Hedgehog数据库安全解决方案

  挑战:数据库保护
  
  近几年,许多公司为保护自己的IT基础设施所做的大部分努力主要集中在外部,即如何保护公司免遭外部入侵、黑客以及恶意攻击。目前,公司网络已经在安全上获得了一定的改善,获得了更深层次的保护。但是,数据层仍是公司IT基础设施的软肋。
  
  数据库中包含很多敏感且宝贵的数据:例如有关客户、事务、财务业绩以及人力资源的信息。尽管如此,数据库仍是公司受保护最少的领域之一。虽然外部和网络安全措施对某些攻击类型起到了防御作用,但是仍有一些攻击类型能够利用数据库特有的漏洞进行攻击。
...

Forti Database Security 飞塔数据库安全

  FortiDB 系列产品提供集中管理、企业级、数据库自动坚固等功能,它具有快速实施、支持行业和政府的各种法规的特点,可以评估企业数据库的安全弱点,提高企业数据库的安全性。DBA可以快速掌握这些工具,安装容易,界面直观,满足各种法规(PCI-DSS, SOX, GLBA, HIPAA)的要求,可以直接生成报告。为FortiDB专门设计的硬件设备可以方便快速的部署在网络中,自动数据库发现功能可以跨过子网和广域网边界快速发现网络上的所有数据库,通过脚本的定时执行来发现数据库的漏洞和与法规相违背的部分。设备预先内置了几百条策略,这些策略涵盖了企业和政府的规范、数据库安全的最优方法、已知的数据库漏洞、与数据库安全相关的操作系统问题和数据库访问权限等。一套全面的基于标准的图形报告功能内置于系统中,可以迅速产生报告。
...

关于数据库审计监控系统 or 数据库防火墙的一点思考

目前市面上的数据库审计也不少了
但是一般多为旁路设备
要么就要在数据库主机的操作系统上安装Agent
当然,从数据库审计的方面考虑,现在都不是大的问题

但是:如何能直接禁止远程用户操作数据库呢?
比如直接禁止远程对admin表的update或select

想了下,可能最好的方式还是串接到网络上
1、开启正常的数据库审计功能
2、开启“数据库防火墙”功能

在这个数据库防火墙上,只允许设置黑名单
如在黑名单可进行如下设置:
a、禁止远程某个网段的select操作
b、禁止远程对admin表进行任何操作
c、禁止远程sa用户对数据库的操作

大体上这样子,几分钟时间写出来的,可能很不全……

就现在的技术来说:
对于绿盟、启明星辰这样的厂商来说
本身有网络审计、IPS,有数据库审计功能
似乎在产品中加上这样的功能或直接做个新产品不是太大的难度

现有的产品几乎全部是旁路监听,只有审计
如果做个“数据库防火墙”似乎市场前景不错……

Idea by : 网路游侠
Blog:http://www.youxia.org
QQ:55984512