從大門看守到貼身保鏢服務的安全縱深防御

當前各種網絡威脅層出不窮，企業(yè)的網絡安全重要性日益凸顯，互聯(lián)網環(huán)境下，萬物互聯(lián)成為大勢。傳統(tǒng)的網絡邊界防御已經不足以應對多變復雜的網絡環(huán)境，安全攻擊的不確定性和持續(xù)性，讓越來越多的企業(yè)單位認識到，即使是存儲于最核心位置數(shù)據(jù)庫內的數(shù)據(jù)，也有可能暴露在安全之外。因此，網絡防火墻、下一代防火墻等傳統(tǒng)安全產品，面對越演越烈的數(shù)據(jù)庫安全態(tài)勢，已經顯得無能為力。新的需求催生新的產品技術，以數(shù)據(jù)庫協(xié)議與SQL 詞法語法進行解析的技術為基礎的數(shù)據(jù)庫防火墻，應運而生。

然而，根據(jù)市場調查數(shù)據(jù)顯示，很多用戶認為，傳統(tǒng)防火墻、下一代防火墻、WAF、堡壘機等傳統(tǒng)網絡安全產品或多或少包含數(shù)據(jù)庫防護功能，能夠解決數(shù)據(jù)庫安全問題。本文筆者打一個形象的比喻，將整個信息安全系統(tǒng)比作一個政府大院， 那么傳統(tǒng)防火墻、下一代防火墻、WAF、堡壘機、數(shù)據(jù)庫防火墻， 分別可以比喻為“大門”、“傳達室”、“門衛(wèi)”、“大管家”、“保鏢” 五個角色。從進入大門開始，各產品的價值體現(xiàn)與數(shù)據(jù)庫防火墻的根本差異，一目了然。

“大門”--傳統(tǒng)防火墻

傳統(tǒng)防火墻相當于信息系統(tǒng)的“大門”.“大門” 顧名思義，指整個建筑物通向外面的唯一路徑，直接起到攔截或放行的作用。但是，大門無法對“進門人”的好壞進行區(qū)分，比如對“人員面貌特征”、“攜帶違禁品”等問題更是無法檢查。

傳統(tǒng)的防火墻一般使用在網絡的出口處，基本原理是根據(jù)IP 地址/端口號或協(xié)議標識符識別和分類網絡流量，并執(zhí)行相關的策略。所以對于WEB2.0 應用來說，傳統(tǒng)防火墻看到的所有基于瀏覽器的應用程序的網絡流量是完全一樣的，無法區(qū)分各種應用程序，更無法實施策略來區(qū)分哪些是不需要的或不適當?shù)某绦?，對于?shù)據(jù)庫網絡通訊無任何的安全防護能力。

“傳達室”--下一代防火墻

下一代防火墻相當于是信息系統(tǒng)的“傳達室”.“傳達室”負責看門、登記、收發(fā)資料和引導來賓等工作，在檢查過程中對人員身份證件、面貌特征等進行簡單檢查，并引導正確的位置， 但是人員進入后隨意溜達并接近或逗留于核心業(yè)務位置，“傳達室”就鞭長莫及了。

下一代防火墻同樣部署在全網出口處，比起傳統(tǒng)防火墻檢測廣度增加，集成了傳統(tǒng)防火墻、IPS、防病毒、防垃圾郵件等諸多功能，可以對上百種應用層的通訊協(xié)議進行解析，但所解析的協(xié)議都限于標準通訊協(xié)議，如FTP、郵件、LDAP、Telnet 等，對一些針對標準協(xié)議的攻擊行為進行防范；但對于數(shù)據(jù)庫這樣的非標準化通訊協(xié)議，協(xié)議的復雜度很高，當前市場上的主流下一代防火墻產品還未能實現(xiàn)對數(shù)據(jù)庫通訊協(xié)議的解析和防護。因此，下一代防火墻自然對數(shù)據(jù)庫安全的防護“ 有心無力”.

