DT時(shí)代的到來,正在逐漸改變?nèi)祟惖男袨槟J?。?shù)據(jù),這個(gè)時(shí)代最巨量的產(chǎn)物,從未如今天這般珍貴而無價(jià)。也因此我們看到,越來越多的企業(yè)和政府部門開始將安全的關(guān)注重點(diǎn)從傳統(tǒng)的邊界安全轉(zhuǎn)移到數(shù)據(jù)安全,保存核心數(shù)據(jù)資產(chǎn)的數(shù)據(jù)庫系統(tǒng),毫無疑問的成為防護(hù)的關(guān)鍵。
數(shù)據(jù)庫防火墻,作為數(shù)據(jù)庫的最后一道防御工事,自然獲得了更多的關(guān)注,近年已越來越多的應(yīng)用在關(guān)鍵系統(tǒng)的數(shù)據(jù)庫安全防護(hù)中。所謂能力越大、責(zé)任越大,這句話用來形容數(shù)據(jù)庫防火墻也許應(yīng)該反過來理解,因其肩負(fù)數(shù)據(jù)庫防護(hù)重任,人們對于他的要求也更加嚴(yán)苛。
我們在說數(shù)據(jù)庫防火墻之前,需要先說明一個(gè)概念,了解了這一點(diǎn),我們就更容易理解為什么用戶對數(shù)據(jù)庫防火墻的要求如此嚴(yán)苛。數(shù)據(jù)庫防火墻部署方式通常分為兩種:串聯(lián)或旁路,兩者差異很大。串聯(lián)模式部署在應(yīng)用系統(tǒng)與數(shù)據(jù)庫之間,所有SQL語句必須經(jīng)過數(shù)據(jù)庫防火墻的審核后才能到達(dá)數(shù)據(jù)庫,發(fā)起訪問、操作;而旁路部署呢,雖然有些廠商宣稱,可以通過發(fā)送reset(重置)命令進(jìn)行重置會話,但內(nèi)行人一想便知,在實(shí)際應(yīng)用中,面對高壓力場景, 旁路分析勢必出現(xiàn)延遲,當(dāng)數(shù)據(jù)庫防火墻發(fā)現(xiàn)風(fēng)險(xiǎn)操作時(shí),數(shù)據(jù)庫早已執(zhí)行完成,而此時(shí)阻斷的基本上是其他不該被阻斷的正常操作了。因此,要想真正發(fā)揮防護(hù)效果,數(shù)據(jù)庫防火墻必須串聯(lián)在數(shù)據(jù)庫的前端,可以是物理的(透明串接)或邏輯的(代理)串聯(lián)。
串聯(lián)部署是發(fā)揮防護(hù)作用的必要前提,但這樣就在應(yīng)用與數(shù)據(jù)庫之間增加了一個(gè)結(jié)點(diǎn),如果把數(shù)據(jù)庫系統(tǒng)比作整個(gè)IT架構(gòu)中的“心臟”,用戶更擔(dān)心這個(gè)結(jié)點(diǎn)會不會出現(xiàn)故障,一旦血流不暢通,突發(fā)心??墒堑貌粌斒?。
筆者多年來從事數(shù)據(jù)庫防火墻產(chǎn)品的開發(fā)、實(shí)施和維護(hù),不能說閱盡天下防火墻,九成也是有的,在筆者心中,一個(gè)真正成熟有價(jià)值,更重要的是能夠勝任串聯(lián)部署重任的數(shù)據(jù)庫防火墻產(chǎn)品,應(yīng)當(dāng)具備以下7個(gè)特性:
1、高可用性—保障業(yè)務(wù)的安全性、可用性和連續(xù)性
2、高性能和可擴(kuò)縮性—保障業(yè)務(wù)性能、吞吐量
3、詞法和語法分析—提供防護(hù)能力的基礎(chǔ)
4、防SQL注入和漏洞攻擊—防護(hù)來自應(yīng)用側(cè)的攻擊
5、運(yùn)維管控—內(nèi)部運(yùn)維控制
6、動態(tài)掩碼—防止敏感信息外泄
7、規(guī)則和腳本語言—高大上的數(shù)據(jù)庫防護(hù)能力
以上7點(diǎn),排名確實(shí)分先后,先說高可用性,因?yàn)樗诠P者心目中是凌駕于其他之上,最最重要的一點(diǎn),甚至可以說是數(shù)據(jù)庫防火墻產(chǎn)品是否可以存在的先決條件。
串聯(lián)部署下的高可用,發(fā)揮最大價(jià)值還是給自己挖坑?
