在已經(jīng)發(fā)布的等保2.0標準草稿中��,作為實現(xiàn)強制訪問控制的數(shù)據(jù)庫防御工事����,數(shù)據(jù)庫防火墻正在被越來越多的用戶關(guān)注,應(yīng)用在關(guān)鍵系統(tǒng)的數(shù)據(jù)庫安全防護中�,以保護核心數(shù)據(jù)資產(chǎn)安全。
數(shù)據(jù)庫防火墻不同于大家更為熟悉的數(shù)據(jù)庫審計�,根本區(qū)別在于兩者防護原理有本質(zhì)區(qū)別,數(shù)據(jù)庫審計更像是攝像頭����,旁路監(jiān)控數(shù)據(jù)庫訪問,發(fā)現(xiàn)威脅進行告警����,但不做實質(zhì)上的防御,實際上更偏向事后的追溯了�。而防火墻則更為直接,可以通過直接串聯(lián)或旁路部署的方式,對應(yīng)用與數(shù)據(jù)庫之間的訪問進行阻斷攔截等操作 �,它如同門衛(wèi),可以直接將可疑人員擋在門外��,攔截阻斷安全威脅��,起到事中防護的作用�����。
不過�����,最近也有聽到用戶疑問���,數(shù)據(jù)庫防火墻串聯(lián)部署和旁路部署有何區(qū)別�?當希望既實現(xiàn)實時阻斷���,又不影響業(yè)務(wù)訪問時,兩種部署方式如何選擇�����?
今天,我們就針對兩種不同部署方式的威脅防御原理進行簡單分析�����,利于用戶在選擇產(chǎn)品時能夠更好的選擇�����。
1���、兩種部署方式技術(shù)原理分析
事實上��,兩種部署方式的選擇更多取決于你的數(shù)據(jù)庫流量大小��。
串聯(lián)模式部署在應(yīng)用系統(tǒng)與數(shù)據(jù)庫之間��,所有SQL語句必須經(jīng)過數(shù)據(jù)庫防火墻的審核后才能到達數(shù)據(jù)庫��,發(fā)起訪問�、操作�。基于漏洞特征庫�����、SQL注入特征庫、黑白名單等的細粒度安全策略制定�����,結(jié)合訪問源��、訪問對象�����、訪問行為�、影響行數(shù)等準確解析結(jié)果,識別惡意數(shù)據(jù)庫指令�����,及時采取中斷會話或準確攔截語句的防御行為��,串聯(lián)部署最大的風險在于不能出現(xiàn)誤判斷����,影響正常語句通過,這就要求數(shù)據(jù)庫防火墻的語句解析能力足夠精準����,并且能夠建立非常完善的行為模型,在發(fā)現(xiàn)危險語句時�,能夠在不中斷會話的基礎(chǔ)上,準確攔截風險語句�����,放行正常訪問��。因此�,要想真正發(fā)揮防護效果,數(shù)據(jù)庫防火墻必須串聯(lián)在數(shù)據(jù)庫的前端��,可以是物理的(透明串接)或邏輯的(代理)串聯(lián)����。
至于旁路部署,目前比較常用的方式是通過發(fā)送reset(重置)命令進行重置會話����,但這樣的部署方式適用于較低流量情況下。如果面對高壓力場景�����,每秒鐘通過的SQL語句上千上萬條����,這種旁路分析識別后再發(fā)出阻斷請求���,勢必出現(xiàn)延遲,當數(shù)據(jù)庫防火墻發(fā)現(xiàn)風險操作時�����,數(shù)據(jù)庫早已執(zhí)行完成�����,而此時發(fā)出阻斷要求���,基本上攔截的是危險語句之后的正常訪問了�,反倒影響了正常業(yè)務(wù)訪問�。所以在高流量場景下,如果要實現(xiàn)實時阻斷攔截危險訪問的功能�����,串聯(lián)部署更為合適�����,但這對于產(chǎn)品的準確攔截能力有很高要求,既要攔的快����,也要攔的準����。
2、如何選擇成熟數(shù)據(jù)庫防火墻產(chǎn)品����?看資質(zhì)認證和案例
無論從政策角度還是用戶自身安全考慮來講,訪問控制手段必須實現(xiàn)實時阻斷�,等保2.0會對這方面增加要求,也體現(xiàn)了這一技術(shù)手段對于數(shù)據(jù)安全的必要性��。
判斷數(shù)據(jù)庫防火墻產(chǎn)品的可靠性�����,有2個簡單的方式:資質(zhì)認證和案例參考���。
