五分鐘了解數據庫防火墻應具備哪些能力
作者:星期五, 六月 21, 20190

互聯網時代,由數據庫引發的安全事件越來越多,數據庫防火墻作為保護數據庫安全必不可少的防御工事,也越來越受到企業關注。

那么數據庫防火墻究竟應該具備哪些能力,才能為企業數據資產筑起堅不可摧的安全防線?美創科技作為數據防火墻國標重要參與者,曾主導數據庫防火墻的標準制定,結合在該領域擁有雄厚的技術積累和產品經驗,總結出一個成熟的數據庫防火墻產品應具備的一系列關鍵能力。

一、數據庫防火墻的高可用性和高性能

數據庫在企業中承載著關鍵核心業務,其重要性不言而喻。由于數據庫防火墻是串聯到數據庫與應用服務器之間的安全設備, 因此不能因為安全設備的部署而影響業務系統正常使用,數據庫防火墻自身需要具備高可用性和高速率并發處理能力:

1、當安全設備因宕機、系統本身主程序不可用、內存持續被占等問題導致不可用時,自動切換到另外一臺安全設備進行運行,從而能夠達到設備的高可用,避免因日常維護操作(計劃)和突發的系統崩潰(非計劃)所導致的停機時間,影響生產業務連續性,提升系統和應用的高可用性。

2、因業務系統的高并發訪問,數據庫需要對標直連訪問數據庫,1毫秒內 SQL 處理速率要基本同直連訪問數據庫,避免因數據庫防火墻部署影響業務系統的正常使用。

二、準入控制

就跟人需要有身份證一樣,接入數據庫也需要有授權身份才可以接入,根據不同的身份因子對人進行多維度的識別,保證身份真實性和可靠性。

1、多因素身份:數據庫用戶名、應用系統用戶、IP地址、MAC地址、客戶端程序名、登錄時間等因子的多因素組合準入

2、應用防假冒,可對應用程序進行特征識別,識別應用的真實性,避免應用被假冒,從而導致應用被非法利用

三、入侵防護功能

數據庫防火墻每天都需要面對外部環境的各種攻擊,在識別真實人員的基礎上,我們還需要對他們的訪問行為和特征進行檢測,并對危險行為進行防御,主要防御功能有:

1、SQL 注入安全防御,構建 SQL 注入特征庫,實現對注入攻擊的 SQL 特征識別,結合 SQL 白名單機制實現實時攻擊阻斷;

2、漏洞攻擊防御,由于數據庫升級困難的前提存在,需要對數據庫漏洞進行掃描識別漏洞,并對這些漏洞進行虛擬補丁,避免黑客通過不這些漏洞進行攻擊;

3、敏感 SQL 防御,即 SQL 所帶有敏感信息,對這些 SQL 需要單獨管理,只授權給可以訪問的身份,拒絕未經授權的身份進行訪問。

四、訪問控制

很多應用程序往往存在權限控制漏洞,無法控制某些非法訪問、高危操作,比如統方、絕密資料的獲取等。這些潛藏巨大風險的行為,需要進行管理和控制:

1、防撞庫,當密碼輸入次數達到預設閾值時,鎖定攻擊終端;

2、危險操作阻斷,當應用在執行全量刪除、修改等高危行為的時候,需要對這些行為進行阻斷;

3、敏感信息訪問脫敏,根據訪問者的權限,返回不同的數據,權限足夠時看到真實的數據,權限不足時返回經過脫敏的數據,避免敏感信息泄露;

4、訪問返回行數控制,可對訪問結果進行管理,避免非法一次性導出大量數據庫,導致數據的大量流失。

五、SQL白名單

SQL 白名單,就是創建應用的 SQL 白名單庫,對于這些安全 SQL 進行放行,對于危險 SQL 進行阻斷;SQL 白名單可以只針對可信 SQL 做特征識別、而不符合可信 SQL 特征的我們都可以認為他是未知或高危的 SQL,并進行阻斷或告警。

六、風險監控

一般來說數據庫防火墻往往會管理多個數據庫,當數據庫達到一定數量時,通過人工很難監控數據庫的整體安全情況,因此需要監控平臺進行統一的安全監控:

1、監控數據庫防火墻的整體安全情況,當出現風險時可快速的定位當前被攻擊的數據庫及發起攻擊的客戶端等;

2、可視化展示,直觀、全局、清晰的把握數據庫安全情況。

七、告警

對于任何不認識的新面孔和操作都進行識別并實時告警,是數據庫安全防護必不可少的一環,包括:新發現的IP地址,應用程序,數據庫賬戶,應用賬戶,訪問對象,訪問操作,SQL 語句,因為新入場的操作多數情況下意味著威脅。對于一些訪問頻率比較低的訪問主題和操作,也進行識別和告警。如果訪問終端的 IP 地址,主機名或者 MAC 地址發生變化,往往也意味著危險,審計系統也會告警。

系統可通過短信、郵件、動畫等多種告警手段來保證告警的實時性通過精細化的事件審計、靈活的告警規則、重復事件合并和過濾功能,以及強大的搜索引擎保障來保證告警信息不會泛濫造成管理者麻木,管理者也可以依據自身的安全需求訂閱相關的告警。

八、全面精確的審計分析與追蹤

全面詳細的審計記錄,審計日志完整的記錄了以下基本要素:

Who?— 真實的數據庫帳號、主機名稱、操作系統帳號等真實身份。

What?— 什么對象數據被訪問了,執行了什么操作。

When?— 每個事件發生的具體時間。

Where?— 事件的來源和目的,包括 IP 地址、MAC 地址等。

How?— 通過哪些應用程序或第三方工具進行的操作。

result:通過、拒絕、告警等。

(文章作者:杭州美創科技)

 

相關閱讀

淺談數據庫防火墻技術及應用

數據庫防火墻的正確打開方式

數據庫防火墻商業化的前提條件

 

 

 

 


相關文章

寫一條評論

 

 

0條評論