數(shù)據(jù)庫安全防火墻應(yīng)具備哪些能力？

進(jìn)入互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)庫引發(fā)的安全事件越來越多，如Facebook超過8700萬用戶數(shù)據(jù)需要泄露。數(shù)據(jù)庫防火墻作為保護(hù)數(shù)據(jù)庫安全的重要防御工事，越來越受到企業(yè)的關(guān)注。那么，數(shù)據(jù)庫防火墻應(yīng)該具備哪些能力來保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)呢？

01.數(shù)據(jù)庫防火墻的高可用性和高性能

數(shù)據(jù)庫在企業(yè)中承載著關(guān)鍵核心業(yè)務(wù)，其重要性不言而喻。由于數(shù)據(jù)庫防火墻是串聯(lián)到數(shù)據(jù)庫與應(yīng)用服務(wù)器之間的安全設(shè)備，因此不能因?yàn)榘踩O(shè)備的部署而影響業(yè)務(wù)系統(tǒng)正常使用，數(shù)據(jù)庫防火墻自身需要具備高可用性和高速率并發(fā)處理能力：

當(dāng)安全設(shè)備因停機(jī)、系統(tǒng)本身主程序不可用、內(nèi)存持續(xù)占用等問題不可用時(shí)，自動切換到另一個(gè)安全設(shè)備運(yùn)行，實(shí)現(xiàn)設(shè)備的高可用性，避免日常維護(hù)操作（計(jì)劃）和突然系統(tǒng)崩潰（非計(jì)劃），影響生產(chǎn)業(yè)務(wù)，提高系統(tǒng)和應(yīng)用的高可用性。

由于業(yè)務(wù)系統(tǒng)的高并發(fā)訪問，數(shù)據(jù)庫需要在1毫秒內(nèi)對標(biāo)直接訪問數(shù)據(jù)庫SQL處理速度應(yīng)與直接訪問數(shù)據(jù)庫基本相同，以避免數(shù)據(jù)庫防火墻部署影響業(yè)務(wù)系統(tǒng)的正常使用。

02.準(zhǔn)入控制

就像人們需要身份證一樣，訪問數(shù)據(jù)庫也需要根據(jù)不同的身份因素進(jìn)行多維識別，以確保身份的真實(shí)性和可靠性。

多因素身份：數(shù)據(jù)庫用戶名、應(yīng)用系統(tǒng)用戶、IP地址、MAC多因素組合準(zhǔn)入，如地址、客戶端程序名、登錄時(shí)間等。

應(yīng)用防偽:可以識別應(yīng)用程序的特征，識別應(yīng)用程序的真實(shí)性，避免應(yīng)用程序被偽造，導(dǎo)致非法使用。

入侵防護(hù)功能

數(shù)據(jù)庫防火墻每天都需要面對外部環(huán)境的各種攻擊。在識別真實(shí)人員的基礎(chǔ)上，我們還需要檢測他們的訪問行為和特征，并防止危險(xiǎn)行為。主要防御功能應(yīng)包括：

SQL注入安全防御，構(gòu)建SQL注入特征庫，實(shí)現(xiàn)注入攻擊SQL特征識別，結(jié)合SQL實(shí)時(shí)攻擊阻斷白名單機(jī)制；

漏洞攻擊防御，由于數(shù)據(jù)庫升級困難，需要掃描和識別數(shù)據(jù)庫漏洞，虛擬補(bǔ)丁，避免黑客攻擊這些漏洞；

敏感SQL防御，即SQL對這些信息敏感SQL需要單獨(dú)管理，只授權(quán)可訪問身份，拒絕未經(jīng)授權(quán)的身份訪問。

04.訪問控制

許多應(yīng)用程序往往存在權(quán)限控制漏洞，無法控制一些非法訪問和高風(fēng)險(xiǎn)操作，如獲取統(tǒng)一和絕密數(shù)據(jù)。這些隱藏的巨大風(fēng)險(xiǎn)需要管理和控制：

