数据库防护墙技术/数据库防火墙部署方式/数据库防火墙应用案例
作者: 发布时间:2023-02-20

数据库防火墙不同于大家更为熟悉的数据库审计,根本区别在于两者防护原理有本质区别,数据库审计更像是摄像头,旁路监控数据库访问,发现威胁进行告警,但不做实质上的防御,实际上更偏向事后的追溯了。而防火墙则更为直接,可以通过直接串联或旁路部署的方式,对应用与数据库之间的访问进行阻断拦截等操作 ,它如同门卫,可以直接将可疑人员挡在门外,拦截阻断安全威胁,起到事中防护的作用。

不过,最近也有听到用户疑问,数据库防火墙串联部署和旁路部署有何区别?当希望既实现实时阻断,又不影响业务访问时,两种部署方式如何选择?

今天,我们就针对两种不同部署方式的威胁防御原理进行简单分析,利于用户在选择产品时能够更好的选择。

1、两种部署方式技术原理分析

事实上,两种部署方式的选择更多取决于你的数据库流量大小。

串联模式部署在应用系统与数据库之间,所有SQL语句必须经过数据库防火墙的审核后才能到达数据库,发起访问、操作。基于漏洞特征库、SQL注入特征库、黑白名单等的细粒度安全策略制定,结合访问源、访问对象、访问行为、影响行数等精确解析结果,识别恶意数据库指令,及时采取中断会话或精确拦截语句的防御行为,串联部署最大的风险在于不能出现误判断,影响正常语句通过,这就要求数据库防火墙的语句解析能力足够精准,并且能够建立非常完善的行为模型,在发现危险语句时,能够在不中断会话的基础上,准确拦截风险语句,放行正常访问。因此,要想真正发挥防护效果,数据库防火墙必须串联在数据库的前端,可以是物理的(透明串接)或逻辑的(代理)串联。

至于旁路部署,目前比较常用的方式是通过发送reset(重置)命令进行重置会话,但这样的部署方式适用于较低流量情况下。如果面对高压力场景,每秒钟通过的SQL语句上千上万条,这种旁路分析识别后再发出阻断请求,势必出现延迟,当数据库防火墙发现风险操作时,数据库早已执行完成,而此时发出阻断要求,基本上拦截的是危险语句之后的正常访问了,反倒影响了正常业务访问。所以在高流量场景下,如果要实现实时阻断拦截危险访问的功能,串联部署更为合适,但这对于产品的精确拦截能力有很高要求,既要拦的快,也要拦的准。

2、如何选择成熟数据库防火墙产品?看资质认证和案例

无论从政策角度还是用户自身安全考虑来讲,访问控制手段必须实现实时阻断,等保2.0会对这方面增加要求,也体现了这一技术手段对于数据安全的必要性。

判断数据库防火墙产品的可靠性,有2个简单的方式:资质认证和案例参考。

我们在选择数据库防火墙产品时,可以参考相关产品具备的资质专业度,“安全网关”类或“审计类”的产品资质更适用于网络层的安全产品,如果能够具备“数据库防护产品”资质,说明数据库防火墙的专业性已经得到专业测评机构的权威认证,更加可靠。

案例方面,能够经得住超高流量下的数据库访问控制,说明这样的产品具备精准的协议解析与风险识别能力,并且能够建立完善的行为模型和黑白名单,进而实现精确拦截。安华金和数据库防火墙曾在双十一期间为上海某大型物流企业提供数据库安全保障,应对日均近3w条/秒的吞吐量,达到了精准拦截的效果。

3、等保2.0合规应对,数据库防火墙技术大有可为

无论从政策角度还是出于用户自身安全考虑,访问控制手段必须实现实时阻断,等保2.0会对这方面增加要求,也体现了这一技术手段对于数据安全的必要性。等保2.0合规安全通用要求中,针对应用和数据安全明确提出访问控制和入侵防范的要求,其中:

关于入侵防范做出如下要求

应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞

由于性能和稳定性的要求,政务内网多数使用国际主流数据库,漏洞多并且存在后门,而使用国产数据库也有安全漏洞,再加上国外Metasploit、Nessus,国内DBHacker自动化漏洞验证工具,使漏洞攻击不是难事。

应对方法:数据库防火墙的虚拟补丁技术可以有效应对数据库漏洞带来的安全隐患。

应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

政务外网经过十几年安全建设,SQL注入依然是网站安全的顽疾,几大知名平台爆出的数据漏洞绝大多数与SQL注入攻击有关,内外网技术架构相同,随着政务内网加大互联互通,SQL注入攻击成为重点威胁。

应对方法:利用数据库防火墙的SQL注入漏洞库加以有效预防。

关于访问控制做出如下要求

应授予不同账户为完成各种成单任务所需的最小全线,并在它们之间形成相互制约的关系;

应由授权主题配置访问控制策略,访问控制策略规定主体对客体的访问规划;

访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;

政务内网数据库管理员从业务安全角度权限低,但在数据库维护中能看到所有数据,造成安全权限与实际数据访问能力的脱轨,数据库运维过程中批量查询敏感信息,高危操作、误操作均无法控制,对生产数据影响大。

应对方法:数据库防火墙的访问控制功能,实现细粒度管控。