传统DAM（数据库审计）不再奏效的6大原因

        数据安全团队面临着前所未有的巨大压力，既要保护皇冠上的宝石，又要在越来越严格的合规要求下保护客户数据。更大问题是，安全团队使用的是数十年前的安全工具，落后的工具带来巨大的运营开销。虽然这些工具一直在努力跟上数据安全的步伐，但如果你负责保护数据安全，你的使用的工具是为上个时代构建的，你并不孤单。

        在最近与成长型企业和全球企业的安全管理者的对话中，一个主题一次又一次地出现：“传统的数据库审计（DAM）解决方案在当今分布式、开发人员主导的环境的压力下正在逐步崩溃”。

以下是我们在现场从安全团队那里听到的6个原因：

问题1：“我不是有一个数据环境。我有30个不同的环境，但没有地图。

一个安全工程师这样描述他们公司的架构：“我的公司不仅仅是一家公司。它是一家每年收购多家其他公司的公司。每家公司都有15到200名开发人员、他们有自己的技术栈、自己的客户和自己的文档。”

上面的现象是越来越多的公司面临的现实：高度分散的团队；环境严重不一致。传统数据库审计（DAM）工具采用自上而下的银行式模型，其结构是集中和可预测的。但，这已经不是现代公司的工作方式了。

面对每个季度都变化的环境，硬编码策略和白名单管理不仅令人痛苦，而且是不可能的。

问题2：“我们需要一个全职工程师来管理数据库审计系统（DAM）的策略（成本高昂）。”

数据库审计（DAM）产品倾向于假设除了更新白名单和审查警报外什么都不做。但在现实世界中，它并不是这样工作的。

一个安全团队这样描述他们的工作：“仅记录所有用户和角色就需要六个月，然后再花一年半的时间在数百个服务中实施一个可行的白名单。”没有这些，数据库审计系统就是个摆设。

传统数据库审计（DAM）工具需要大量手动干预（否则DAM就是个摆设）：

• 将用户映射到角色（通常跨多个身份提供者）
• 定义静态访问控制
• 保持不断变化的白名单

试图用静态策略来追赶这种不断变化的环境，注定会是一场失败的游戏。更新策略需要人工完成，随着规模的变化，这将很快变得不可实现——尤其是当开发人员每天都在启动新资源，身份数据分散在不同的系统中时。

问题3：“我的审计报告说DBA忽视了安全性。”

数据安全团队通常无法控制数据环境的管理方式。多数情况下，他们是在事后被引入的，并希望他们来保护这些不是他们配置的，不是他们自己的数据库。

更糟糕的是，当DAM确实告警时，他们会耸耸肩——或者在凌晨2点警报响起时保持沉默，没有人能告诉谁掌握这些资源。

一个团队告诉我们，他们经常发现这些数据库不知道是谁的、没有标签、没有历史、没有书面记录。正如一位工程师所说：“我必须找到一个水晶球，猜猜谁该负责。”

问题4：“数据库审计（DAM）不会随着风险而扩展。”

传统的数据库审计（DAM）工具能捕捉到删表、大的查询等，但对内容审计几乎是一无所知。

一个团队告诉我们，他们的DAM可以记录表的创建，但不记录表的修改，即使是包含敏感PHI和财务数据的表上。

传统DAM解决方案侧重于记录用户操作：谁在何时查询了什么。但现代风险不是关于“有多少查询”或“谁访问了什么”，而是关于访问了什么、由谁访问、在什么条件下访问以及访问是否合适。传统工具无法提供这种粒度。传统的DAM用噪音淹没了事实，并忽略了关键风险和答案。

新型安全团队需要数据洞察力，例如：

• 数据是否敏感？
• 过滤正确吗？
• 用户是否访问了超过他们应该访问的更多的内容？
• 该工具是否阻止、允许或脱敏了敏感数据？

问题5：“每个代理都影响了我们的数据库的性能。”

多名安全工程师分享了他们的恐怖故事：这就是将基于代理的DAM部署在快速变化的环境中。一位工程师告诉我们：“仅仅为了基本监控而部署的代理是不值得的。每个代理都会减缓数据库速度。每次更新数据库审计系统，我们都会担心它破坏生产环境。”

一些团队尝试将数据库自身的审计作为后备方案，但它也有自己的实操问题：

“大量的日志难以处理。无法判断查询是来自人还是后台运行的作业。有一半的时间，我都在追踪上周的批处理作业警报。”

结果就是：安全团队要么变成瞎子，看不到存在的问题；要么浪费时间翻看无意义的日志，而有意义的安全事件却被埋没了。

问题6：“定价让我失去了生存的意志。”

企业级DAM工具通常具有企业级定价，以匹配其复杂性。但真正的问题不仅在于它们的价格昂贵，还在于它们的定价结构过于复杂，客户无法预测他们每年会支付多少钱。

（Trust Z翻译团队：价格高的问题问题在中国不存在，基本快变成垃圾价了。）

我们听说过一种情况：某组织使用一家大型供应商的传统DAM工具，每年支付大量费用。然而有一年，供应商悄悄地改变了他们的许可模式。突然间，客户发现他们被收取了他们没有意识到自己在使用的组件的费用，或者他们的成本大幅上涨。

由于定价模型不透明，团队几乎不可能预测未来的成本，也不可能理解为什么他们的账单会大幅上涨。

即使价格虚高，团队通常仍需要：

• 运行它的独立基础设施
• 雇佣或指派员工全职管理
• 接受每次环境变化时它都会崩溃

TrustZ：现代数据库审计（DAM）的新方案

数据库审计（DAM）是云数据安全策略的关键组成部分，但传统的DAM工具并不是为现代云环境的复杂性和规模而构建的。

TrustZ通过为现代数据架构设计的云原生DAM平台解决了这些问题。它提供实时监控、策略执行和合规性报告，而无需管理日志和分散的工具。

跨所有数据环境的数据安全可见能力

放弃僵化的手动的整理敏感数据，TrustZ使用自动化的方法发现并分类所有数据存储中的敏感数据，无论有多少数据或它们的变化频率有多高。无论是昨天新的Snowflake数据仓库，还是两年前的已经被遗忘的传统Postgres数据库，TrustZ都能实时映射到数据环境中，并在不增加开销的情况下保持其最新状态。

动态的、基于风险的访问控制

当您的环境每天都在变化时，静态白名单和脆弱的基于角色的策略很难发挥作用。TrustZ用动态访问控制取代了这些静态的方法，Trust Z访问控制会根据以下情况适时调整：

• 用户是谁
• 他们正在访问哪些数据
• 数据的敏感性
• 他们如何以及在哪里访问它

这使安全团队能够自动执行查询阻止、结果脱敏和数据过滤等策略，而无需一堆给DAM的全职保姆。

完整的上下文访问日志和实时推送

传统的DAM工具向团队发出大量警报，却忽略了真正重要的事情。TrustZ捕获了每个查询的完整上下文，包括：

• 用户是谁（身份）
• 查询文本
• 结果集的数据敏感性
• 使用的客户端工具
• 采取的行动（允许、阻止、脱敏）

这意味着更快的调查过程、更清晰的审计和实时风险降低，并不会破坏开发人员的工作流程。

 --------------------------------------------------------------------

TrustZ翻译团队简介：

TrustZ团队致力于科普、推广数据治理、数据安全治理相关的技术和管理方法。将最新的国内的数据理论方法推向全球，将海外的思想整理，翻译过来回馈给感兴趣的读者。我们也会独立撰写一些文章，以汇总整理相关知识。沟通群（“数据天下，微信data034申请入群”）