近年來(lái),作為高效而直接的數(shù)據(jù)庫(kù)防御工事,數(shù)據(jù)庫(kù)防火墻已被越來(lái)越多的用戶關(guān)注,應(yīng)用在關(guān)鍵系統(tǒng)的數(shù)據(jù)庫(kù)安全防護(hù)中,以保護(hù)核心數(shù)據(jù)資產(chǎn)安全。實(shí)現(xiàn)危險(xiǎn)行為過(guò)濾,數(shù)據(jù)庫(kù)防火墻必需串聯(lián)部署,才能形成數(shù)據(jù)庫(kù)的安全屏障。這要求其既要發(fā)揮抵御威脅行為的功能,同時(shí)又不能影響正常的應(yīng)用訪問(wèn),造成業(yè)務(wù)中斷。
有人說(shuō):數(shù)據(jù)庫(kù)防火墻風(fēng)險(xiǎn)大,一不小心你的應(yīng)用就癱瘓了!真是這樣嗎?
事實(shí)上,滿足如此嚴(yán)苛要求的關(guān)鍵在于如何實(shí)現(xiàn)精準(zhǔn)的應(yīng)用關(guān)聯(lián)防護(hù),能夠在不中斷業(yè)務(wù)訪問(wèn)的基礎(chǔ)上,精準(zhǔn)定位威脅行為并攔截,從而達(dá)到精確而無(wú)副作用的防護(hù)效果,這也成為一款數(shù)據(jù)庫(kù)防火墻產(chǎn)品是否成熟可用的必要條件。
語(yǔ)句攔截—奠定應(yīng)用防護(hù)的基礎(chǔ)
通常來(lái)講,數(shù)據(jù)庫(kù)防火墻可以通過(guò)兩種方式實(shí)現(xiàn)威脅防御:中斷會(huì)話和語(yǔ)句攔截。
中斷會(huì)話
直接切斷應(yīng)用與數(shù)據(jù)庫(kù)的會(huì)話連接,這種方式粗暴簡(jiǎn)單,也最易實(shí)現(xiàn)。這種防護(hù)方式也是很多不成熟的數(shù)據(jù)庫(kù)防火墻產(chǎn)品所提供的解決方案。我們知道數(shù)據(jù)庫(kù)的訪問(wèn)行為,來(lái)自DBA等運(yùn)維人員及應(yīng)用系統(tǒng)的訪問(wèn)調(diào)用,這其中應(yīng)用系統(tǒng)的訪問(wèn)更為頻繁,對(duì)于業(yè)務(wù)連續(xù)性的要求也最高,中斷會(huì)話等于業(yè)務(wù)癱瘓,顯然不可取。
語(yǔ)句攔截
攔截語(yǔ)句的方式是指在保持原有會(huì)話暢通的基礎(chǔ)上,精準(zhǔn)攔截威脅語(yǔ)句。既不破壞業(yè)務(wù)連續(xù)性,又能將風(fēng)險(xiǎn)語(yǔ)句過(guò)濾下來(lái)。這考驗(yàn)數(shù)據(jù)庫(kù)防火墻對(duì)SQL語(yǔ)句的精準(zhǔn)解析、風(fēng)險(xiǎn)策略的靈活和適用性,也是實(shí)現(xiàn)數(shù)據(jù)庫(kù)應(yīng)用關(guān)聯(lián)防護(hù)的基礎(chǔ)所在。
應(yīng)用關(guān)聯(lián)審計(jì)——準(zhǔn)確定位應(yīng)用訪問(wèn)信息
接觸過(guò)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的朋友應(yīng)該知道,“三層關(guān)聯(lián)審計(jì)”功能在不少數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品中已經(jīng)實(shí)現(xiàn),即通過(guò)“時(shí)間戳”等方式從數(shù)據(jù)庫(kù)訪問(wèn)信息中捕獲應(yīng)用賬號(hào)、IP等應(yīng)用關(guān)聯(lián)信息,但眾所周知,“時(shí)間戳”的方式在功能上具有極大的缺陷——關(guān)聯(lián)審計(jì)信息并不準(zhǔn)確,即使是在旁路審計(jì)上應(yīng)用,也已經(jīng)廣受詬病,更何況串接部署的數(shù)據(jù)庫(kù)防火墻。一旦解析錯(cuò)誤,將造成正常語(yǔ)句被攔截, 嚴(yán)重影響業(yè)務(wù)運(yùn)轉(zhuǎn)。
因此,安華金和在國(guó)內(nèi)首先提出基于“應(yīng)用插件”實(shí)現(xiàn)“應(yīng)用關(guān)聯(lián)審計(jì)”的理念,目前也在行業(yè)內(nèi)得到更廣泛的應(yīng)用。這種解析方式,是以一個(gè)簡(jiǎn)易的jar包集成到應(yīng)用系統(tǒng),從而完成部署,在并發(fā)達(dá)到上千級(jí)別的連接時(shí),仍然能實(shí)現(xiàn)100%準(zhǔn)確關(guān)聯(lián),以精確的方式捕獲到應(yīng)用端相關(guān)信息。同時(shí),這種解析能力需要具備高適用性,除了適用于Weblogic、tomcat、Websphere、Jboss等主流的應(yīng)用服務(wù)器,也能支持F5等負(fù)載均衡模式下針對(duì)代理IP的關(guān)聯(lián)審計(jì)挖掘,準(zhǔn)確定位應(yīng)用訪問(wèn)信息。
具備保持會(huì)話前提下的語(yǔ)句攔截功能,并能提供精準(zhǔn)應(yīng)用關(guān)聯(lián)能力,如此看來(lái),實(shí)現(xiàn)數(shù)據(jù)庫(kù)的應(yīng)用關(guān)聯(lián)防護(hù)已經(jīng)具備非常堅(jiān)實(shí)的基礎(chǔ)。最后一步,基于多維度匹配靈活的安全策略,是實(shí)現(xiàn)應(yīng)用關(guān)聯(lián)防護(hù)的最后一錘。
多樣性的策略——實(shí)現(xiàn)細(xì)粒度行為控制
學(xué)習(xí)、建立數(shù)據(jù)庫(kù)行為模型