我們在選擇數(shù)據(jù)庫防火墻產(chǎn)品時����,可以參考相關(guān)產(chǎn)品具備的資質(zhì)專業(yè)度,“安全網(wǎng)關(guān)”類或“審計類”的產(chǎn)品資質(zhì)更適用于網(wǎng)絡(luò)層的安全產(chǎn)品���,如果能夠具備“數(shù)據(jù)庫防護產(chǎn)品”資質(zhì)�,說明數(shù)據(jù)庫防火墻的專業(yè)性已經(jīng)得到專業(yè)測評機構(gòu)的權(quán)威認證����,更加可靠。
案例方面�,能夠經(jīng)得住超高流量下的數(shù)據(jù)庫訪問控制,說明這樣的產(chǎn)品具備精準的協(xié)議解析與風險識別能力����,并且能夠建立完善的行為模型和黑白名單,進而實現(xiàn)準確攔截���。安華金和數(shù)據(jù)庫防火墻曾在雙十一期間為上海某大型物流企業(yè)提供數(shù)據(jù)庫安全保障����,應(yīng)對日均近3w條/秒的吞吐量�,達到了精準攔截的效果。
3�����、等保2.0合規(guī)應(yīng)對,數(shù)據(jù)庫防火墻技術(shù)大有可為
無論從政策角度還是出于用戶自身安全考慮����,訪問控制手段必須實現(xiàn)實時阻斷,等保2.0會對這方面增加要求����,也體現(xiàn)了這一技術(shù)手段對于數(shù)據(jù)安全的必要性�����。等保2.0合規(guī)安全通用要求中���,針對應(yīng)用和數(shù)據(jù)安全明確提出訪問控制和入侵防范的要求����,其中:
關(guān)于入侵防范做出如下要求
應(yīng)能發(fā)現(xiàn)可能存在的漏洞�,并在經(jīng)過充分測試評估后,及時修補漏洞
由于性能和穩(wěn)定性的要求���,政務(wù)內(nèi)網(wǎng)多數(shù)使用國際主流數(shù)據(jù)庫���,漏洞多并且存在后門��,而使用國產(chǎn)數(shù)據(jù)庫也有安全漏洞���,再加上國外Metasploit、Nessus���,國內(nèi)DBHacker自動化漏洞驗證工具���,使漏洞攻擊不是難事。
應(yīng)對方法:數(shù)據(jù)庫防火墻的虛擬補丁技術(shù)可以有效應(yīng)對數(shù)據(jù)庫漏洞帶來的安全隱患����。
應(yīng)能夠檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警�����。
政務(wù)外網(wǎng)經(jīng)過十幾年安全建設(shè)�,SQL注入依然是網(wǎng)站安全的頑疾,幾大知名平臺爆出的數(shù)據(jù)漏洞絕大多數(shù)與SQL注入攻擊有關(guān)��,內(nèi)外網(wǎng)技術(shù)架構(gòu)相同��,隨著政務(wù)內(nèi)網(wǎng)加大互聯(lián)互通,SQL注入攻擊成為重點威脅���。
應(yīng)對方法:利用數(shù)據(jù)庫防火墻的SQL注入漏洞庫加以有效預(yù)防�����。
關(guān)于訪問控制做出如下要求
應(yīng)授予不同賬戶為完成各種成單任務(wù)所需的最小全線����,并在它們之間形成相互制約的關(guān)系�;
應(yīng)由授權(quán)主題配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)劃���;
訪問控制的粒度應(yīng)達到主體為用戶級,客體為文件����、數(shù)據(jù)庫表級、記錄或字段級����;
政務(wù)內(nèi)網(wǎng)數(shù)據(jù)庫管理員從業(yè)務(wù)安全角度權(quán)限低,但在數(shù)據(jù)庫維護中能看到所有數(shù)據(jù)��,造成安全權(quán)限與實際數(shù)據(jù)訪問能力的脫軌,數(shù)據(jù)庫運維過程中批量查詢敏感信息�,高危操作、誤操作均無法控制��,對生產(chǎn)數(shù)據(jù)影響大�。
應(yīng)對方法:數(shù)據(jù)庫防火墻的訪問控制功能,實現(xiàn)細粒度管控��。
他們?nèi)绾问褂?a href="http://m.wallpapic-fi.com/pro/dbfirewall.html" target="_blank" title="數(shù)據(jù)庫防火墻">數(shù)據(jù)庫防火墻保障數(shù)據(jù)安全����?
產(chǎn)品咨詢:4000 258 365 
