601
技術社區[雲棲]
誰說數據庫防火牆風險大?可能你還不知道應用關聯防護
近年來,作為高效而直接的數據庫防禦工事,數據庫防火牆已被越來越多的用戶關注,應用在關鍵係統的數據庫安全防護中,以保護核心數據資產安全。實現危險行為過濾,數據庫防火牆必需串聯部署,才能形成數據庫的安全屏障。這要求其既要發揮抵禦威脅行為的功能,同時又不能影響正常的應用訪問,造成業務中斷。
有人說:數據庫防火牆風險大,一不小心你的應用就癱瘓了!真是這樣嗎?
事實上,滿足如此嚴苛要求的關鍵在於如何實現精準的應用關聯防護,能夠在不中斷業務訪問的基礎上,精準定位威脅行為並攔截,從而達到精確而無副作用的防護效果,這也成為一款數據庫防火牆產品是否成熟可用的必要條件。
語句攔截—奠定應用防護的基礎
通常來講,數據庫防火牆可以通過兩種方式實現威脅防禦:中斷會話和語句攔截。
- 中斷會話
直接切斷應用與數據庫的會話連接,這種方式粗暴簡單,也最易實現。這種防護方式也是很多不成熟的數據庫防火牆產品所提供的解決方案。我們知道數據庫的訪問行為,來自DBA等運維人員及應用係統的訪問調用,這其中應用係統的訪問更為頻繁,對於業務連續性的要求也最高,中斷會話等於業務癱瘓,顯然不可取。
- 語句攔截
攔截語句的方式是指在保持原有會話暢通的基礎上,精準攔截威脅語句。既不破壞業務連續性,又能將風險語句過濾下來。這考驗數據庫防火牆對SQL語句的精準解析、風險策略的靈活和適用性,也是實現數據庫應用關聯防護的基礎所在。
應用關聯審計——準確定位應用訪問信息
接觸過數據庫審計產品的朋友應該知道,“三層關聯審計”功能在不少數據庫審計產品中已經實現,即通過“時間戳”等方式從數據庫訪問信息中捕獲應用賬號、IP等應用關聯信息,但眾所周知,“時間戳”的方式在功能上具有極大的缺陷——關聯審計信息並不準確,即使是在旁路審計上應用,也已經廣受詬病,更何況串接部署的數據庫防火牆。一旦解析錯誤,將造成正常語句被攔截, 嚴重影響業務運轉。
基於“應用插件”實現“應用關聯審計”的理念是由安華金和在國內首先提出,目前也在行業內得到更廣泛的應用。這種解析方式,是以一個簡易的jar包集成到應用係統,從而完成部署,在並發達到上千級別的連接是,仍然能實現100%準確關聯,以精確的方式捕獲到應用端相關信息。同時,這種解析能力需要具備高適用性,除了適用於Weblogic、tomcat、Websphere、Jboss等主流的應用服務器,也能支持F5等負載均衡模式下針對代理IP的關聯審計挖掘,準確定位應用訪問信息。
具備保持會話前提下的語句攔截功能,並能提供精準應用關聯能力,如此看來,實現數據庫的應用關聯防護已經具備非常堅實的基礎。最後一步,基於多維度匹配靈活的安全策略,是實現應用關聯防護的最後一錘。
多樣性的策略——實現細粒度行為控製
學習、建立數據庫行為模型
應用係統的訪問特點是基於固定的業務模型執行批量的SQl語句,學習應用的訪問行為是判斷異常風險語句的關鍵。數據庫防火牆在正式投入串接使用之前,需要旁路部署經過一段學習期,大量學習應用側的訪問行為,涵蓋:
- 客戶端信息(客戶端IP、客戶端工具、主機名、操作係統、登錄的數據庫用戶等)
- 應用信息(應用賬號、應用IP等)
- 訪問對象信息(數據庫實例、表、字段等)
從而建立數據庫行為模型,進一步製定全麵靈活的安全策略。
高細粒度的安全策略設定
精細化的安全策略需要具備高細粒度,能夠基於單條策略進行多層次設定,將應用賬號、客戶端IP、SQL語句等進行綁定,實現對應用用戶進行訪問行為控製。譬如,客服人員(應用賬號)隻能基於指定的IP或IP端進行數據庫訪問,並且其執行的語句僅限於指定的若幹語句模板,否則視為風險訪問、違規操作,會直接被阻斷或被攔截。
數據庫防火牆可以針對指定的訪問對象進行行為控製,即針對某一數據庫的某表、某字段進行增、刪、改、查的控製。例如,壽險賬單的用戶電話號碼就是以數據庫的表字段進行存儲。那麼,應用關聯防護在實現上,可以限製僅某些賬戶(如:業務主管)可以進行上述數據庫字段的查詢;某些賬戶(如:業務經理)可以進行上述數據的修改。
如果防火牆的防護粒度僅限於“數據庫字段”,那麼應用業務中更為深入的控製是否能滿足呢?譬如,業務經理僅能查詢和自己有關的用戶電話號碼,即數據庫“電話號碼字段”中的部分信息。在數據庫防火牆中,組成一條規則的元素中包括“報文關鍵字”這一特性,即可以通過配置“正則表達式”匹配SQL語句中的關鍵字,如果命中即視為風險。例如:select 賬戶,電話號碼 from 業務表 where 賬戶=”張三”;防火牆可以作出如下限定:如果關聯發現執行該語句的賬戶不是“張三”,那麼執行該語句時即視為風險語句進行攔截。
同理,數據庫防火牆將行為建模中捕獲到的諸多元素,通過多維度的設置、排列組合即可實現多樣性的防護規則,適用不同的訪問場景,這如同在數據庫前端織就了一張牢不可破的網。
至此,在實現精確語句攔截、應用關聯審計的前提下,賦予靈活多樣的安全策略,這才造就了一個有深度有內涵的數據庫防火牆產品。當然,安全策略的成熟度需要經過多個大型項目的打磨,應用程度越高的數據庫防火牆產品,其接觸的業務類型也就越多,能夠為用戶提供更精細、更具參考性的策略和規則,實現更準確、高效的數據庫安全防護價值。
本文作者:佚名
來源:51CTO
最後更新:2017-11-03 16:34:16