Database activity monitoring (DAM) là gì? Kiến trúc và tính năng của giải pháp DAM

Định nghĩa Database activity monitoring (DAM) 

Database activity monitoring (DAM) nghĩa là giải pháp giám sát hoạt động cơ sở dữ liệu làm nhiệm vụ nắm bắt và ghi nhận những truy vấn SQL theo thời gian thực, bao gồm có cả những hoạt động quản trị dữ liệu và có thể đưa ra những sự cảnh báo sớm trong trường hợp bị vi phạm chính sách.

Những chức năng cụ thể của giải pháp DAM bao gồm:

• Khả năng quản lý giám sát độc lập và kiểm tra những thao tác ở trên cơ sở dữ liệu, bao gồm có cả những thao tác của quản trị viên và những giao dịch truy vấn tin.
• Khả năng lưu trữ những nhật ký này ở bên ngoài cơ sở dữ liệu cần phải thực hiện giám sát.
• Khả năng tập hợp và liên kết những hành động cũng như có khả năng làm chuẩn hóa những giao dịch từ nhiều hệ quản trị cơ sở dữ liệu (DBMS) khác nhau, ví dụ như Oracle, IBM, Microsoft.
• Khả năng phân chia những nhiệm vụ, trách nhiệm cho các quản trị viên, giám sát những tác vụ của người quản trị viên và giám sát, ngăn chặn việc chỉnh sửa các dữ liệu, nội dung nhật ký ở trên cơ sở dữ liệu.
• Khả năng giám sát về những mốc thời gian thực và phát hiện ra những cảnh báo về vấn đề vi phạm chính sách. Ví dụ, có thể tạo ra được những lời cảnh báo khi có một người quản trị viên nào đó thực hiện thao tác vấn tin từ 5 thông tin của thẻ tín dụng trở lên.

Nhiều công cụ khác sẽ cung cấp thêm một số những mức độ giám sát cơ sở dữ liệu khác, ví dụ như là công cụ quản trị sự kiện và các thông tin bảo mật (SIEM), công cụ hỗ trợ quản trị nhật ký (log management) hay công cụ thực hiện việc quản trị cơ sở dữ liệu.

Các sản phẩm DAM khác biệt bởi khả năng ghi nhận và phân tích các truy vấn SQL theo thời gian thực hoặc gần như thời gian thực mà không phụ thuộc vào quá trình ghi nhật ký của cơ sở dữ liệu cục bộ. Không dừng ở việc giám sát và đưa ra những lời cảnh báo đơn giản, các công cụ Database activity monitoring (DAM) mạnh còn có khả năng đánh giá được những vấn đề rủi ro nghiêm trọng và quản trị thay đổi.

Ứng dụng của Database activity monitoring (DAM)

Những ứng dụng của Database activity monitoring khá đa dạng, có thể kể đến như sau:

• Phân chia trách nhiệm một cách rõ ràng, cụ thể của các quản trị viên bằng việc thực thi giám sát tất cả những hoạt động của họ và đưa ra nhanh chóng những báo cáo theo yêu cầu của Đạo luật Sarbanes-Oxley. Đây là một Đạo luật đã được chính thức thông qua bởi Quốc hội Mỹ, trong đó thiết lập nên những tiêu chuẩn liên quan đến các vấn đề về việc bảo vệ dữ liệu, áp dụng rộng rãi đối với những đơn vị doanh nghiệp, các công ty đại chúng và các đơn vị kế toán của nước Mỹ.
• Đưa ra những lời cảnh báo cụ thể nếu như một ứng dụng truy vấn thông tin từ thẻ tín dụng từ những hệ thống cơ sở dữ liệu với một số lượng kết quả bị vượt ngưỡng nào đó (thường là lớn hơn 1), bởi đó có thể là dấu hiệu về việc tấn công của SQL injection.
• Đảm bảo việc chỉ có duy nhất một tài khoản dịch vụ chỉ truy cập đến hệ thống cơ sở dữ liệu từ địa chỉ IP đã định trước và chỉ có thể được chạy một tập nhỏ những truy vấn cho phép. Giải pháp DAM có thể cảnh báo về tình trạng một tài khoản dịch vụ truy cập vào trong hệ thống cơ sở dữ liệu từ một địa chỉ nào đó không xác định.
• Một số những tổ chức mã hóa dữ liệu đồng thời sử dụng công cụ DAM để thực hiện quyền kiểm tra, giám sát và cảnh báo sự truy cập thông tin thẻ tín dụng để đảm bảo việc tuân thủ các tiêu chuẩn PCI. Mã hóa sẽ bảo vệ các thông tin dữ liệu trên đường truyền vật lý còn công cụ DAM bảo vệ các dữ liệu khỏi bị tấn công từ bên trong và một số những dạng tấn công khác từ bên ngoài.
• Như một công cụ quản lý cấu hình và thay đổi, một số loại hình công cụ DAM tích hợp trực tiếp với những loại công cụ quản lý giám sát thay đổi bên ngoài để từ đó tra soát những thay đổi cơ sở dữ liệu thông tin được thực thi, triển khai bởi SQL. Các công cụ khác có thể thực hiện giám sát hoạt động của các quản trị viên và cung cấp được những báo cáo quản lý thay đổi.

