在已經(jīng)發(fā)布的等保2.0標(biāo)準(zhǔn)草稿中�,作為實現(xiàn)強(qiáng)制訪問控制的數(shù)據(jù)庫防御工事,數(shù)據(jù)庫防火墻正在被越來越多的用戶關(guān)注�����,應(yīng)用在關(guān)鍵系統(tǒng)的數(shù)據(jù)庫安全防護(hù)中���,以保護(hù)核心數(shù)據(jù)資產(chǎn)安全。
數(shù)據(jù)庫防火墻不同于大家更為熟悉的數(shù)據(jù)庫審計��,根本區(qū)別在于兩者防護(hù)原理有本質(zhì)區(qū)別�����,數(shù)據(jù)庫審計更像是攝像頭��,旁路監(jiān)控數(shù)據(jù)庫訪問���,發(fā)現(xiàn)威脅進(jìn)行告警�����,但不做實質(zhì)上的防御����,實際上更偏向事后的追溯了。而防火墻則更為直接����,可以通過直接串聯(lián)或旁路部署的方式,對應(yīng)用與數(shù)據(jù)庫之間的訪問進(jìn)行阻斷攔截等操作 ���,它如同門衛(wèi)�,可以直接將可疑人員擋在門外��,攔截阻斷安全威脅�,起到事中防護(hù)的作用。
不過�,最近也有聽到用戶疑問,數(shù)據(jù)庫防火墻串聯(lián)部署和旁路部署有何區(qū)別���?當(dāng)希望既實現(xiàn)實時阻斷�,又不影響業(yè)務(wù)訪問時����,兩種部署方式如何選擇�?
今天�����,我們就針對兩種不同部署方式的威脅防御原理進(jìn)行簡單分析��,利于用戶在選擇產(chǎn)品時能夠更好的選擇����。
1、兩種部署方式技術(shù)原理分析
事實上�����,兩種部署方式的選擇更多取決于你的數(shù)據(jù)庫流量大小����。
串聯(lián)模式部署在應(yīng)用系統(tǒng)與數(shù)據(jù)庫之間��,所有SQL語句必須經(jīng)過數(shù)據(jù)庫防火墻的審核后才能到達(dá)數(shù)據(jù)庫�,發(fā)起訪問、操作��?;诼┒刺卣鲙?、SQL注入特征庫����、黑白名單等的細(xì)粒度安全策略制定,結(jié)合訪問源����、訪問對象、訪問行為�����、影響行數(shù)等準(zhǔn)確解析結(jié)果�����,識別惡意數(shù)據(jù)庫指令����,及時采取中斷會話或準(zhǔn)確攔截語句的防御行為,串聯(lián)部署最大的風(fēng)險在于不能出現(xiàn)誤判斷�����,影響正常語句通過���,這就要求數(shù)據(jù)庫防火墻的語句解析能力足夠精準(zhǔn)��,并且能夠建立非常完善的行為模型�,在發(fā)現(xiàn)危險語句時,能夠在不中斷會話的基礎(chǔ)上�,準(zhǔn)確攔截風(fēng)險語句,放行正常訪問���。因此�����,要想真正發(fā)揮防護(hù)效果����,數(shù)據(jù)庫防火墻必須串聯(lián)在數(shù)據(jù)庫的前端�����,可以是物理的(透明串接)或邏輯的(代理)串聯(lián)��。
至于旁路部署�,目前比較常用的方式是通過發(fā)送reset(重置)命令進(jìn)行重置會話���,但這樣的部署方式適用于較低流量情況下�����。如果面對高壓力場景�����,每秒鐘通過的SQL語句上千上萬條�����,這種旁路分析識別后再發(fā)出阻斷請求��,勢必出現(xiàn)延遲�,當(dāng)數(shù)據(jù)庫防火墻發(fā)現(xiàn)風(fēng)險操作時,數(shù)據(jù)庫早已執(zhí)行完成����,而此時發(fā)出阻斷要求,基本上攔截的是危險語句之后的正常訪問了��,反倒影響了正常業(yè)務(wù)訪問�����。所以在高流量場景下,如果要實現(xiàn)實時阻斷攔截危險訪問的功能�����,串聯(lián)部署更為合適����,但這對于產(chǎn)品的準(zhǔn)確攔截能力有很高要求,既要攔的快���,也要攔的準(zhǔn)�����。
2����、如何選擇成熟數(shù)據(jù)庫防火墻產(chǎn)品�����?看資質(zhì)認(rèn)證和案例
無論從政策角度還是用戶自身安全考慮來講����,訪問控制手段必須實現(xiàn)實時阻斷,等保2.0會對這方面增加要求�,也體現(xiàn)了這一技術(shù)手段對于數(shù)據(jù)安全的必要性。
判斷數(shù)據(jù)庫防火墻產(chǎn)品的可靠性�����,有2個簡單的方式:資質(zhì)認(rèn)證和案例參考�。
