數(shù)據(jù)防御用哪種數(shù)據(jù)庫防火墻更安全？如今，數(shù)據(jù)是企業(yè)的核心力。因此，數(shù)據(jù)安全性凸顯的尤為重要。要實(shí)現(xiàn)危險(xiǎn)行為的過濾，數(shù)據(jù)庫防火墻必需串聯(lián)部署，才能形成數(shù)據(jù)庫的安全屏障。這要求其既要發(fā)揮抵御威脅行為的功能，同時(shí)又不能影響正常的應(yīng)用訪問，造成業(yè)務(wù)中斷。

通常來講，數(shù)據(jù)庫防火墻可以通過兩種方式實(shí)現(xiàn)威脅防御：中斷會(huì)話和語句攔截。

1.中斷會(huì)話

直接切斷應(yīng)用與數(shù)據(jù)庫的會(huì)話連接，這種方式粗暴簡單，也最易實(shí)現(xiàn)。這種防護(hù)方式也是很多不成熟的數(shù)據(jù)庫防火墻產(chǎn)品所提供的解決方案。我們知道數(shù)據(jù)庫的訪問行為，來自DBA等運(yùn)維人員及應(yīng)用系統(tǒng)的訪問調(diào)用，這其中應(yīng)用系統(tǒng)的訪問更為頻繁。對(duì)于業(yè)務(wù)連續(xù)性的要求也最高，中斷會(huì)話等于業(yè)務(wù)癱瘓，顯然不可取。

數(shù)據(jù)庫防火墻,數(shù)據(jù)防御

2.語句攔截

攔截語句的方式是指在保持原有會(huì)話暢通的基礎(chǔ)上，精準(zhǔn)攔截威脅語句。既不破壞業(yè)務(wù)連續(xù)性，又能將風(fēng)險(xiǎn)語句過濾下來。這考驗(yàn)數(shù)據(jù)庫防火墻對(duì)SQL語句的精準(zhǔn)解析、風(fēng)險(xiǎn)策略的靈活和適用性，也是實(shí)現(xiàn)數(shù)據(jù)庫應(yīng)用關(guān)聯(lián)防護(hù)的基礎(chǔ)所在。

應(yīng)用關(guān)聯(lián)審計(jì)——準(zhǔn)確定位應(yīng)用訪問信息

接觸過數(shù)據(jù)庫審計(jì)產(chǎn)品的朋友應(yīng)該知道，“三層關(guān)聯(lián)審計(jì)”功能在不少數(shù)據(jù)庫審計(jì)產(chǎn)品中已經(jīng)實(shí)現(xiàn)，即通過“時(shí)間戳”等方式從數(shù)據(jù)庫訪問信息中捕獲應(yīng)用賬號(hào)、IP等應(yīng)用關(guān)聯(lián)信息。但眾所周知，“時(shí)間戳”的方式在功能上具有極大的缺陷——關(guān)聯(lián)審計(jì)信息并不準(zhǔn)確，即使是在旁路審計(jì)上應(yīng)用，也已經(jīng)廣受詬病，更何況串接部署的數(shù)據(jù)庫防火墻。一旦解析錯(cuò)誤，將造成正常語句被攔截， 嚴(yán)重影響業(yè)務(wù)運(yùn)轉(zhuǎn)。

基于“應(yīng)用插件”實(shí)現(xiàn)“應(yīng)用關(guān)聯(lián)審計(jì)”的理念是由安華金和在國內(nèi)首先提出，目前也在行業(yè)內(nèi)得到更廣泛的應(yīng)用。這種解析方式，是以一個(gè)簡易的jar包集成到應(yīng)用系統(tǒng)，從而完成部署，在并發(fā)達(dá)到上千級(jí)別的連接是，仍然能實(shí)現(xiàn)100%準(zhǔn)確關(guān)聯(lián)，以精確的方式捕獲到應(yīng)用端相關(guān)信息。同時(shí)，這種解析能力需要具備高適用性，除了適用于Weblogic、tomcat、Websphere、Jboss等主流的應(yīng)用服務(wù)器，也能支持F5等負(fù)載均衡模式下針對(duì)代理IP的關(guān)聯(lián)審計(jì)挖掘，準(zhǔn)確定位應(yīng)用訪問信息。