Kiến trúc giải pháp DAM

Dưới đây là những kiến trúc giải pháp DAM:

Kiến trúc cơ bản

Một trong những thế mạnh chính của công cụ DAM là khả năng kiểm soát, giám sát nhiều hệ thống cơ sở dữ liệu và chạy ở trên nhiều DBMS khác nhau. Công cụ DAM tập hợp những loại dữ liệu thông tin thu thập từ nhiều những nguồn khác nhau vào trong một máy chủ trung tâm (central management server).

Trong một số các trường hợp khác nhau, thì máy chủ trung tâm chủ động thu thập thông tin dữ liệu, nhưng cũng có một số trường hợp đây chỉ đơn giản là một kho lưu trữ dữ liệu thông tin đến từ những công cụ thu thập được gửi đến. Tùy theo những yêu cầu cụ thể của các đơn vị tổ chức mà sẽ có 03 sự lựa chọn để triển khai DAM chủ yếu như sau:

- Máy chủ/Ứng dụng đơn: Một máy chủ hay ứng dụng đơn sẽ thực hiện được cả hai nhiệm vụ vai trò thu thập thông tin dữ liệu và quản lý các dữ liệu.

- Kiến trúc 2 lớp: gồm có một máy chủ quản lý dữ liệu trung tâm và những bộ gom dữ liệu (collector) từ xa. Máy chủ trung tâm sẽ không trực tiếp làm nhiệm vụ giám sát mà chỉ tập hợp các thông tin dữ liệu từ các hệ thống khác nhau, quản lý các chính sách và phát ra những lời cảnh báo. Các bộ gom dữ liệu từ xa sẽ áp dụng, sử dụng các kỹ thuật thu thập dữ liệu nào đó và từ đó sẽ gửi dữ liệu quay trở lại với máy chủ trung tâm.

- Kiến trúc phân cấp: Các điểm thu thập thông tin dữ liệu sẽ gắn với từng nghiệp vụ hoặc những thiết bị máy chủ quản lý phân tán theo từng khu vực vùng địa lý, sau đó tiếp tục gửi báo cáo lên máy chủ quản lý trung tâm của đơn vị doanh nghiệp. Mô hình phân cấp sẽ phù hợp nhất đối với những tổ chức, đơn vị doanh nghiệp lớn có các đơn vị nghiệp vụ nằm ở những khu vực, những vùng địa lý khác nhau. Có thể cấu hình chỉ truyền đi một số các loại thông tin nhất định giữa những tầng để quản lý hiệu quả dung lượng thông tin trao đổi hoặc phục vụ cho những yêu cầu về mặt chính sách và bảo mật dữ liệu thông tin của các đơn vị/vùng vật lý.

Dù có áp dụng kiến trúc nào đi nữa, máy chủ trung tâm vẫn sẽ phải chịu trách nhiệm tập hợp tất cả những thông tin, đưa ra những lời cảnh báo cụ thể dựa trên các chính sách cụ thể và quản lý những luồng quy trình, các báo cáo và nhiều loại tính năng nâng cao, hiện đại khác.