解釋了串聯(lián)部署的必要性,現(xiàn)在我們說回高可用性,由于數(shù)據(jù)庫在企業(yè)中往往承載著關(guān)鍵核心業(yè)務(wù),其重要性不言而喻,企業(yè)會采用大量的技術(shù)來保證數(shù)據(jù)庫的高可用性,典型的有RAC、F5負(fù)載均衡、高可用網(wǎng)絡(luò)等;當(dāng)在這樣的一個(gè)環(huán)境中串接一個(gè)新的節(jié)點(diǎn)時(shí),對該節(jié)點(diǎn)的可用性要求甚至比數(shù)據(jù)庫本身的要求還要高。讓用戶放心實(shí)施防火墻串聯(lián)部署,高可用性的口號喊出去,會不會變成給自己挖坑?挑戰(zhàn)不小。
是軟件都會有bug,但別給業(yè)務(wù)系統(tǒng)惹麻煩!
是軟件,都會有缺陷、有bug,更別說一個(gè)具有深度的完整數(shù)據(jù)庫協(xié)議分析、SQL語法分析再加上策略控制等復(fù)雜邏輯的數(shù)據(jù)庫防火墻產(chǎn)品。怎么解決?答案很簡單:數(shù)據(jù)庫防火墻自身的缺陷,不應(yīng)對操作數(shù)據(jù)庫的業(yè)務(wù)行為產(chǎn)生任何影響;缺陷引起的故障對業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)無感。
這一目標(biāo),對于數(shù)據(jù)庫防火墻這樣的串聯(lián)產(chǎn)品,比任何特性都重要,是用戶能否接受“串聯(lián)部署”的關(guān)鍵指標(biāo)。只為這一目標(biāo),著實(shí)需要從產(chǎn)品的架構(gòu)設(shè)計(jì)、容錯(cuò)能力和異常管理能力上費(fèi)一番腦筋。
高可用性的關(guān)鍵技術(shù)路線:
1:采用類似Oracle數(shù)據(jù)庫的多進(jìn)程和共享內(nèi)存架構(gòu)
對于每條數(shù)據(jù)庫訪問行為,相應(yīng)的數(shù)據(jù)庫防火墻對應(yīng)一個(gè)完整的處理過程,包括完成全部計(jì)算和功能邏輯。處理完成后,整個(gè)進(jìn)程關(guān)閉。
優(yōu)點(diǎn):進(jìn)程間完全獨(dú)立,即使一個(gè)進(jìn)程觸發(fā)了軟件缺陷,也不會影響其他訪問行為的處理,將影響降到最小。
缺點(diǎn):需要對進(jìn)程的資源占用進(jìn)行精細(xì)的管理和分配,避免消耗太多資源。
2:對于進(jìn)程的故障,實(shí)現(xiàn)軟件旁路的容錯(cuò)機(jī)制
當(dāng)進(jìn)程發(fā)生故障時(shí),啟動對進(jìn)程的守護(hù)能力,接管通訊包,實(shí)現(xiàn)故障情況下的bypass旁路能力,從而“續(xù)上”應(yīng)用與數(shù)據(jù)庫的連接,讓應(yīng)用系統(tǒng)完全感受不到會話出現(xiàn)了異常。我們用安華金和數(shù)據(jù)庫防火墻進(jìn)行實(shí)際測試時(shí)模擬了此場景:在會話建立后,高壓力運(yùn)行SQL操作期間,“殺死”相應(yīng)數(shù)據(jù)庫防火墻進(jìn)程,會話沒有受到任何影響,持續(xù)穩(wěn)定運(yùn)行。
在實(shí)際應(yīng)用中, 安華金和數(shù)據(jù)庫防火墻被串聯(lián)部署在了承載核心業(yè)務(wù)的Oracle RAC和核心交換機(jī)(萬兆)之間,每天的吞吐量達(dá)到上億SQL操作;上線運(yùn)行18個(gè)月,沒有發(fā)生業(yè)務(wù)系統(tǒng)的異常投訴,未出現(xiàn)主備切換,真正做到了讓用戶無感。
設(shè)備、系統(tǒng)故障了?業(yè)務(wù)不能斷!
