這些數(shù)據(jù)：什么人，在哪些時間，訪問了哪些數(shù)據(jù)資源。而這需要無論是來自網(wǎng)絡(luò)層協(xié)議通信的應(yīng)用，還是通過高權(quán)限賬號從本地直連到數(shù)據(jù)庫的服務(wù)器，對數(shù)據(jù)庫的訪問信息的抓取都要做到全覆蓋。而通過在數(shù)據(jù)庫服務(wù)器上安裝探針的方式，可以做到把無論是來自本地還是網(wǎng)絡(luò)的所有操作都抓到。

Guardium的探針本身是操作系統(tǒng)層的軟件，與數(shù)據(jù)庫的配置無關(guān)，同時作為一個輕量級的進(jìn)程，從運維的角度來講對數(shù)據(jù)庫系統(tǒng)資源的消耗非常小，即使是在數(shù)據(jù)庫發(fā)生大規(guī)模并發(fā)訪問的情況下，也不會影響其正常運行。

同時，探針軟件對平臺和主流數(shù)據(jù)庫的非常廣泛，國內(nèi)廠商幾乎無人能出其右。而云環(huán)境下的探針部署，也因為其運行在OS層而幾乎不受影響。無論是VM還是物理機(jī)，只要運行的操作系統(tǒng)不變，探針就可以正常工作。

Guardium所支持?jǐn)?shù)據(jù)平臺類型

除了探針的部署以外，在合規(guī)方面，“自動化合規(guī)”是目前數(shù)據(jù)庫審計市場大部分客戶的需求。因為客戶的合規(guī)本身是一個成本很高的過程，所以在實際的客戶合規(guī)過程中，客戶往往要做很多額外的的工作。而Guardium本身內(nèi)嵌了許多“現(xiàn)成“合規(guī)最佳實踐。例如金融行業(yè)的PCI DSS(第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))、SOC(薩班斯法案)、SAS70、ISO 27001/2以及”數(shù)據(jù)隱私法”等甚至還沒在中國大陸正式推行的相關(guān)規(guī)定，都包含在Guardium其中。這無疑給用戶的合規(guī)帶來了極大的便宜。除此以外，對企業(yè)內(nèi)部的“內(nèi)審”合規(guī)性要求，Guardium也能通過其靈活的部署和配置給予最大程度的支持。

PCI DSS 審計

從數(shù)據(jù)庫安全向數(shù)據(jù)安全的延伸

對大數(shù)據(jù)平臺的支持

因為受Guardium本身的基因所限，IBM在收購后很長一段時間之內(nèi)，還是以數(shù)據(jù)庫安全的思路來做。但隨著大數(shù)據(jù)技術(shù)尤其是Hadoop大數(shù)據(jù)處理平臺在2011年后的快速發(fā)展與廣泛的商業(yè)化應(yīng)用，IBM也開始逐漸與一些業(yè)內(nèi)影響廣泛的大數(shù)據(jù)廠商(如Cloudera、Hortonworks)合作，而Guardium也從那時開始了對大數(shù)據(jù)平臺支持的研發(fā)。

Guardium對Hadoop集群的支持

無論是國內(nèi)還是國外，有很大一部分的大數(shù)據(jù)廠商，其發(fā)行版的底層都是基于開源的Hadoop來做，而在上層封裝的定制化服務(wù)，則可以幫助用戶進(jìn)行一系列的操作和訪問。而Guardium團(tuán)隊最大的優(yōu)勢，就是在于利用IBM現(xiàn)有的資源和影響力和這些大數(shù)據(jù)廠商一家一家的洽談，了解他們底層的開發(fā)架構(gòu)是什么樣子，命令的執(zhí)行又是怎樣的。所以通過這些上層服務(wù)對數(shù)據(jù)庫的訪問行為，可以完全被Guardium所獲知。再加上因為Hadoop架構(gòu)應(yīng)用的廣泛性，Guardium對這些基于Hadoop的大數(shù)據(jù)廠商的產(chǎn)品理論上都可以實現(xiàn)比較好的支持。

因為現(xiàn)在很多企業(yè)都會選擇將重要的數(shù)據(jù)放進(jìn)這樣一個平臺做全方位的關(guān)聯(lián)分析，原先黑客可能攻破一個數(shù)據(jù)庫只能拿到這個公司的部分業(yè)務(wù)信息，而如果是大數(shù)據(jù)系統(tǒng)出現(xiàn)了問題，發(fā)生了數(shù)據(jù)泄露事件的話，可能就會對公司業(yè)務(wù)產(chǎn)生巨大的負(fù)面影響。

而針對大數(shù)據(jù)平臺的數(shù)據(jù)安全市場和客戶方面，IBM曾向媒體表示，目前IBM已有一個比較大的國內(nèi)“運營商”客戶開始用Guardium保護(hù)他們的大數(shù)據(jù)系統(tǒng)，而IBM也在積極地和世界各地的大數(shù)據(jù)廠商展開合作，除了之前提到的Cloudera和Hortonworks外，還有國外用的比較多的MongoDB以及IBM自己的BigInsights，Guardium對這些基于Hadoop的大數(shù)據(jù)平臺的支持情況都很不錯，IBM認(rèn)為未來這塊市場會比較廣闊。

