數據庫安全工具的用途異常廣泛，提供了安全、合規、甚至運營等方面的好處。這些產品可從第三方獲得，提供的數據庫安全級別遠高于關系數據庫管理系統(RDBMS)廠商為客戶提供的安全級別。

對數據庫評估(又叫數據庫安全漏洞評估)、加密、數據庫合規和測試數據管理、標記化和數據屏蔽等領域的數據庫工具來說，尤其如此。

下面是企業常常使用安全附件來加強數據庫安全的幾種典型的使用場合和方式。由于數據庫用來支持企業內部幾乎每一種應用程序和業務職能，你會發現數據庫無處不在。正是由于具有如此多樣的用途，我們發現對數據庫安全的要求同樣多樣化。

第一種使用場合：合規

合規無疑是推動數據庫安全開支的最大因素，這也是為什么大多數公司只把附加的安全技術部署到監管部門審查范圍之內的那些數據庫上。監管法規往往分為兩個不同方面：受《薩班斯-奧克斯利法案》驅動的反欺詐和確保客戶隱私的支付卡行業數據安全標準，后者受《金融服務現代化法》及諸多州隱私保護法規的驅動。

數據庫安全還受與合規有關的第三個因素：成本削減的驅動。為數據庫或數據庫管理的數據確保安全常常比為與這些數據庫相關聯的所有應用程序和網絡確保安全來得容易，而且省錢。

用來滿足合規的數據庫安全工具五花八門。比如：

•評估掃描工具可定期檢測范圍內的數據庫，查找已知的安全漏洞和(內部)策略合規。一些監管法規要求定期評估數據庫，以查找安全問題、策略(配置)合規或兩者。

•權限審計，查明職務劃分是否落實到位，并尋找權限申請過度的情況，這由各監管法規定義。雖然所有安全漏洞工具能在某種程度上評估數據庫平臺，但不是針對數據庫的工具都無法執行這項任務：有資格地掃描和評估用戶權限。現在某些監管法規要求這么做，確保用戶無法在指定范圍之外操作，并且發現用戶被分配多個角色等問題，這會導致利益沖突。這可以手動評估，但是如果有工具可以使用，那么使用工具高效得多。

•數據庫活動監控(DAM)以監控特權用戶，這常常是在合規項目使用DAM產品的最大一個原因。這會生成登錄/退出報告，還能跟蹤所有的系統活動，并提醒管理員和一小部分特權用戶何時查看了敏感信息。

•使用DAM用于綜合的合規報告，覆蓋多個數據庫和應用程序。安全信息和事件管理(SIEM)平臺并不收集必要的事件，內置的數據庫工具并不提供跨數據庫統一收集事件或策略執行這種功能。策略級報告表明，控制措施落實到位，而其他報告提供了驗證控制措施必不可少的審計跟蹤記錄。大多數數據庫安全工具包括這類報告，滿足眾多主要監管法規的需要，還有針對特定行業的定制格式。

•標記化和數據屏蔽，移除了敏感數據，因而將數據庫從合規范圍移除出去。如果敏感數據換成非敏感數據，合規需求同樣被移除。

第二種使用場合：Web應用程序安全

SQL注入攻擊是一種針對數據庫發動的攻擊。 雖然攻擊通過應用程序進入，但這是一種數據庫攻擊，它仍是過去十年三種最常見的攻擊途徑之一。幾乎所有的Web應用程序都由數據庫來支持，但由于面向公眾的是應用程序，應用程序開發人員常常事先并未考慮到數據庫，對它未加保護。雖然Web應用防火墻可以阻止一些SQL注入攻擊，但是一個主要局限是，它們未必明白所要保護的數據庫，所以往往出現誤報和漏報。

DAM產品和數據庫防火墻可以解決這些問題，不需要勞命傷財地重寫應用程序代碼，即可排除SQL注入攻擊和腳本安全漏洞。改寫企業應用程序以處理安全問題的成本常常超過最初開發應用程序的成本;而在其他情況下，按照現有的人員數量，不可能在短時期內拿出修正版。這就是為什么許多公司尋找可應對這些攻擊的附加工具。

比如說，只要新的查詢或模式出現，查詢白名單就會提醒管理員，或者明白應用程序應該發送什么數據、自動阻止之外的任何數據。市面上的一些工具甚至能將違規情況返回給Web應用程序防火墻，或者提醒，或者終止可疑會話，甚至阻止行為不端的IP地址。

第三種使用場合：變更管理和內部審計

關鍵數據庫在補丁和升級過程中因糟糕的變更管理而出現故障比因攻擊而出現故障更為常見。不像應用程序代碼變更，管理員通常徑直進入到生產數據庫，直接處理數據，很容易引起停運。增添DAM支持的閉環變更管理(也就是故障單系統)可減少糟糕變更的可能性，并且大大加深了問責制，即便使用共享的登錄信息。

評估工具可以掃描數據庫，讓安全團隊和合規團隊可以驗證數據庫管理員盡到了本職工作。DAM用于閉環驗證：管理員的操作對應于特定的變更故障單，而監控機制表明了每個SQL命令的完整日志――還常常返回值。

DAM通常用于事件收集和分析，為合規報告和SIEM系統提供數據基礎，那樣審計團隊擁有所需的事件數據。而越來越多的公司在使用DAM和動態屏蔽技術，保護這些系統遠離惡意查詢，那樣不用更改應用程序或支持性數據庫，就可以實施安全策略。

如果一些公司擔心內部竊取和欺詐，這后一種驗證讓非數據庫管理員能夠全面了解數據庫維護和補丁方面所做的工作。

第四種使用場合：遺留數據庫安全

說實話，內部的許多數據庫是在沒人考慮數據或數據庫安全軟件的情況下就倉促設計和部署的。設計的這些數據庫依賴危險的因素，比如外部存儲的程序，或者使用社會保障號碼作為主要的數據庫密鑰。但是這些數據庫實例依然存在，因為它們支持關鍵的業務流程。問題在于，就算企業能找到仍非常清楚遺留系統的工作原理而改造遺留應用程序的人員，而且獲得了這方面所需的預算，軟硬件仍是太陳舊了，你只要碰一下系統，它們就出現故障。

數據庫安全工具日益關注的方面之一是遺留數據庫安全。這些尤其適合這種場合：企業因所需的變更會引起數據庫停止運行而無法為數據庫服務器確保安全。

誰會得益于數據庫安全軟件?

對大多數企業來說，它們根本不會詢問自己是否需要保護關系數據庫或RDBMS。畢竟，一連串的數據泄密事件和合規要求已解決了這個問題。

與此同時，企業組織還發現網絡和端點安全產品并沒有保護到數據庫。他們還痛苦地發現，RDBMS廠商的普通的安全產品聲稱可保護到數據庫，卻提供了不夠標準的策略和良莠不齊的事件收集功能。實際上，普通產品無法區別正常使用和惡意使用，也無法足夠有效地評估配置和補丁級別，因為它們缺少數據和分析功能。

讓這個問題復雜化的是，需要這些數據的利益相關方(比如安全團隊和內部審計團隊)缺少收集數據的技術經驗。IT和數據庫管理員又不愿改動應用程序或數據庫，生怕破壞這些系統的穩定性。

數據庫安全工具在這方面提供了實實在在的好處;它們讓用戶可以提供所需的安全和審計，又不用更改實際數據庫，也不會給數據庫的性能帶來負面影響。真正的挑戰在于，選擇合適的數據庫安全軟件，以解決企業面臨的問題，我們會在下一篇文章中探討這方面。

英文：Four enterprise scenarios for deploying database security tools