當(dāng)密碼輸入次數(shù)達(dá)到預(yù)設(shè)閾值時(shí)，防撞庫鎖定攻擊終端；

危險(xiǎn)操作阻斷，當(dāng)應(yīng)用在執(zhí)行全量刪除、修改等高危行為的時(shí)候，需要對這些行為進(jìn)行阻斷；

敏感信息訪問脫敏，根據(jù)訪問者的權(quán)限返回不同的數(shù)據(jù)，當(dāng)權(quán)限足夠時(shí)看到真實(shí)數(shù)據(jù)，當(dāng)權(quán)限不足時(shí)返回脫敏數(shù)據(jù)，避免敏感信息泄露；

訪問返回行數(shù)控制可以管理訪問結(jié)果，避免大量數(shù)據(jù)庫非法一次導(dǎo)出，導(dǎo)致大量數(shù)據(jù)丟失。

05.SQL白名單

SQL白名單是創(chuàng)建應(yīng)用程序SQL對于這些安全，白名單庫SQL放行對危險(xiǎn)SQL進(jìn)行阻斷；SQL白名單只針對可信度SQL特征識別不符合可信度SQL我們都可以認(rèn)為他是未知的或高風(fēng)險(xiǎn)的SQL，并進(jìn)行阻斷或報(bào)警。

06.風(fēng)險(xiǎn)監(jiān)控

一般來說，數(shù)據(jù)庫防火墻往往管理多個(gè)數(shù)據(jù)庫。當(dāng)數(shù)據(jù)庫達(dá)到一定數(shù)量時(shí)，很難手動監(jiān)控?cái)?shù)據(jù)庫的整體安全，因此需要監(jiān)控平臺進(jìn)行統(tǒng)一的安全監(jiān)控：

監(jiān)控?cái)?shù)據(jù)庫防火墻的整體安全，當(dāng)有風(fēng)險(xiǎn)時(shí)，可以快速定位當(dāng)前攻擊數(shù)據(jù)庫和攻擊客戶端；

可視化顯示，直觀、全局、清晰地把握數(shù)據(jù)庫安全。

07.告警

識別和實(shí)時(shí)報(bào)警任何未知的新面孔和操作是數(shù)據(jù)庫安全保護(hù)的重要組成部分，包括：新發(fā)現(xiàn)IP地址、應(yīng)用程序、數(shù)據(jù)庫賬戶、應(yīng)用程序賬戶、訪問對象、訪問操作、SQL語句。

系統(tǒng)可以通過短信、郵件、動畫等多種報(bào)警手段保證報(bào)警的實(shí)時(shí)性。

08.風(fēng)險(xiǎn)分析與跟蹤

在利益的誘惑下，業(yè)務(wù)人員經(jīng)常通過業(yè)務(wù)系統(tǒng)提供的功能訪問敏感信息，導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)。因此，為風(fēng)險(xiǎn)分析和問題追溯提供詳細(xì)的風(fēng)險(xiǎn)訪問記錄至關(guān)重要。詳細(xì)的風(fēng)險(xiǎn)分析和跟蹤應(yīng)包括以下基本要素：

Who？—真實(shí)身份，如數(shù)據(jù)庫賬號、主機(jī)名稱、操作系統(tǒng)賬號等；

What？—訪問什么對象數(shù)據(jù)，執(zhí)行什么操作，觸發(fā)什么安全策略；

When？—每個(gè)事件的具體時(shí)間；

Where？—事件的來源和目的包括IP地址、MAC地址等；

How？—操作應(yīng)用程序或第三方工具。

騰佑科技Web應(yīng)用防火墻（云WAF）是基于AI一站式發(fā)動機(jī)Web業(yè)務(wù)運(yùn)營風(fēng)險(xiǎn)防護(hù)方案幫助用戶應(yīng)對網(wǎng)站入侵、漏洞利用、掛馬、篡改、后門、爬蟲Bot，域名劫持等安全問題組織網(wǎng)站和Web保駕護(hù)航業(yè)務(wù)安全運(yùn)行。詳見騰佑科技客服400-996-8756。