在已經發(fā)布的等保2.0標準草稿中�����,作為實現(xiàn)強制訪問控制的數據庫防御工事���,數據庫防火墻正在被越來越多的用戶關注��,應用在關鍵系統(tǒng)的數據庫安全防護中��,以保護核心數據資產安全�����。
數據庫防火墻不同于大家更為熟悉的數據庫審計�����,根本區(qū)別在于兩者防護原理有本質區(qū)別��,數據庫審計更像是攝像頭�,旁路監(jiān)控數據庫訪問,發(fā)現(xiàn)威脅進行告警���,但不做實質上的防御�����,實際上更偏向事后的追溯了�����。而防火墻則更為直接��,可以通過直接串聯(lián)或旁路部署的方式��,對應用與數據庫之間的訪問進行阻斷攔截等操作 ����,它如同門衛(wèi),可以直接將可疑人員擋在門外�,攔截阻斷安全威脅,起到事中防護的作用����。
不過,最近也有聽到用戶疑問�����,數據庫防火墻串聯(lián)部署和旁路部署有何區(qū)別����?當希望既實現(xiàn)實時阻斷��,又不影響業(yè)務訪問時��,兩種部署方式如何選擇����?
今天,我們就針對兩種不同部署方式的威脅防御原理進行簡單分析����,利于用戶在選擇產品時能夠更好的選擇��。
1�、兩種部署方式技術原理分析
事實上���,兩種部署方式的選擇更多取決于你的數據庫流量大小�。
串聯(lián)模式部署在應用系統(tǒng)與數據庫之間���,所有SQL語句必須經過數據庫防火墻的審核后才能到達數據庫��,發(fā)起訪問���、操作�;诼┒刺卣鲙臁QL注入特征庫�����、黑白名單等的細粒度安全策略制定����,結合訪問源����、訪問對象��、訪問行為�、影響行數等準確解析結果,識別惡意數據庫指令�����,及時采取中斷會話或準確攔截語句的防御行為�����,串聯(lián)部署最大的風險在于不能出現(xiàn)誤判斷��,影響正常語句通過����,這就要求數據庫防火墻的語句解析能力足夠精準����,并且能夠建立非常完善的行為模型,在發(fā)現(xiàn)危險語句時���,能夠在不中斷會話的基礎上�����,準確攔截風險語句�����,放行正常訪問�。因此,要想真正發(fā)揮防護效果����,數據庫防火墻必須串聯(lián)在數據庫的前端,可以是物理的(透明串接)或邏輯的(代理)串聯(lián)�����。
至于旁路部署�,目前比較常用的方式是通過發(fā)送reset(重置)命令進行重置會話,但這樣的部署方式適用于較低流量情況下�����。如果面對高壓力場景,每秒鐘通過的SQL語句上千上萬條���,這種旁路分析識別后再發(fā)出阻斷請求�����,勢必出現(xiàn)延遲����,當數據庫防火墻發(fā)現(xiàn)風險操作時�,數據庫早已執(zhí)行完成,而此時發(fā)出阻斷要求��,基本上攔截的是危險語句之后的正常訪問了�����,反倒影響了正常業(yè)務訪問��。所以在高流量場景下���,如果要實現(xiàn)實時阻斷攔截危險訪問的功能,串聯(lián)部署更為合適�,但這對于產品的準確攔截能力有很高要求,既要攔的快,也要攔的準����。
2、如何選擇成熟數據庫防火墻產品�?看資質認證和案例
無論從政策角度還是用戶自身安全考慮來講,訪問控制手段必須實現(xiàn)實時阻斷�,等保2.0會對這方面增加要求,也體現(xiàn)了這一技術手段對于數據安全的必要性��。
判斷數據庫防火墻產品的可靠性�,有2個簡單的方式:資質認證和案例參考。
我們在選擇數據庫防火墻產品時��,可以參考相關產品具備的資質專業(yè)度�,“安全網關”類或“審計類”的產品資質更適用于網絡層的安全產品,如果能夠具備“數據庫防護產品”資質����,說明數據庫防火墻的專業(yè)性已經得到專業(yè)測評機構的權威認證,更加可靠�。
案例方面,能夠經得住超高流量下的數據庫訪問控制����,說明這樣的產品具備精準的協(xié)議解析與風險識別能力�,并且能夠建立完善的行為模型和黑白名單����,進而實現(xiàn)準確攔截。918搏天堂數據庫防火墻曾在雙十一期間為上海某大型物流企業(yè)提供數據庫安全保障�����,應對日均近3w條/秒的吞吐量�,達到了精準攔截的效果。
3�����、等保2.0合規(guī)應對����,數據庫防火墻技術大有可為
無論從政策角度還是出于用戶自身安全考慮,訪問控制手段必須實現(xiàn)實時阻斷��,等保2.0會對這方面增加要求��,也體現(xiàn)了這一技術手段對于數據安全的必要性��。等保2.0合規(guī)安全通用要求中���,針對應用和數據安全明確提出訪問控制和入侵防范的要求��,其中:
關于入侵防范做出如下要求
應能發(fā)現(xiàn)可能存在的漏洞�,并在經過充分測試評估后�����,及時修補漏洞
由于性能和穩(wěn)定性的要求���,政務內網多數使用國際主流數據庫�,漏洞多并且存在后門����,而使用國產數據庫也有安全漏洞,再加上國外Metasploit����、Nessus,國內DBHacker自動化漏洞驗證工具��,使漏洞攻擊不是難事�����。
應對方法:數據庫防火墻的虛擬補丁技術可以有效應對數據庫漏洞帶來的安全隱患。
應能夠檢測到對重要節(jié)點進行入侵的行為��,并在發(fā)生嚴重入侵事件時提供報警�。
政務外網經過十幾年安全建設,SQL注入依然是網站安全的頑疾���,幾大知名平臺爆出的數據漏洞絕大多數與SQL注入攻擊有關�����,內外網技術架構相同�����,隨著政務內網加大互聯(lián)互通���,SQL注入攻擊成為重點威脅。
應對方法:利用數據庫防火墻的SQL注入漏洞庫加以有效預防���。
關于訪問控制做出如下要求
應授予不同賬戶為完成各種成單任務所需的最小全線�����,并在它們之間形成相互制約的關系�;
應由授權主題配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)劃�����;
訪問控制的粒度應達到主體為用戶級�����,客體為文件�、數據庫表級���、記錄或字段級��;
政務內網數據庫管理員從業(yè)務安全角度權限低���,但在數據庫維護中能看到所有數據,造成安全權限與實際數據訪問能力的脫軌���,數據庫運維過程中批量查詢敏感信息����,高危操作��、誤操作均無法控制,對生產數據影響大�。
應對方法:數據庫防火墻的訪問控制功能,實現(xiàn)細粒度管控��。
他們如何使用數據庫防火墻保障數據安全�����?
產品咨詢:4000 258 365 
