数据库防火墙应具备哪些能力
互联网时代,由数据库引发的安全事件越来越多,数据库防火墙作为保护数据库安全必不可少的防御工事,也越来越受到企业关注。那么数据库防火墙究竟应具备哪些能力,才能为企业数据资产筑起坚不可摧的安全防线?
1. 数据库防火墙的高可用性和高性能
数据库在企业中承载着关键核心业务,其重要性不言而喻。由于数据库防火墙是串联到数据库与应用服务器之间的安全设备, 因此不能因为安全设备的部署而影响业务系统正常使用,数据库防火墙自身需要具备高可用性和高速率并发处理能力:
2. 准入控制
就跟人需要有身份证一样,接入数据库也需要根据不同的身份因子对人进行多维度的识别,保证身份真实性和可靠性。
3. 入侵防护功能
数据库防火墙每天都需要面对外部环境的各种攻击,在识别真实人员的基础上,我们还需要对他们的访问行为和特征进行检测,并对危险行为进行防御,主要防御功能应有:
4. 访问控制
很多应用程序往往存在权限控制漏洞,无法控制某些非法访问、高危操作,比如统方、绝密资料的获取等。这些潜藏巨大风险的行为,需要进行管理和控制:
防撞库,当密码输入次数达到预设阈值时,锁定攻击终端;
危险操作阻断,当应用在执行全量删除、修改等高危行为的时候,需要对这些行为进行阻断;
敏感信息访问脱敏,根据访问者的权限,返回不同的数据,权限足够时看到真实的数据,权限不足时返回经过脱敏的数据,避免敏感信息泄露;
访问返回行数控制,可对访问结果进行管理,避免非法一次性导出大量数据库,导致数据的大量流失。
5. SQL白名单
SQL白名单,就是创建应用的SQL白名单库,对于这些安全SQL进行放行,对于危险SQL进行阻断;SQL白名单可以只针对可信SQL做特征识别、而不符合可信SQL特征的我们都可以认为他是未知或高危的SQL,并进行阻断或告警。
6. 风险监控
一般来说数据库防火墙往往会管理多个数据库,当数据库达到一定数量时,通过人工很难监控数据库的整体安全情况,因此需要监控平台进行统一的安全监控:
监控数据库防火墙的整体安全情况,当出现风险时可快速的定位当前被攻击的数据库及发起攻击的客户端等;
可视化展示,直观、全局、清晰的把握数据库安全情况。
7. 告警
对于任何不认识的新面孔和操作进行识别并实时告警,是数据库安全防护必不可少的一环,包括:新发现的IP地址,应用程序,数据库账户,应用账户,访问对象,访问操作,SQL语句。
系统可通过短信、邮件、动画等多种告警手段来保证告警的实时性。
8. 风险分析与追踪
业务人员在利益的诱惑下,往往通过业务系统提供的功能完成对敏感信息的访问,从而造成数据外泄的风险。因此提供对风险访问的详细记录,便于风险分析和问题追溯至关重要。详细的风险分析和追踪,应包括以下基本要素: