自2015年8月至9月,数据库安全专业提供商安华金和与第三方社区合作,共同面向广大IT从业人员进行数据库防火墙市场认知度调研,期望真实获取来自用户的反馈,把握客户需求和体验,从而进行数据库防火墙产品的研发与改进。通过对400个有效样本进行分析,总结归纳《数据库防火墙技术市场调研报告》分享大家。
本次调研群体分布于全国各地,有意思的是,对于安全漏洞高发地区排名前三位的北京、上海、广东,本次调查反馈用户数量排名前三位的也对应到这三个地区。而在行业分布上,比较广泛。参与调研用户的角色,主要是网管/运维/系统管理员,软件工程师/程序员,DBA/数据库管理与开发人员。
根据调查结果显示, 400个有效样本反馈用户对数据库防火墙一经有一定认知,同时认为数据库防火墙应该是应用防火墙的有效补充,对数据库防火墙的作用还是给予肯定的。以下分别从不同维度展开说明:
75%以上的调研对象对数据库防火墙有认知
数据显示,75%以上调研人群表示对数据库防火墙偶尔知道,而真正使用过的仅为10%
图 1.1 调研对象对数据库防火墙的认知
国产数据库防火墙品牌认知度低于国际品牌
在现有Oracle、McAfee、Imperva及安华金和等国内外数据库防火墙品牌选项中,58%调查对象更熟悉Oracle,安华金和仅次于McAfee排名第三位,占比14%。这个数据显示,国产化的产品应用任重而道远。
图 1.2 数据库防火墙品牌调研结果
用户对十大数据库防火墙价值认知
从数据库防火墙产品的价值体现中,用户认知度最高的还是防SQL注入、独立于数据库提供细粒度的访问控制、针对数据库漏洞行为进行主动拦截和阻断。
图 1.3 数据库防火墙功能认知排序
用户对数据库防火墙部署的选择
对于数据库防火墙部署在应用侧、运维侧还是数据库前段,用户有不同的理解。61%的用户认为应该部署在应用侧,防止外部黑客的数据库入侵行为;23%用户则认为数据库防火墙应该部署在数据库的前端,对所有的数据库访问行为进行控制;16%的用户认为产品应该部署在维护侧,对内外部运维人员的数据库操作进行细粒度控制。
数据库防火墙部署在不同的位置,防护的重点有所不同,如果部署在数据库前端,既能实现来自外部人员的攻击,又能防止内部人员的误操作。如果数据库防火墙部署在运维侧,主要对内部人员误操作、批量删除或是批量下载数据进行防护。如果数据库防火墙部署在应用侧,防御重点在于基于数据库协议,针对SQL语法/词法进行精确协议解析,从而防止外部对数据库漏洞的攻击和SQL注入。
如果防火墙部署在应用侧,用户对旁路、网关、代理、网桥这四类部署模式的态度也不同。其中旁路部署占比52%,从一定程度上反映出,串联部署防火墙,用户还是有所顾虑。
图 1.4 数据库防火墙应用侧部署模式调研结果
70%用户希望数据库防火墙提供对数据库主动防御的同时,对数据库性能的影响降至最低
通过调研,我们试着探寻用户采购数据库防火墙时的需求,以期对数据库防火墙的卖点进行汇总排序。结果显示,70%被调查对象希望通过采购数据库防火墙,进行强大而周密的策略防护方案,通过设置多种策略关联对数据库实现周密的防护。同时,高防护的过程中要求对数据库性能影响降到最低。依次排在次要位置的需求分别是:(1)希望采购数据库防火墙提供精准的数据库防护能力,避免错误拦截和攻击漏洞;(2)最新最全面的虚拟补丁功能,防护因数据库漏洞和sql注入导致的数据库恶意攻击;(3)弥补市场上极光扫描器等设备对安全漏洞报告的缺失。
在数据库防火墙的扩展性上,加密通讯需求占60%
在数据库防火墙的扩展性上,60%用户普遍认为,数据库防火墙可以考虑提供SSL这样的加密通道,以保持客户端与数据库的加密通讯;其次,23%用户认为数据库防火墙应当考虑对通过SSH、Telnet进行的远程运维中的SQL操作也进行安全控制和审计;17%用户认为数据库防火墙可以考虑融入一些传统防火墙的功能,比如IP和端口控制。
客户通常会将数据库防火墙与现有市场上其他安全产品比如WAF、堡垒机、网闸、网络防火墙等进行比较。用户对比后的理解和看法如下:
1、数据库防火墙与WAF对比
数据库防火墙与WAF之间的差异性,是用户经常会问到的一个问题。 59%的用户对此有明确认知,WAF主要防御对web应用系统的攻击,但黑客具备绕过WAF攻击数据库服务器的能力,通过数据库防火墙可以增加安全防线,能够准确的找到两个产品的侧重点。只有7%的用户认为应用端只需部署WAF,即可防止住恶意的攻击。
2、数据库防火墙与堡垒机对比
该问题,从用户的反馈结果来看,答案的阶梯性很明显,66%的用户认为堡垒机无法代替数据库防火墙,垒机对于数据库操作无法进行细粒度控制,无法根据影响行数或操作的危害特征进行运维侧管控;而防火墙可以满足以上特性。仍有10%用户认为运维侧部署堡垒机已经足够,即可防止住运维侧的数据泄露或篡改工作。
3、数据库防火墙与网闸对比
大部分用户对数据库防火墙与网闸的功能比较清晰, 90%以上的用户能够明确区别两者的作用,认同外网部署应用服务器,内网部署数据库,在内外网之间部署数据库防火墙;数据库防火墙屏蔽掉其他通讯协议,保证数据库通讯协议的安全性;通过这种方式既可以起到内外网的隔离,又能达到实施成本和工程复杂度的降低。现实应用中,网闸是可以让数据库协议穿透的,但网闸无对数据库漏洞攻击的防御能力;通过数据库防火墙可以提升防御能力。仅有9%用户认为通过网闸完全实现了内外网或不同密级网之间的隔离,不需要数据库防火墙。
4、数据库防火墙与网络防火墙对比
数据结果显示,目前市场上单一认为只需要数据库防火墙或网络防火墙的认知已经逐步被趋势所替代,94%的用户已经清晰认识到网络防火墙是TCP/IP层的防火墙,数据库防火墙是应用层防火墙;相互补充,不可互为替代;由于数据库通讯协议的复杂性,下一代防火墙无法防止隐藏在合法协议中的数据库攻击,仍然需要数据库防火墙来保障数据库安全。