在已經(jīng)發(fā)布的等保2.0標準草稿中�,作為實現(xiàn)強制訪問控制的數(shù)據(jù)庫防御工事,數(shù)據(jù)庫防火墻正在被越來越多的用戶關注���,應用在關鍵系統(tǒng)的數(shù)據(jù)庫安全防護中����,以保護核心數(shù)據(jù)資產(chǎn)安全�����。
數(shù)據(jù)庫防火墻不同于大家更為熟悉的數(shù)據(jù)庫審計���,根本區(qū)別在于兩者防護原理有本質區(qū)別�,數(shù)據(jù)庫審計更像是攝像頭�����,旁路監(jiān)控數(shù)據(jù)庫訪問�,發(fā)現(xiàn)威脅進行告警,但不做實質上的防御����,實際上更偏向事后的追溯了����。而防火墻則更為直接��,可以通過直接串聯(lián)或旁路部署的方式�����,對應用與數(shù)據(jù)庫之間的訪問進行阻斷攔截等操作 ����,它如同門衛(wèi)�����,可以直接將可疑人員擋在門外��,攔截阻斷安全威脅��,起到事中防護的作用��。
不過�����,最近也有聽到用戶疑問,數(shù)據(jù)庫防火墻串聯(lián)部署和旁路部署有何區(qū)別�?當希望既實現(xiàn)實時阻斷,又不影響業(yè)務訪問時����,兩種部署方式如何選擇?
今天���,我們就針對兩種不同部署方式的威脅防御原理進行簡單分析�,利于用戶在選擇產(chǎn)品時能夠更好的選擇��。
1�、兩種部署方式技術原理分析
事實上,兩種部署方式的選擇更多取決于你的數(shù)據(jù)庫流量大小�。
串聯(lián)模式部署在應用系統(tǒng)與數(shù)據(jù)庫之間,所有SQL語句必須經(jīng)過數(shù)據(jù)庫防火墻的審核后才能到達數(shù)據(jù)庫����,發(fā)起訪問、操作����。基于漏洞特征庫�、SQL注入特征庫����、黑白名單等的細粒度安全策略制定���,結合訪問源、訪問對象��、訪問行為����、影響行數(shù)等準確解析結果,識別惡意數(shù)據(jù)庫指令���,及時采取中斷會話或準確攔截語句的防御行為����,串聯(lián)部署最大的風險在于不能出現(xiàn)誤判斷��,影響正常語句通過�,這就要求數(shù)據(jù)庫防火墻的語句解析能力足夠精準,并且能夠建立非常完善的行為模型�,在發(fā)現(xiàn)危險語句時,能夠在不中斷會話的基礎上�,準確攔截風險語句�,放行正常訪問����。因此,要想真正發(fā)揮防護效果����,數(shù)據(jù)庫防火墻必須串聯(lián)在數(shù)據(jù)庫的前端,可以是物理的(透明串接)或邏輯的(代理)串聯(lián)�。
至于旁路部署,目前比較常用的方式是通過發(fā)送reset(重置)命令進行重置會話��,但這樣的部署方式適用于較低流量情況下�。如果面對高壓力場景,每秒鐘通過的SQL語句上千上萬條��,這種旁路分析識別后再發(fā)出阻斷請求�����,勢必出現(xiàn)延遲��,當數(shù)據(jù)庫防火墻發(fā)現(xiàn)風險操作時�,數(shù)據(jù)庫早已執(zhí)行完成,而此時發(fā)出阻斷要求����,基本上攔截的是危險語句之后的正常訪問了���,反倒影響了正常業(yè)務訪問。所以在高流量場景下����,如果要實現(xiàn)實時阻斷攔截危險訪問的功能�,串聯(lián)部署更為合適,但這對于產(chǎn)品的準確攔截能力有很高要求����,既要攔的快,也要攔的準�。
2、如何選擇成熟數(shù)據(jù)庫防火墻產(chǎn)品�?看資質認證和案例
無論從政策角度還是用戶自身安全考慮來講,訪問控制手段必須實現(xiàn)實時阻斷��,等保2.0會對這方面增加要求��,也體現(xiàn)了這一技術手段對于數(shù)據(jù)安全的必要性�����。
判斷數(shù)據(jù)庫防火墻產(chǎn)品的可靠性,有2個簡單的方式:資質認證和案例參考���。
