“CSDN泄密事件”、“小米用户账号信息曝光”、“Facebook数据泄”和“12306网站用户泄密事件”,“携程网数据库数据恶意删除”……触目惊心的数据泄漏事件一件接一件层出不穷。由数据库安全原因爆发的安全问题越来越多,引起政企事业单位和社会的极大关注与反思。
当前信息化安全时代,以数据库为基础的信息系统在金融、保险、医疗、通讯等领域的基础设施建设中都得到了非常广泛的应用。在这一新的网络环境下,因为信息的易获取性,包含在数据库系统中的关乎商业机密、个人隐私等涉密信息将面临更多的安全威胁。想要保证信息系统的安全,就应该先防御信息系统的服务器漏洞、操作系统漏洞和网络传输入侵数据库。其中,对于网络非法入侵数据库,就可以通过数据库防火墙来防御。
数据库防火墙作为信息系统安全体系的基础和核心控制设备,贯穿于受控网络通信主干线,它对通过受控干线的任何通信行为进行安全处理,同时也承担着繁重的通信任务。由于传统边界防御安全产品和解决方案采用的都是被动防御的技术,不能够从根本上解决数据库数据所面临的安全威胁和风险,解决数据库安全需要专用的数据库安全设备从根本上解决数据安全问题。所以,目前很多企业在选择安全产品的时候,首选的也是数据库防火墙。
数据库防火墙与传统安全防护产品的区别
传统防护模式IDS/IPS的局限
IDS和IPS都是基于IP的防护手段。IDS核心功能在于发现异常行为,而IPS与之对应是阻断异常行为。无论是IDS还是IPS,核心的部分在于识别入侵。
主流IDS/IPS产品识别的依据通常是特征库。一些IDS/IPS厂商试图在其产品中增加数据库攻击特征指纹,并声称能保护数据库。但是事实上这些通用的IDS/IPS无法为数据库提供真正的保护。主要原因在于数据库服务器与其他类型服务器不同,是高度复杂的服务器,采用丰富的交互式语言和复杂协议。IDS/IPS如果试图采用同样机制将传统的处理方法照搬到数据库,显然是行不通的。
对于数据库攻击来说,攻击特征是非常复杂和千变万化的。比如SQL攻击,一般的文档会举例 OR’1’=’1’,一些声称拥有数据库攻击检测能力的IDS/IPS其实就是在Payload中寻找’1’=’1’的字符串,但是’2’=’2’呢?。。。这个列表可以说是无止尽的,也就是说IDS/IPSwu无法构建真正的能够涵盖数据库攻击的特征库。
剥离传统的IDS和IPS模式,我们反观一下之前业界常用的web防火墙和网络防火墙,和本文所提倡的数据库防火墙,存在哪些区别
Web防火墙与网络防火墙
数据库防火墙与传统的防火墙的主要区别就是从各自发挥的作用来看,一般有下述几个区别。
1、网络层防火墙一般都是从网络层进行防护。
2、WEB防火墙一般性都是对应用层的web协议解析进行防护,注重对WEB服务器的各种非法操作行为。
3、数据库防火墙主要是通过对应用层的数据库通讯协议解析进行防护,来控制各种数据库服务器的各种非法行为。
了解完数据库防火墙与传统防火墙的区别后,我们再了解下数据库防火墙所带给我们的好处。
1、通过系统自身的补丁、SQL注入防护能力,能够防止外部黑客攻击。
2、数据库防火墙可以对内部人员、第三方开发人员在敏感业务数据上的批量更新、高危的数据删除、表结构删除等行为,可以进行实时的报警,防止内部人员的高风险操作;
3、针对内部人员或黑客对于敏感数据的批量下载、查询的行为进行较为严格的控制。
4、对数据库的操作行为进行多角度的分析,来形成各种形式多种观察角度的审计报表,提供给客户进行分析。
主流防火墙产品解析
上文我们对数据库防火墙产品产生的必要性进行了必要性论述,下面我们就当前市场上几款主流防火墙产注意做产品解析
Oracle防火墙