是設(shè)備,都有可能出故障,硬件故障、電源故障、系統(tǒng)故障、軟件死鎖……總之有任何可能性,讓數(shù)據(jù)庫防火墻的網(wǎng)絡(luò)斷開或僵死。,那用戶可不干了,我的業(yè)務(wù)不能斷!
解決方案
1:采用硬件網(wǎng)卡ByPass,保障業(yè)務(wù)快速恢復(fù)
通過網(wǎng)卡的ByPass能力,并結(jié)合“看門狗”機(jī)制,當(dāng)發(fā)生設(shè)備斷電、操作系統(tǒng)故障、數(shù)據(jù)庫防火墻核心組件僵死等異常情況時(shí),能夠快速的自動開啟硬件ByPass,重新打通網(wǎng)絡(luò)連接,保證業(yè)務(wù)系統(tǒng)在數(shù)據(jù)庫防火墻發(fā)生異常后,在幾秒內(nèi)恢復(fù)正常。
2:采用雙機(jī)HA網(wǎng)絡(luò),保障業(yè)務(wù)連續(xù)性
在很多關(guān)鍵核心業(yè)務(wù)系統(tǒng)中,往往會采用高可用網(wǎng)絡(luò)和負(fù)載均衡設(shè)備來保證極端情況下的業(yè)務(wù)連續(xù)性。作為串聯(lián)接入的數(shù)據(jù)庫防火墻設(shè)備,需要能夠無縫的適應(yīng)這樣的高可用環(huán)境,能夠提供全透明(無IP)的串接方式,就好比一根網(wǎng)線,當(dāng)這根“網(wǎng)線”出現(xiàn)故障,無法連通時(shí),通訊包會被自動串接到另外一條鏈路上的數(shù)據(jù)庫防火墻設(shè)備,從而無縫的繼續(xù)業(yè)務(wù)操作。
忽然聯(lián)想到,用戶對數(shù)據(jù)庫防火墻產(chǎn)品的高可用要求,就好比我們要求八達(dá)嶺野生動物園的老虎兄弟,既希望它們不喪失原始的野性本能,同時(shí)又要保證它的安全性,不會傷害游客,要求這么高,稍有差池這不就出事兒了嗎?活生生的老虎我們控制不了,可自己的產(chǎn)品還是能自己說了算的。
于是,在數(shù)據(jù)庫防火墻產(chǎn)品的開發(fā)之初,我們先給自己制定了一個(gè)能達(dá)到的小目標(biāo)~ 就是實(shí)現(xiàn)串聯(lián)部署下的高可用性。今天,作為國內(nèi)最為成熟的數(shù)據(jù)庫防火墻產(chǎn)品——安華金和數(shù)據(jù)庫防火墻,已成功應(yīng)用于多個(gè)大型項(xiàng)目中,以串聯(lián)部署的方式,保證業(yè)務(wù)系統(tǒng)在安全狀態(tài)下正常、高效的運(yùn)行,為用戶提供了安全、無感的體驗(yàn)效果。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。