從大門看守到貼身保镖服務的安全縱深防禦

  發布人:超級管理員   發布時間:2016年05月30日 12:00  閱讀:893

當前各種網絡威脅層出不窮,企業的網絡安全重要性日益凸顯,互聯網環境下,萬物互聯成爲大勢。傳統的網絡邊界防禦已經不足以應對多變複雜的網絡環境,安全攻擊的不確定性和持續性,讓越來越多的企業單位認識到,即使是存儲于最核心位置數據庫內的數據,也有可能暴露在安全之外。因此,網絡防火牆、下一代防火牆等傳統安全産品,面對越演越烈的數據庫安全態勢,已經顯得無能爲力。新的需求催生新的産品技術,以數據庫協議與SQL 詞法語法進行解析的技術爲基礎的數據庫防火牆,應運而生。

然而,根據市場調查數據顯示,很多用戶認爲,傳統防火牆、下一代防火牆、WAF、堡壘機等傳統網絡安全産品或多或少包含數據庫防護功能,能夠解決數據庫安全問題。本文筆者打一個形象的比喻,將整個信息安全系統比作一個政府大院,那麽傳統防火牆、下一代防火牆、WAF、堡壘機、數據庫防火牆, 分別可以比喻爲“大門”、“傳達室”、“門衛”、“大管家”、“保镖” 五個角色。從進入大門開始,各産品的價值體現與數據庫防火牆的根本差異,一目了然。

“大門”——傳統防火牆

傳統防火牆相當于信息系統的“大門”。“大門” 顧名思義,指整個建築物通向外面的唯一路徑,直接起到攔截或放行的作用。但是,大門無法對“進門人”的好壞進行區分,比如對“人員面貌特征”、“攜帶違禁品”等問題更是無法檢查。

傳統的防火牆一般使用在網絡的出口處,基本原理是根據IP 地址/端口號或協議標識符識別和分類網絡流量,並執行相關的策略。所以對于WEB2.0 應用來說,傳統防火牆看到的所有基于浏覽器的應用程序的網絡流量是完全一樣的,無法區分各種應用程序,更無法實施策略來區分哪些是不需要的或不適當的程序,對于數據庫網絡通訊無任何的安全防護能力。

“傳達室”——下一代防火牆

下一代防火牆相當于是信息系統的“傳達室”。“傳達室”負責看門、登記、收發資料和引導來賓等工作,在檢查過程中對人員身份證件、面貌特征等進行簡單檢查,並引導正確的位置,但是人員進入後隨意溜達並接近或逗留于核心業務位置,“傳達室”就鞭長莫及了。

下一代防火牆同樣部署在全網出口處,比起傳統防火牆檢測廣度增加,集成了傳統防火牆、IPS、防病毒、防垃圾郵件等諸多功能,可以對上百種應用層的通訊協議進行解析,但所解析的協議都限于標准通訊協議,如FTP、郵件、LDAP、Telnet 等,對一些針對標准協議的攻擊行爲進行防範;但對于數據庫這樣的非標准化通訊協議,協議的複雜度很高,當前市場上的主流下一代防火牆産品還未能實現對數據庫通訊協議的解析和防護。因此,下一代防火牆自然對數據庫安全的防護“ 有心無力”。

“門衛”——WEB應用防火牆(WAF)

WAF相當于是信息系統“門衛 ”。“門衛”是某個建築物或重要部位的警衛,與“大門”、“ 傳達室” 不同,門衛對所把守建築物內部情況非常了解,對進出人員特征也分辨清晰,一旦有非內部可信人員試圖進入,門衛就會細細檢查盤問,但針對進入內部後的作案行爲便無計可施了。

WAF串行部署在信息系統前端,提升了系統的攻擊防禦能力,WAF原理主要是對Http協議的解析,並對Http 協議中的傳輸內容進行分析,依靠正則式和簡單規則庫可以實現對部分SQL注入行爲的阻止,由于WAF的專注程度定位在系統防攻擊、防篡改等措施上,對于複雜的SQL注入和數據庫攻擊行爲僅進行匹配,WAF就應接不暇了,並且早在2012年黑客大會就公布了150多種可以繞開WAF實現對數據庫的攻擊技術。因此不難看出WAF主要重點在于系統防護,針對數據庫的安全防護措施,基本屬于“蜻蜓點水”。

“大管家”——運維堡壘機

運維堡壘機相當于信息系統的“大管家”,幫助主人集中管理協調信息內辦公人員,由于不同的人需要用不同的勞動工具,進行不同的業務操作,因此大管家還安裝了攝像頭,監督記錄大家的工作。大管家也會有難以管控之處,無法更細粒度地控制大家使用工具時都進行了哪些具體操作,或者誰進行了誤操作;大管家同樣無法防止對方繞過自己偷偷到系統禁地做些手腳,也無法防止內部工作人員做了內應,進行一些不良操作,如果有些開發人員在業務系統中直接種植後門程序,這位“大管家”是看不到的。

運維堡壘機串行部署在運維終端與主機、數據庫之間, 通過這種部署方式,可以實現對主機設備和數據庫的集中管控,堡壘機可實現運維過程中統一認證、統一授權、統一審計。但堡壘機只能通過錄屏的方式進行錄像審計,無法更細力度地控制大家在工具內的操作,無法針對數據庫管理員誤操作的行爲進行識別並加以阻止,也無法防止有些開發人員在業務系統中直接種植後門程序,針對大批量訪問敏感表並造成信息泄密的行爲無能爲力。

“保镖”——數據庫防火牆

數據庫防火牆相當于數據庫的“保镖”,“保镖”應擁有偵察判斷、安全布防、情報收集、保密措施、危機預防等功能,數據庫防火牆正是爲數據庫行使了保镖的職責,是專業的、主動、實時保護數據庫安全的解決方案。

數據庫防火牆根據部署位置的不同,防護的重點也有所不同,數據庫防火牆部署在運維側時,可以對內部人員誤操作、批量刪除或是批量下載數據進行防護,數據庫防火牆部署在應用側時,既能防護來自外部的攻擊行爲,又能防止內部的非授權操作。

專業的數據庫防火牆原理應基于數據庫協議精確解析,通過對SQL語法/詞法中存在的風險進行精確識別,從而防止外部對數據庫漏洞的攻擊和SQL注入等問題。並且具有虛擬補丁防護,SQL 注入防護、SQL黑白名單,細粒度權限管控,行爲審計、監測分析等核心功能,對外防止數據庫被攻擊,對內防止高權限用戶( DBA、開發人員、第三方外包服務提供商)的數據竊取、破壞、損壞等,實現對數據庫活動實時監控和靈活告警,幫助用戶應對來自內部和外部的數據安全威脅。

   信息系統的縱深防禦體系應該實現從“大門到保镖”的防護,每種安全産品都有其定位和價值,術業專攻,用戶應基于自身需求,整合各類安全産品優勢,構建更爲安全的信息防護體系。

【關閉本頁】 【打印本頁】 【返回頂部】
Copyright © 1997-2019  南京同慶科技有限公司 蘇ICP備05085873號-1 地址:南京市洪武北路188號603室 電話:025-57907999