“門衛(wèi)”--WEB應用防火墻（WAF）

WAF相當于是信息系統(tǒng)“門衛(wèi) ”.“門衛(wèi)”是某個建筑物或重要部位的警衛(wèi)，與“大門”、“ 傳達室” 不同，門衛(wèi)對所把守建筑物內部情況非常了解，對進出人員特征也分辨清晰，一旦有非內部可信人員試圖進入，門衛(wèi)就會細細檢查盤問，但針對進入內部后的作案行為便無計可施了。

WAF串行部署在信息系統(tǒng)前端，提升了系統(tǒng)的攻擊防御能力，WAF原理主要是對Http協(xié)議的解析，并對Http 協(xié)議中的傳輸內容進行分析，依靠正則式和簡單規(guī)則庫可以實現(xiàn)對部分SQL注入行為的阻止，由于WAF的專注程度定位在系統(tǒng)防攻擊、防篡改等措施上，對于復雜的SQL注入和數(shù)據(jù)庫攻擊行為僅進行匹配，WAF就應接不暇了，并且早在2012年黑客大會就公布了150多種可以繞開WAF實現(xiàn)對數(shù)據(jù)庫的攻擊技術。因此不難看出WAF主要重點在于系統(tǒng)防護，針對數(shù)據(jù)庫的安全防護措施，基本屬于“蜻蜓點水”.

“大管家”--運維堡壘機

運維堡壘機相當于信息系統(tǒng)的“大管家”,幫助主人集中管理協(xié)調信息內辦公人員，由于不同的人需要用不同的勞動工具，進行不同的業(yè)務操作，因此大管家還安裝了攝像頭，監(jiān)督記錄大家的工作。大管家也會有難以管控之處，無法更細粒度地控制大家使用工具時都進行了哪些具體操作，或者誰進行了誤操作；大管家同樣無法防止對方繞過自己偷偷到系統(tǒng)禁地做些手腳，也無法防止內部工作人員做了內應，進行一些不良操作，如果有些開發(fā)人員在業(yè)務系統(tǒng)中直接種植后門程序， 這位“大管家”是看不到的。

運維堡壘機串行部署在運維終端與主機、數(shù)據(jù)庫之間， 通過這種部署方式，可以實現(xiàn)對主機設備和數(shù)據(jù)庫的集中管控，堡壘機可實現(xiàn)運維過程中統(tǒng)一認證、統(tǒng)一授權、統(tǒng)一審計。但堡壘機只能通過錄屏的方式進行錄像審計，無法更細力度地控制大家在工具內的操作，無法針對數(shù)據(jù)庫管理員誤操作的行為進行識別并加以阻止，也無法防止有些開發(fā)人員在業(yè)務系統(tǒng)中直接種植后門程序，針對大批量訪問敏感表并造成信息泄密的行為無能為力。

“保鏢”--數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻相當于數(shù)據(jù)庫的“保鏢”,“保鏢”應擁有偵察判斷、安全布防、情報收集、保密措施、危機預防等功能，數(shù)據(jù)庫防火墻正是為數(shù)據(jù)庫行使了保鏢的職責，是專業(yè)的、主動、實時保護數(shù)據(jù)庫安全的解決方案。

數(shù)據(jù)庫防火墻根據(jù)部署位置的不同，防護的重點也有所不同，數(shù)據(jù)庫防火墻部署在運維側時，可以對內部人員誤操作、批量刪除或是批量下載數(shù)據(jù)進行防護，數(shù)據(jù)庫防火墻部署在應用側時，既能防護來自外部的攻擊行為，又能防止內部的非授權操作。

專業(yè)的數(shù)據(jù)庫防火墻原理應基于數(shù)據(jù)庫協(xié)議精確解析，通過對SQL語法/詞法中存在的風險進行精確識別，從而防止外部對數(shù)據(jù)庫漏洞的攻擊和SQL注入等問題。并且具有虛擬補丁防護，SQL 注入防護、SQL黑白名單，細粒度權限管控，行為審計、監(jiān)測分析等核心功能，對外防止數(shù)據(jù)庫被攻擊，對內防止高權限用戶（ DBA、開發(fā)人員、第三方外包服務提供商）的數(shù)據(jù)竊取、破壞、損壞等，實現(xiàn)對數(shù)據(jù)庫活動實時監(jiān)控和靈活告警，幫助用戶應對來自內部和外部的數(shù)據(jù)安全威脅。

信息系統(tǒng)的縱深防御體系應該實現(xiàn)從“大門到保鏢”的防護，每種安全產品都有其定位和價值，術業(yè)專攻，用戶應基于自身需求，整合各類安全產品優(yōu)勢，構建更為安全的信息防護體系。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。