我們在選擇數(shù)據(jù)庫防火墻產(chǎn)品時,可以參考相關(guān)產(chǎn)品具備的資質(zhì)專業(yè)度��,“安全網(wǎng)關(guān)”類或“審計類”的產(chǎn)品資質(zhì)更適用于網(wǎng)絡(luò)層的安全產(chǎn)品��,如果能夠具備“數(shù)據(jù)庫防護(hù)產(chǎn)品”資質(zhì)�����,說明數(shù)據(jù)庫防火墻的專業(yè)性已經(jīng)得到專業(yè)測評機(jī)構(gòu)的權(quán)威認(rèn)證��,更加可靠�����。
案例方面��,能夠經(jīng)得住超高流量下的數(shù)據(jù)庫訪問控制,說明這樣的產(chǎn)品具備精準(zhǔn)的協(xié)議解析與風(fēng)險識別能力���,并且能夠建立完善的行為模型和黑白名單��,進(jìn)而實現(xiàn)準(zhǔn)確攔截���。安華金和數(shù)據(jù)庫防火墻曾在雙十一期間為上海某大型物流企業(yè)提供數(shù)據(jù)庫安全保障,應(yīng)對日均近3w條/秒的吞吐量����,達(dá)到了精準(zhǔn)攔截的效果。
3��、等保2.0合規(guī)應(yīng)對����,數(shù)據(jù)庫防火墻技術(shù)大有可為
無論從政策角度還是出于用戶自身安全考慮,訪問控制手段必須實現(xiàn)實時阻斷���,等保2.0會對這方面增加要求�����,也體現(xiàn)了這一技術(shù)手段對于數(shù)據(jù)安全的必要性�。等保2.0合規(guī)安全通用要求中,針對應(yīng)用和數(shù)據(jù)安全明確提出訪問控制和入侵防范的要求�,其中:
關(guān)于入侵防范做出如下要求
應(yīng)能發(fā)現(xiàn)可能存在的漏洞,并在經(jīng)過充分測試評估后����,及時修補(bǔ)漏洞
由于性能和穩(wěn)定性的要求���,政務(wù)內(nèi)網(wǎng)多數(shù)使用國際主流數(shù)據(jù)庫�,漏洞多并且存在后門����,而使用國產(chǎn)數(shù)據(jù)庫也有安全漏洞,再加上國外Metasploit�����、Nessus���,國內(nèi)DBHacker自動化漏洞驗證工具��,使漏洞攻擊不是難事�。
應(yīng)對方法:數(shù)據(jù)庫防火墻的虛擬補(bǔ)丁技術(shù)可以有效應(yīng)對數(shù)據(jù)庫漏洞帶來的安全隱患��。
應(yīng)能夠檢測到對重要節(jié)點進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時提供報警����。
政務(wù)外網(wǎng)經(jīng)過十幾年安全建設(shè),SQL注入依然是網(wǎng)站安全的頑疾�����,幾大知名平臺爆出的數(shù)據(jù)漏洞絕大多數(shù)與SQL注入攻擊有關(guān)���,內(nèi)外網(wǎng)技術(shù)架構(gòu)相同���,隨著政務(wù)內(nèi)網(wǎng)加大互聯(lián)互通,SQL注入攻擊成為重點威脅�����。
應(yīng)對方法:利用數(shù)據(jù)庫防火墻的SQL注入漏洞庫加以有效預(yù)防��。
關(guān)于訪問控制做出如下要求
應(yīng)授予不同賬戶為完成各種成單任務(wù)所需的最小全線�,并在它們之間形成相互制約的關(guān)系;
應(yīng)由授權(quán)主題配置訪問控制策略�����,訪問控制策略規(guī)定主體對客體的訪問規(guī)劃;
訪問控制的粒度應(yīng)達(dá)到主體為用戶級���,客體為文件����、數(shù)據(jù)庫表級���、記錄或字段級;
政務(wù)內(nèi)網(wǎng)數(shù)據(jù)庫管理員從業(yè)務(wù)安全角度權(quán)限低����,但在數(shù)據(jù)庫維護(hù)中能看到所有數(shù)據(jù),造成安全權(quán)限與實際數(shù)據(jù)訪問能力的脫軌����,數(shù)據(jù)庫運維過程中批量查詢敏感信息,高危操作���、誤操作均無法控制��,對生產(chǎn)數(shù)據(jù)影響大��。
應(yīng)對方法:數(shù)據(jù)庫防火墻的訪問控制功能��,實現(xiàn)細(xì)粒度管控��。
他們?nèi)绾问褂?a href="http://m.wallpapic-fi.com/pro/dbfirewall.html" target="_blank" title="數(shù)據(jù)庫防火墻">數(shù)據(jù)庫防火墻保障數(shù)據(jù)安全���?
產(chǎn)品咨詢:4000 258 365 