Các kỹ thuật thu thập dữ liệu

Điểm mấu chốt quan trọng nhất của tất cả những loại giải pháp DAM là bộ gom dữ liệu làm công tác, nhiệm vụ giám sát cơ sở dữ liệu thông tin sau đó, lưu trữ dữ liệu cục bộ hoặc là gửi đến bộ phận máy chủ trung tâm tùy vào cấu hình và những quy tắc lọc dữ liệu. Tối thiểu bộ gom dữ liệu phải làm công tác giám sát được lưu lượng của các truy vấn SQL (SQL traffic), được coi như là tính chất khác biệt của giải pháp DAM so với những loại ứng dụng quản lý nhật ký, SIEM và những loại hình công cụ giám sát cơ sở dữ liệu có tính chất đơn thuần khác. Hiện nay có 3 nhóm kỹ thuật thu thập dữ liệu chính đang được áp dụng như sau:

Giám sát mạng

Kỹ thuật này cho phép thực hiện giám sát lưu lượng mạng của những truy vấn SQL, phân tích và lưu trữ vào trong cơ sở dữ liệu của một bộ gom dữ liệu. Các công cụ này trước đây chỉ thực hiện việc giám sát được những truy vấn vào trong các dữ liệu (inbound SQL), còn hiện tại đa số kỹ thuật này đã có thể giám sát được cả hai chiều.

- Ưu điểm: Không ảnh hưởng nhiều đến hiệu năng của hệ thống cơ sở dữ liệu cần thực hiện giám sát, có thể làm công tác giám sát độc lập và không cần chỉnh sửa cơ sở dữ liệu, đồng thời giám sát được nhiều DBMS khác nhau cùng lúc.

- Nhược điểm: Vì không can thiệp được bên trong cơ sở dữ liệu đích nên không ghi nhận được các hoạt động phát sinh nội tại bên trong mà không đi qua hệ thống mạng, như việc đăng nhập nội bộ và kết nối từ xa (remote console connection). Trong trường hợp đó, giám sát mạng cần thực hiện triển khai đi kèm với những kỹ thuật giám sát có thể sẽ ghi nhận được chi tiết những hoạt động nội bộ. Giám sát mạng vẫn có thể được sử dụng khi thực hiện kết nối đến với các cơ sở dữ liệu được mã hóa bởi SSL hoặc IPSec bằng phương án cài đặt một ứng dụng VPN trước các hệ thống cơ sở dữ liệu, đồng thời giữa hai vị trí đó sẽ đặt một bộ gom dữ liệu của giải pháp DAM, nơi có lưu lượng dữ liệu thông tin vẫn chưa bị mã hóa.

Giám sát từ xa

Với kỹ thuật này, bộ gom dữ liệu sẽ được cấp cho quyền quản trị truy cập đến những hệ thống cơ sở dữ liệu đích và tính năng kiểm tra (audit) các cơ sở dữ liệu đã được chính thức kích hoạt. Bộ gom dữ liệu giám sát DBMS từ xa và thực hiện việc thu thập những hoạt động ghi nhận bởi tính năng kiểm tra dữ liệu thông tin. Tải tăng thêm ở trên hệ thống cần phải được giám sát kỹ lưỡng do sử dụng tính năng audit/logging. 

Tác nhân nội bộ

Kỹ thuật này đòi hỏi bản cài đặt của các phần mềm tác nhân ở trên hệ thống cơ sở dữ liệu cần phải giám sát, kiểm tra để thu thập các thông tin. Mỗi tác nhân sử dụng những loại kỹ thuật khác nhau và có được hiệu năng khác nhau (ngay cả ở trong cùng một dòng sản phẩm) tùy vào nền tảng hỗ trợ cài ở trên máy chủ mục tiêu và công cụ DBMS cài đặt trên đó. Những tác nhân này sẽ hạn chế được những sự tác động đối với hiệu năng (không vượt quá tỷ lệ 3-5%) bằng cách can thiệp sâu vào trong kernel của nền tảng để từ đó giám sát, kiểm tra các hoạt động mà không cần phải chỉnh sửa DBMS.

Database activity monitoring (DAM) là giải pháp bảo mật hiệu quả hàng đầu hiện nay được nhiều tổ chức, đơn vị doanh nghiệp sử dụng. Công cụ này có nhiều ứng dụng khác nhau.