Oracle在原来Secerno产品的基础之上正式推出了Oracle Database Firewall。该产品致力于防范数据库的非法访问和SQL注入攻击等安全问题,旨在全面加强数据库安全性。Oracle防火墙部署在应用和数据库之间设置的、用于加强数据库访问控制,对非法的访问或攻击进行阻,是一款纯软件的防火墙系统。实现机制是从源头保护数据,通过阻止和记录,审计和监测,访问控制,加密和屏蔽等方式,以避免从应用中非法窃取信息,避免通过盗用身份非法窃取数据。
Oracle-DBF的策略管理工具构建于基于语法的 SQL 分析之上,可以针对给定数据库定义经过认可的 SQL 语句白名单,还可以定义主动安全模型。当 Oracle防火墙策略管理使用有关网络的多种因素时,就可以构建功能强大的细粒度策略,从而确定生产环境发生的更改的时间、地点和方式。这种方式有助于识别对应用程序的SQL注入攻击,并且在这些攻击接近数据库之前就将其阻止。
McAfee防火墙
McAfeeFirewall是第一个使用全球信誉技术的防火墙解决方案,包括基于信誉的拦截和地理位置功能,以便在不需要的流量到达网络之前将其过滤 —在发生攻击之前将其阻止。McAfeeFirewall Enterprise可帮助安全管理员发现和识别数千种应用并执行相应的安全策略,为其提供额外的控制功能。能够实时确定防火墙规则以及规则变化对应用可用性、使用和安全性所造成的影响。
McAfee处理数据库防御功能外,针对数据库审计功能也提出了一站式集中解决方案,可以集中处理企多个McAfee安全设备的日志和审计数据,其可扩展性使其能应用于大型企业环境。其实时的收集,监控,关联并发出威胁警告,以便能够果断的采取防范措施。根据安全影响程度确定可操作信息的优先级,从而在威胁扩散或明信息泄露之前迅速采取补救措施。
McAfeeFirewall现在既可用于传统设备,也可用于新的虚拟化硬件设备,支持用户在其硬件虚拟环境中快速部署防护功能。
McAfeeFirewall产品功能
安华金和数据库防火墙
安华金和数据库防火墙(DBFirewall),是国内首款专业数据库防火墙产品,是一款集数据库IPS、IDS和审计功能为一体的综合安全产。从功能上即兼容了国际oracle数据库防火和McAfee防火墙产品的诸多优势,同时适用性上,不仅支持国际主流数据库,也增加了对国内数据库达梦、GBase、金仓三大品牌国产数据库的支持。
DBFirewall通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。并且面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能(oracle数据库防火墙所不具备);通过虚拟补丁包,数据库系统不用升级、打补丁,即可完成对主要数据库漏洞的防控。
DBFirewall客户价值体现
DBFirewall通过学习模式以及SQL语法分析构建动态模型,形成SQL白名单和SQL黑名单,对符合SQL白名单语句放行,对符合SQL黑名单特征语句阻断。对于数据库用户提供比DBMS系统更详细的虚拟权限控制。
控制策略包括:用户+操作+对象+时间。在控制操作中增加了Update Nowhere、delete Nowhere等高危操作;控制规则中增加返回行数和影响行数控制。
从以上三种防火墙系统的防护能力上加以细致分析,我们不难看出,数据库防火墙产品主要功能在于对数据库危险操作的阻断或者拦截,对数据库风险行为的预定义防护。数据库防火墙主要起到DB外层防护圈的作用,主要会出现在应用服务器与数据库服务器之间的应用侧场景,维护人员与数据库服务器之间的维护侧场景,还有就是两种场景混合的情况。
Oracle防火墙和McAfee防火墙产品属于国际主流数据库防火墙产品,同类产品中执牛耳者。具有丰富的数据库防护经验与经典的执行案例。但是不符合国保局对申报安全产品的要求,相对比,安华金和数据库防火墙产品更符合国内数据库防护要求及国家安全标准。更具有“中国式”数据库安全防护功能特性。