当前各种网络威胁层出不穷,企业的网络安全重要性日益凸显,互联网环境下,万物互联成为大势。传统的网络边界防御已经不足以应对多变复杂的网络环境,安全攻击的不确定性和持续性,让越来越多的企业单位认识到,即使是存储于最核心位置数据库内的数据,也有可能暴露在安全之外。因此,网络防火墙、下一代防火墙等传统安全产品,面对越演越烈的数据库安全态势,已经显得无能为力。新的需求催生新的产品技术,以数据库协议与SQL 词法语法进行解析的技术为基础的数据库防火墙,应运而生。
然而,根据市场调查数据显示,很多用户认为,传统防火墙、下一代防火墙、WAF、堡垒机等传统网络安全产品或多或少包含数据库防护功能,能够解决数据库安全问题。本文笔者打一个形象的比喻,将整个信息安全系统比作一个政府大院,那么传统防火墙、下一代防火墙、WAF、堡垒机、数据库防火墙, 分别可以比喻为“大门”、“传达室”、“门卫”、“大管家”、“保镖” 五个角色。从进入大门开始,各产品的价值体现与数据库防火墙的根本差异,一目了然。
“大门”——传统防火墙
传统防火墙相当于信息系统的“大门”。“大门” 顾名思义,指整个建筑物通向外面的唯一路径,直接起到拦截或放行的作用。但是,大门无法对“进门人”的好坏进行区分,比如对“人员面貌特征”、“携带违禁品”等问题更是无法检查。
传统的防火墙一般使用在网络的出口处,基本原理是根据IP 地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。所以对于WEB2.0 应用来说,传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的,无法区分各种应用程序,更无法实施策略来区分哪些是不需要的或不适当的程序,对于数据库网络通讯无任何的安全防护能力。
“传达室”——下一代防火墙
下一代防火墙相当于是信息系统的“传达室”。“传达室”负责看门、登记、收发资料和引导来宾等工作,在检查过程中对人员身份证件、面貌特征等进行简单检查,并引导正确的位置,但是人员进入后随意溜达并接近或逗留于核心业务位置,“传达室”就鞭长莫及了。
下一代防火墙同样部署在全网出口处,比起传统防火墙检测广度增加,集成了传统防火墙、IPS、防病毒、防垃圾邮件等诸多功能,可以对上百种应用层的通讯协议进行解析,但所解析的协议都限于标准通讯协议,如FTP、邮件、LDAP、Telnet 等,对一些针对标准协议的攻击行为进行防范;但对于数据库这样的非标准化通讯协议,协议的复杂度很高,当前市场上的主流下一代防火墙产品还未能实现对数据库通讯协议的解析和防护。因此,下一代防火墙自然对数据库安全的防护“ 有心无力”。
“门卫”——WEB应用防火墙(WAF)
WAF相当于是信息系统“门卫 ”。“门卫”是某个建筑物或重要部位的警卫,与“大门”、“ 传达室” 不同,门卫对所把守建筑物内部情况非常了解,对进出人员特征也分辨清晰,一旦有非内部可信人员试图进入,门卫就会细细检查盘问,但针对进入内部后的作案行为便无计可施了。
WAF串行部署在信息系统前端,提升了系统的攻击防御能力,WAF原理主要是对Http协议的解析,并对Http 协议中的传输内容进行分析,依靠正则式和简单规则库可以实现对部分SQL注入行为的阻止,由于WAF的专注程度定位在系统防攻击、防篡改等措施上,对于复杂的SQL注入和数据库攻击行为仅进行匹配,WAF就应接不暇了,并且早在2012年黑客大会就公布了150多种可以绕开WAF实现对数据库的攻击技术。因此不难看出WAF主要重点在于系统防护,针对数据库的安全防护措施,基本属于“蜻蜓点水”。
“大管家”——运维堡垒机
运维堡垒机相当于信息系统的“大管家”,帮助主人集中管理协调信息内办公人员,由于不同的人需要用不同的劳动工具,进行不同的业务操作,因此大管家还安装了摄像头,监督记录大家的工作。大管家也会有难以管控之处,无法更细粒度地控制大家使用工具时都进行了哪些具体操作,或者谁进行了误操作;大管家同样无法防止对方绕过自己偷偷到系统禁地做些手脚,也无法防止内部工作人员做了内应,进行一些不良操作,如果有些开发人员在业务系统中直接种植后门程序,这位“大管家”是看不到的。
运维堡垒机串行部署在运维终端与主机、数据库之间, 通过这种部署方式,可以实现对主机设备和数据库的集中管控,堡垒机可实现运维过程中统一认证、统一授权、统一审计。但堡垒机只能通过录屏的方式进行录像审计,无法更细力度地控制大家在工具内的操作,无法针对数据库管理员误操作的行为进行识别并加以阻止,也无法防止有些开发人员在业务系统中直接种植后门程序,针对大批量访问敏感表并造成信息泄密的行为无能为力。
“保镖”——数据库防火墙
数据库防火墙相当于数据库的“保镖”,“保镖”应拥有侦察判断、安全布防、情报收集、保密措施、危机预防等功能,数据库防火墙正是为数据库行使了保镖的职责,是专业的、主动、实时保护数据库安全的解决方案。
数据库防火墙根据部署位置的不同,防护的重点也有所不同,数据库防火墙部署在运维侧时,可以对内部人员误操作、批量删除或是批量下载数据进行防护,数据库防火墙部署在应用侧时,既能防护来自外部的攻击行为,又能防止内部的非授权操作。
专业的数据库防火墙原理应基于数据库协议精确解析,通过对SQL语法/词法中存在的风险进行精确识别,从而防止外部对数据库漏洞的攻击和SQL注入等问题。并且具有虚拟补丁防护,SQL 注入防护、SQL黑白名单,细粒度权限管控,行为审计、监测分析等核心功能,对外防止数据库被攻击,对内防止高权限用户( DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏等,实现对数据库活动实时监控和灵活告警,帮助用户应对来自内部和外部的数据安全威胁。
信息系统的纵深防御体系应该实现从“大门到保镖”的防护,每种安全产品都有其定位和价值,术业专攻,用户应基于自身需求,整合各类安全产品优势,构建更为安全的信息防护体系。