我們在選擇數(shù)據(jù)庫防火墻產(chǎn)品時�����,可以參考相關產(chǎn)品具備的資質專業(yè)度�����,“安全網(wǎng)關”類或“審計類”的產(chǎn)品資質更適用于網(wǎng)絡層的安全產(chǎn)品�,如果能夠具備“數(shù)據(jù)庫防護產(chǎn)品”資質����,說明數(shù)據(jù)庫防火墻的專業(yè)性已經(jīng)得到專業(yè)測評機構的權威認證,更加可靠�。
案例方面,能夠經(jīng)得住超高流量下的數(shù)據(jù)庫訪問控制����,說明這樣的產(chǎn)品具備精準的協(xié)議解析與風險識別能力,并且能夠建立完善的行為模型和黑白名單���,進而實現(xiàn)準確攔截�。安華金和數(shù)據(jù)庫防火墻曾在雙十一期間為上海某大型物流企業(yè)提供數(shù)據(jù)庫安全保障,應對日均近3w條/秒的吞吐量����,達到了精準攔截的效果。
3����、等保2.0合規(guī)應對,數(shù)據(jù)庫防火墻技術大有可為
無論從政策角度還是出于用戶自身安全考慮�����,訪問控制手段必須實現(xiàn)實時阻斷���,等保2.0會對這方面增加要求,也體現(xiàn)了這一技術手段對于數(shù)據(jù)安全的必要性�。等保2.0合規(guī)安全通用要求中,針對應用和數(shù)據(jù)安全明確提出訪問控制和入侵防范的要求��,其中:
關于入侵防范做出如下要求
應能發(fā)現(xiàn)可能存在的漏洞�,并在經(jīng)過充分測試評估后,及時修補漏洞
由于性能和穩(wěn)定性的要求���,政務內(nèi)網(wǎng)多數(shù)使用國際主流數(shù)據(jù)庫�����,漏洞多并且存在后門�,而使用國產(chǎn)數(shù)據(jù)庫也有安全漏洞,再加上國外Metasploit���、Nessus�,國內(nèi)DBHacker自動化漏洞驗證工具�,使漏洞攻擊不是難事。
應對方法:數(shù)據(jù)庫防火墻的虛擬補丁技術可以有效應對數(shù)據(jù)庫漏洞帶來的安全隱患���。
應能夠檢測到對重要節(jié)點進行入侵的行為��,并在發(fā)生嚴重入侵事件時提供報警���。
政務外網(wǎng)經(jīng)過十幾年安全建設,SQL注入依然是網(wǎng)站安全的頑疾�,幾大知名平臺爆出的數(shù)據(jù)漏洞絕大多數(shù)與SQL注入攻擊有關,內(nèi)外網(wǎng)技術架構相同�����,隨著政務內(nèi)網(wǎng)加大互聯(lián)互通,SQL注入攻擊成為重點威脅����。
應對方法:利用數(shù)據(jù)庫防火墻的SQL注入漏洞庫加以有效預防。
關于訪問控制做出如下要求
應授予不同賬戶為完成各種成單任務所需的最小全線�����,并在它們之間形成相互制約的關系��;
應由授權主題配置訪問控制策略�����,訪問控制策略規(guī)定主體對客體的訪問規(guī)劃���;
訪問控制的粒度應達到主體為用戶級,客體為文件�、數(shù)據(jù)庫表級、記錄或字段級���;
政務內(nèi)網(wǎng)數(shù)據(jù)庫管理員從業(yè)務安全角度權限低����,但在數(shù)據(jù)庫維護中能看到所有數(shù)據(jù)���,造成安全權限與實際數(shù)據(jù)訪問能力的脫軌�����,數(shù)據(jù)庫運維過程中批量查詢敏感信息�����,高危操作����、誤操作均無法控制,對生產(chǎn)數(shù)據(jù)影響大�。
應對方法:數(shù)據(jù)庫防火墻的訪問控制功能,實現(xiàn)細粒度管控����。
他們?nèi)绾问褂?a href="http://m.wallpapic-fi.com/pro/dbfirewall.html" target="_blank" title="數(shù)據(jù)庫防火墻">數(shù)據(jù)庫防火墻保障數(shù)據(jù)安全?
產(chǎn)品咨詢:4000 258 365 