Guardium對MongoDB集群的支持

和IBM現(xiàn)有資源的聯(lián)動

IBM最大的優(yōu)勢，在于其對整個IT行業(yè)的布局和所擁有資源的聯(lián)動整合。而這同樣也會反映在其企業(yè)如收購并購等重大的戰(zhàn)略決策上。IBM在2009年收購Guardium的時候，其對“主機(jī)安全”監(jiān)控的支持以及與IBM現(xiàn)有主要產(chǎn)品線(比如全球金融系統(tǒng)都用于存放核心業(yè)務(wù)數(shù)據(jù)的IBM DB2)的契合是打動IBM的首要原因，也是促成此次收購的先決條件之一。

除此以外，在整個“安全免疫體系”中，Guardium和處于“大腦”位置的SOC平臺QRadar的“雙向集成”，也是Guardium與其它同類產(chǎn)品區(qū)別的明顯特點。處于“安全智能”領(lǐng)域的QRadar，會整合客戶網(wǎng)絡(luò)中的SIEM提交的日志分析結(jié)果、漏洞狀況報告以及風(fēng)險和資產(chǎn)等數(shù)據(jù)，并結(jié)合IBM X-Force平臺提供的實時威脅情報以及Watson for Cyber Security實現(xiàn)聯(lián)動，分析客戶網(wǎng)絡(luò)的安全環(huán)境和外部威脅，檢測異常行為和安全事件的發(fā)生并通過Resilient系統(tǒng)反饋給用戶應(yīng)急響應(yīng)流程。整個從檢測到分析再到響應(yīng)的過程，各個安全產(chǎn)品都是聯(lián)動的，而處于數(shù)據(jù)安全類的Guardium也是如此。

Guardium與QRadar的雙向集成

不只是將Guardium所篩選出來的和數(shù)據(jù)安全相關(guān)的信息推送到QRadar幫助QRadar做出分析判斷，更是在QRadar獲得情報后，例如發(fā)現(xiàn)攻擊行為或者說某個數(shù)據(jù)系統(tǒng)是一個受攻擊目標(biāo)后，作為一個“指揮官”一樣的角色去命令Guardium把當(dāng)前某一個惡意鏈接斷掉，甚至是說短時間隔離出去，并為后期的調(diào)查取證以及實時的應(yīng)急響應(yīng)，爭取一些時間上的優(yōu)勢。這才是所謂的“雙向集成”。也就是說，Guardium可以和QRadar做到某種程度上的互動，不僅僅是我告訴你一些情報，而是在處置的過程中可以聯(lián)合起來，做一些保護(hù)的動作。

當(dāng)然，Guardium和類似QRadar的SIEM或是SOC平臺的集成并不局限于QRadar，例如惠普的Arcsight等，以及一些國內(nèi)用戶使用SIEM和SOC平臺，只要都是使用符合某些通信標(biāo)準(zhǔn)的協(xié)議格式，例如leef格式(Log Event Enhanced Format)，Guardium都可以集成其中，發(fā)揮起自己在數(shù)據(jù)安全領(lǐng)域的能力。

數(shù)據(jù)安全分析

最早Guardium的設(shè)計初衷是實現(xiàn)數(shù)據(jù)庫的監(jiān)控，包括前文所提到的對主流行業(yè)標(biāo)準(zhǔn)的自動化合規(guī)。換句話說，并不是那么強(qiáng)調(diào)從安全的角度來講看問題。而發(fā)展到今天，IBM的“安全免疫系統(tǒng)”則是更重視從“安全”的視角解決問題。那么，如何將一些底層的技術(shù)數(shù)據(jù)，向業(yè)務(wù)層面轉(zhuǎn)化，發(fā)現(xiàn)一些規(guī)律性的內(nèi)容，并最終應(yīng)用到安全上，是Guardium進(jìn)行數(shù)據(jù)安全分析的目標(biāo)。

數(shù)據(jù)安全分析

例如，從客戶的時間維度來看，數(shù)據(jù)庫的訪問是有規(guī)律的，客戶的業(yè)務(wù)時間也是有規(guī)律的，Guardium則是要把這個規(guī)律先找到。實際上Guardium在其系統(tǒng)里已經(jīng)內(nèi)建了機(jī)器學(xué)習(xí)的引擎，并可以根據(jù)你歷史訪問活動的信息刻畫出一個數(shù)據(jù)的訪問“基線”，而之后則可以利用這個基線對后期的訪問活動做一些判別。

回望中國數(shù)據(jù)安全市場，國內(nèi)一些專注于數(shù)據(jù)安全這一細(xì)分領(lǐng)域的廠商，近幾年發(fā)展的速度非常迅猛。無論是本地還是云上，市場對數(shù)據(jù)安全的需求一直很強(qiáng)烈，而各家客戶數(shù)據(jù)庫類型和操作系統(tǒng)的紛繁復(fù)雜也給國內(nèi)這些廠商在技術(shù)能力上設(shè)置了不小的“關(guān)卡”。同時，無法和這些國際上主流的數(shù)據(jù)庫廠商建立交流和合作機(jī)制、難以實現(xiàn)對各家數(shù)據(jù)庫產(chǎn)品的深度兼容，也是這些數(shù)據(jù)安全廠商亟待解決的問題。

反觀IBM，除了保持并擴(kuò)大目前在技術(shù)、資源上的積累優(yōu)勢外，是否能讓自己的安全產(chǎn)品更加“接地氣”，更習(xí)慣于傾聽中國客戶的聲音，讓安全產(chǎn)品在細(xì)節(jié)上更契合中國用戶的使用習(xí)慣，我想尤其是對于像IBM這樣的全球“巨人”來講，絕不會是一件容易的事情。但是，值得期待。