應(yīng)用系統(tǒng)的訪問(wèn)特點(diǎn)是基于固定的業(yè)務(wù)模型執(zhí)行批量的SQl語(yǔ)句,學(xué)習(xí)應(yīng)用的訪問(wèn)行為是判斷異常風(fēng)險(xiǎn)語(yǔ)句的關(guān)鍵。數(shù)據(jù)庫(kù)防火墻在正式投入串接使用之前,需要旁路部署經(jīng)過(guò)一段學(xué)習(xí)期,大量學(xué)習(xí)應(yīng)用側(cè)的訪問(wèn)行為,涵蓋:
客戶端信息(客戶端IP、客戶端工具、主機(jī)名、操作系統(tǒng)、登錄的數(shù)據(jù)庫(kù)用戶等)
應(yīng)用信息(應(yīng)用賬號(hào)、應(yīng)用IP等)
訪問(wèn)對(duì)象信息(數(shù)據(jù)庫(kù)實(shí)例、表、字段等)
從而建立數(shù)據(jù)庫(kù)行為模型,進(jìn)一步制定全面靈活的安全策略。
高細(xì)粒度的安全策略設(shè)定
精細(xì)化的安全策略需要具備高細(xì)粒度,能夠基于單條策略進(jìn)行多層次設(shè)定,將應(yīng)用賬號(hào)、客戶端IP、SQL語(yǔ)句等進(jìn)行綁定,實(shí)現(xiàn)對(duì)應(yīng)用用戶進(jìn)行訪問(wèn)行為控制。譬如,客服人員(應(yīng)用賬號(hào))只能基于指定的IP或IP端進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn),并且其執(zhí)行的語(yǔ)句僅限于指定的若干語(yǔ)句模板,否則視為風(fēng)險(xiǎn)訪問(wèn)、違規(guī)操作,會(huì)直接被阻斷或被攔截。
數(shù)據(jù)庫(kù)防火墻可以針對(duì)指定的訪問(wèn)對(duì)象進(jìn)行行為控制,即針對(duì)某一數(shù)據(jù)庫(kù)的某表、某字段進(jìn)行增、刪、改、查的控制。例如,壽險(xiǎn)賬單的用戶電話號(hào)碼就是以數(shù)據(jù)庫(kù)的表字段進(jìn)行存儲(chǔ)。那么,應(yīng)用關(guān)聯(lián)防護(hù)在實(shí)現(xiàn)上,可以限制僅某些賬戶(如:業(yè)務(wù)主管)可以進(jìn)行上述數(shù)據(jù)庫(kù)字段的查詢;某些賬戶(如:業(yè)務(wù)經(jīng)理)可以進(jìn)行上述數(shù)據(jù)的修改。
如果防火墻的防護(hù)粒度僅限于“數(shù)據(jù)庫(kù)字段”,那么應(yīng)用業(yè)務(wù)中更為深入的控制是否能滿足呢?譬如,業(yè)務(wù)經(jīng)理僅能查詢和自己有關(guān)的用戶電話號(hào)碼,即數(shù)據(jù)庫(kù)“電話號(hào)碼字段”中的部分信息。在數(shù)據(jù)庫(kù)防火墻中,組成一條規(guī)則的元素中包括“報(bào)文關(guān)鍵字”這一特性,即可以通過(guò)配置“正則表達(dá)式”匹配SQL語(yǔ)句中的關(guān)鍵字,如果命中即視為風(fēng)險(xiǎn)。例如:select 賬戶,電話號(hào)碼 from 業(yè)務(wù)表 where 賬戶=”張三”;防火墻可以作出如下限定:如果關(guān)聯(lián)發(fā)現(xiàn)執(zhí)行該語(yǔ)句的賬戶不是“張三”,那么執(zhí)行該語(yǔ)句時(shí)即視為風(fēng)險(xiǎn)語(yǔ)句進(jìn)行攔截。
同理,數(shù)據(jù)庫(kù)防火墻將行為建模中捕獲到的諸多元素,通過(guò)多維度的設(shè)置、排列組合即可實(shí)現(xiàn)多樣性的防護(hù)規(guī)則,適用不同的訪問(wèn)場(chǎng)景,這如同在數(shù)據(jù)庫(kù)前端織就了一張牢不可破的網(wǎng)。
至此,在實(shí)現(xiàn)精確語(yǔ)句攔截、應(yīng)用關(guān)聯(lián)審計(jì)的前提下,賦予靈活多樣的安全策略,這才造就了一個(gè)有深度有內(nèi)涵的數(shù)據(jù)庫(kù)防火墻產(chǎn)品。作為安華金和的拳頭產(chǎn)品,它已成熟應(yīng)用于國(guó)內(nèi)多個(gè)大型數(shù)據(jù)庫(kù)安全防護(hù)項(xiàng)目中,這些項(xiàng)目的積累也在不斷打磨產(chǎn)品,使其能夠?yàn)橛脩籼峁└?xì)、更具參考性的策略和規(guī)則,實(shí)現(xiàn)更準(zhǔn)確、高效的數(shù)據(jù)庫(kù)安全防護(hù)價(jià)值。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋(píng)果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢(qián)通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱(chēng)塔塔集團(tuán)將收購(gòu)和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋(píng)果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過(guò)熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無(wú)人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開(kāi)展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車(chē)整車(chē)股盤(pán)初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。