具備保持會(huì)話前提下的語句攔截功能，并能提供精準(zhǔn)應(yīng)用關(guān)聯(lián)能力，如此看來，實(shí)現(xiàn)數(shù)據(jù)庫的應(yīng)用關(guān)聯(lián)防護(hù)已經(jīng)具備非常堅(jiān)實(shí)的基礎(chǔ)。最后一步，基于多維度匹配靈活的安全策略，是實(shí)現(xiàn)應(yīng)用關(guān)聯(lián)防護(hù)的最后一錘。

數(shù)據(jù)防御有效的安全策略：高細(xì)粒度的安全策略設(shè)定

精細(xì)化的安全策略需要具備高細(xì)粒度，能夠基于單條策略進(jìn)行多層次設(shè)定。將應(yīng)用賬號(hào)、客戶端IP、SQL語句等進(jìn)行綁定，實(shí)現(xiàn)對(duì)應(yīng)用用戶進(jìn)行訪問行為控制。譬如，客服人員(應(yīng)用賬號(hào))只能基于指定的IP或IP端進(jìn)行數(shù)據(jù)庫訪問，并且其執(zhí)行的語句僅限于指定的若干語句模板，否則視為風(fēng)險(xiǎn)訪問、違規(guī)操作，會(huì)直接被阻斷或被攔截。

數(shù)據(jù)庫防火墻可以針對(duì)指定的訪問對(duì)象進(jìn)行行為控制，即針對(duì)某一數(shù)據(jù)庫的某表、某字段進(jìn)行增、刪、改、查的控制。例如，壽險(xiǎn)賬單的用戶電話號(hào)碼就是以數(shù)據(jù)庫的表字段進(jìn)行存儲(chǔ)。那么，應(yīng)用關(guān)聯(lián)防護(hù)在實(shí)現(xiàn)上，可以限制僅某些賬戶(如：業(yè)務(wù)主管)可以進(jìn)行上述數(shù)據(jù)庫字段的查詢;某些賬戶(如：業(yè)務(wù)經(jīng)理)可以進(jìn)行上述數(shù)據(jù)的修改。

如果防火墻的防護(hù)粒度僅限于“數(shù)據(jù)庫字段”，那么應(yīng)用業(yè)務(wù)中更為深入的控制是否能滿足呢?譬如，業(yè)務(wù)經(jīng)理僅能查詢和自己有關(guān)的用戶電話號(hào)碼，即數(shù)據(jù)庫“電話號(hào)碼字段”中的部分信息。在數(shù)據(jù)庫防火墻中，組成一條規(guī)則的元素中包括“報(bào)文關(guān)鍵字”這一特性，即可以通過配置“正則表達(dá)式”匹配SQL語句中的關(guān)鍵字，如果命中即視為風(fēng)險(xiǎn)。例如：select 賬戶,電話號(hào)碼 from 業(yè)務(wù)表 where 賬戶=”張三”;防火墻可以作出如下限定：如果關(guān)聯(lián)發(fā)現(xiàn)執(zhí)行該語句的賬戶不是“張三”，那么執(zhí)行該語句時(shí)即視為風(fēng)險(xiǎn)語句進(jìn)行攔截。

同理，數(shù)據(jù)庫防火墻將行為建模中捕獲到的諸多元素，通過多維度的設(shè)置、排列組合即可實(shí)現(xiàn)多樣性的防護(hù)規(guī)則，適用不同的訪問場景，這如同在數(shù)據(jù)庫前端織就了一張牢不可破的網(wǎng)。