新闻动态

数据库防火墙的七种武器

2018-09-17 17:01:39 5

数据库防火墙的七种武器

熟悉信息安全的朋友对防火墙这个名词一定并不陌生,顾名思义防火墙就是一种屏障,其作用是帮助信息系统抵御外部攻击行为。那么什么是数据库防火墙呢?

随着DT时代的到来,数据的价值和重要性越发凸显出来,在用户对数据价值认可的同时,无数的攻击者也一直对企业数据跃跃欲试,甚至付诸行动通过非法获取的数据进行牟利,这种情况使得用户对于数据安全问题越来越重视,也就是在这种环境下专业的数据库防护产品数据库防火墙应运而生。不同于网络防火墙概念,数据库防火墙是针对数据库进行专项安全防护的产品,它可以同时应用于应用侧和运维侧,是基于数据库通讯协议进行精准的协议解析,快速定位异常攻击行为并实现事中时时防护。那么数据库防火墙又有什么独特的武器对数据库进行安全防护呢?笔者整理了目前成熟的数据库防火墙产品应该具有的的七种特点,供大家参考:

第一件武器,安全容灾机制是数据库防火墙的必备功能。

一般数据库防火墙具有三种链接部署方式:

  1. 透明网桥进行直连串接;

  2. 代理模式定义数据库代理IP;

  3. 旁路监听——镜像数据审计;

其中网桥串联模式,是数据库防火墙最为常用,也是最能体现防护价值的一种部署模式。健全的容灾机制,系统运行的稳定性以及对系统性能的影响,是评估数据库防火墙产品的关键。

其中数据库防火墙常用的容灾机制主要包括网桥bypass和HA双机部署模式。

Bypass功能:是指在产品异常断电或系统宕机情况下,进行网桥的强制链接。虽然无法执行防护,但是确保了数据库通讯网络的畅通,从而确保应用系统的运行。

HA双机部署模式:是采用主备两台设备进行双机部署,当主设备异常无法防护时,强制切换到备用设备继续执行数据库安全防护。

第二件武器,虚拟补丁——精致的数据库漏洞防护能力

数据库漏洞攻击行为,是当前外部入侵数据库的一种常用攻击行为。利用数据库自身存在的安全漏洞进行入侵,实现越权,托库等违规操作。基于数据库漏洞补丁进行防护,存在诸多不便,主要原因如下:

  1. 补丁更新周期较长,不能及时修复;

  2. 补丁覆盖范围较小,需要补丁的漏洞太多;

  3. 打补丁占用大量资源,很可能影响业务的正常运行。

因此,数据库防火墙引入了数据库虚拟补丁技术,通过收集并处理CVE报出的各类数据库漏洞,在数据库防火墙层面拦截对于数据库漏洞的攻击行为。帮助用户简便,及时,高效的完成数据库漏洞防护工作,很好的抵御外部入侵。

第三件武器,SQL注入阻断能力

数据库漏洞攻击是基于数据库自身的漏洞进行入侵的行为,但是当前数据库的运行环境必然存在大量的应用交互工作。那么借用应用访问对数据库实现sql注入攻击行为,就有些防不胜防了。 
 数据库防火墙产品通过对SQL语句进行注入特征描述,完成对SQL注入行为的检测和阻断。同时数据库防火墙系统提供缺省SQL注入特征库并支持定制化添加。全面的阻断了基于应用访问的攻击行为。

第四件武器,黑白名单,一套周密的防护机制

数据库防火墙一般需要建立一个学习周期,其目就是对数据库访问的SQL命令进行学习,并记录下学习的结果。通过语句模板进行归类映射海量的SQl语句,基于语句模板进行黑白名单关联,可以有效的从应用侧和运维侧两个层面进行规则设置,实现安全防护。

黑白名单语句和黑白名单规则编织成一幅安全防护的防线。基于优先级做规则遍历,黑名单阻断,拦截;白名单合规放行。

第五件武器,阻断、拦截功能充分保证数据库安全性

数据库防火墙区别于数据库审计产品,在审计、告警的基础上新增阻断、拦截操作。根据防火墙的防护规则,对非法访问、入侵行为和语句攻击进行会话阻断和语句拦截操作。可以基于高、中、低三种优先级进行规则设置,以实现风险防护。

会话阻断:是指基于防火墙的风险规则设置,对高危会话进行强制阻断,禁止该会话的所有操作行为。

语句拦截:是指再会话阻断效果上做更为细致的限制,只对风险语句进行拦截,不影响会话的整体操作。

会话阻断和语句拦截,从不同的角度基于优先级对数据库风险行为进行管控,有效的保障了数据库的安全,真正实现了防火墙的效果。

第六件武器,SQL语句精确解析能力——数据库防火墙的核心能力

数据库防火墙由于其串联防护的特殊性,精确的协议解析能力,是考量一款数据库防火墙产品的关键。因为在串联的情况下任何的误报、漏报都可能导致不可预期的后果。

数据库防火墙通过对捕获的SQL语句进行精细SQL语法分析,并根据SQL行为特征和关键词特征进行自动分类,系统访问SQL语句有效“归类”到几百个类别范围内,完成高精确和高可用分析;再根据防火墙周密的规则设置,对命中风险的语句、行为进行阻断、拦截或告警操作。实现切实可靠的数据库安全保障。

第七种武器,全面的数据库支撑和细粒度管理

任何一款产品,评判是否完善的关键就是在于其支持的范围是否全面,功能是否完善。数据库防火墙产品首先需要实现的就是对国内外主流数据库产品做到全覆盖,以适应不同数据库的安全防护需求。如:Oracle、SqlServer、mysql,DB2、sybaSE、达梦、金仓、南大通用等不同的数据库类型和版本。这是产品的适用性

另外,防火墙产品对数据库用户提供比DBMS系统更详细的虚拟权限控制。控制策略包括:用户+操作+对象+时间 等多个维度。同时在控制操作中增加Update  Nowhere、delete  Nowhere等高危操作;控制规则中增加返回行数和影响行数控制。 从影响范围上判断是否触及风险是数据库防火墙的一大亮点。

国内专业的数据库安全厂商安华金和,研发的国内首款数据库防火墙产品,以上的7种武器全部具备。欢迎广大用户联系测试。