随着互联网、物联网、云计算等信息技术与通信技术的迅猛发展,数据大规模的被生产、存储与使用,大量的数据在带给人们巨大价值的同时,也带来了各种数据泄露的风险。近年来,数据泄露事件频繁发生,给国家、单位和个人都造成了严重的损失。分析已发生的数据泄露事件原因,既有黑客的攻击也有内部工作人员有意无意对数据的操作,今天我们来说下既可以防外又可以防内的数据库防火墙应具备的功能。
一、数据库防火墙应具备的基本功能
功能一:应用身份识别
通过应用URL、账号的关联,只有合法应用发出的SQL语句可以穿过防火墙访问数据库,其他登陆工具和应用都无法通过防火墙登陆后台数据库,确保数据来自指定应用。
功能二:建立应用“白名单”
基于学习期建立语句、风险、会话的行为模型,学习期将合法应用的SQL语句全部捕获,统一放到“白名单”里,防止合法语句被误报。通过学习完善期,然后切换到保护期,此时如果出现了批量导出敏感数据的操作,数据库防火墙会报“新型语句”,安全管理员要根据具体情况判断语句风险防止批量导出敏感信息的行为。
功能三:操作权限细粒度管理
拥有比数据库系统更详细的权限控制,控制权限细粒到用户、操作语句、操作对象、操作时间等;另外在控制操作中增加对不带条件的删除、修改等高危操作的阻断;对于返回行数和影响行数实现精确控制,增强对用户的细粒度控制。
功能四:抵御SQL注入
通过对SQL语句进行注入特征描述,完成对“SQL注入”行为的检测和阻断。数据库防火墙提供了虚拟补丁功能,在数据库外的网络层创建了一个安全层,用户在无需补丁情况下,完成数据库漏洞防护,对于有“扩展脚本”和“缓冲区溢出”攻击的特征的SQL语句,直接进行拦截。
功能五:阻断漏洞攻击
按照SQL自身语法结构划分SQL类别,通过自定义模型手动添加新的SQL注入特征,进行有效拦截。数据库漏洞攻击防控:开启虚拟补丁配置策略,即可防范数据库漏洞的攻击。
二、数据库防火墙应具备的增值功能
功能一:协议解析
传统解析手段采用字符串匹配技术和较为简单的协议解析技术来分析SQL语句,因解析结果不准确基本不可用。数据库防火墙采用准确的协议解析技术,解决了审计产品面临的难点,例如长SQL语句、参数化语句、参数值、字符集等。
功能二:分权管理
数据库防火墙提供“三权分立”机制,对特权用户的权力进行有效拆分。系统管理员、安全管理员和审计管理员三大特权用户各司其职。系统管理员用于监控系统状态、管理系统证书、管理系统网络等;安全管理员用于管理账号、监查系统安全状态、配置安全策略、分析审计日志等;审计管理员用于记录系统管理员和安全管理员的系统级操作行为。
功能三:高可靠性
数据库防火墙提供多种高可用容灾方案,包括多重Bypass能力、代理网络三通和双机HA部署。
三、数据库防火墙相关文章
