昂楷正在進(jìn)行的某省公安廳的數(shù)據(jù)庫防火墻項目,重點是對其簽約的上百家合作第三方開發(fā)與運維公司駐派的上千名員工進(jìn)行數(shù)據(jù)庫訪問管控,避免第三方運維人員惡意破壞數(shù)據(jù)庫或者泄露敏感數(shù)據(jù)。

銷售小A認(rèn)為客戶甲肯定也有同樣的需求,于是前往拜訪。當(dāng)小A聊到數(shù)據(jù)庫防火墻的時候,客戶打斷道:“防火墻?咱們這邊早就買了防火墻,網(wǎng)絡(luò)出口區(qū)、服務(wù)器區(qū)都已經(jīng)有了,甚至核心交換機(jī)還加了防火墻板卡,咱們這暫時沒有這個需求...
數(shù)據(jù)庫防火墻的不同
上面小A的拜訪目的沒有很好達(dá)成,首先自己是沒有完全弄明白數(shù)據(jù)庫防火墻與傳統(tǒng)網(wǎng)絡(luò)防火墻的區(qū)別,其次很多甲方或合作伙伴也沒有完全弄明白,那么究竟傳統(tǒng)網(wǎng)絡(luò)防火墻與現(xiàn)在出現(xiàn)的數(shù)據(jù)庫防火墻有何不同呢?其實主要是以下兩點。
? 部署位置不同:
網(wǎng)絡(luò)防火墻一般部署在出口或者服務(wù)器區(qū)等網(wǎng)絡(luò)邊界。
數(shù)據(jù)庫防火墻一般部署在數(shù)據(jù)庫服務(wù)器前端,只對數(shù)據(jù)庫服務(wù)器進(jìn)行保護(hù)。
? 防護(hù)對象不同:
網(wǎng)絡(luò)防火墻同IPS、IDS類似工作在2-7層網(wǎng)絡(luò)協(xié)議防護(hù),主要解決網(wǎng)絡(luò)準(zhǔn)入等邊界問題。
數(shù)據(jù)庫防火墻主要針對的是數(shù)據(jù)庫流量sql語句,實現(xiàn)對數(shù)據(jù)庫訪問,數(shù)據(jù)使用的安全防護(hù),例如有效防止批量數(shù)據(jù)泄露,惡意篡改數(shù)據(jù)等。
為何需要數(shù)據(jù)庫防火墻
用大家比較熟悉的“等保”來講,對于數(shù)據(jù)庫防護(hù),一般而言都會有數(shù)據(jù)庫審計設(shè)備的部署,它能解決數(shù)據(jù)庫非法操作的及時告警以及安全事件發(fā)生后的調(diào)查取證,但由于其旁路部署的原因,對于安全事件發(fā)生時的管控相對較弱。
這時候就需要數(shù)據(jù)庫防火墻產(chǎn)品進(jìn)行事中防護(hù)了,對于實時操作數(shù)據(jù)庫竊取數(shù)據(jù)的行為進(jìn)行實時阻斷,有效防止數(shù)據(jù)被破壞或者竊取。如,2020年的微盟刪庫事件;單位通過管理手段配合橋接部署數(shù)據(jù)庫防火墻,及時對刪庫命令進(jìn)行攔截即可避免惡性事件的發(fā)生。
數(shù)據(jù)庫防火墻價值
精準(zhǔn)攔截數(shù)據(jù)庫惡意操作,保護(hù)數(shù)據(jù)安全
可根據(jù)客戶意見及實際安全網(wǎng)關(guān)防護(hù)情況,將IP、MAC、操作語句、賬號、防護(hù)對象、客戶端等相關(guān)信息設(shè)置組合規(guī)則。白名單將僅進(jìn)行“六元組”信息記錄然后直接轉(zhuǎn)發(fā),對黑名單直接阻斷。例如:凡是在凌晨1-5點的操作,都視為高危操作,只要操作,就會阻斷。

權(quán)限梳理管控,防范越權(quán)訪問
數(shù)據(jù)庫防火墻系統(tǒng)可針對那些持有特權(quán)賬號(sa、root等)的運維人員,同樣可對該用戶的部分風(fēng)險操作(比如delete、truncate等)進(jìn)行實時阻斷控制并及時告警,從而降低影響以及損失。同樣也可以通過控制只有特定的IP范圍才能對數(shù)據(jù)庫進(jìn)行訪問,從而阻斷那些非法分子進(jìn)行訪問,提高數(shù)據(jù)資產(chǎn)安全。
滿足合規(guī)要求
行政事業(yè)單位或者企業(yè)等有遵循等保護(hù)、分保的合規(guī)性要求。數(shù)據(jù)庫防火墻方案,有助于完善組織的信息安全體系,從而滿足各種合規(guī)性要求,并且使組織能夠順利通過合規(guī)審計。
數(shù)據(jù)庫防火墻是對數(shù)據(jù)安全審計的進(jìn)一步補(bǔ)充,可大大加強(qiáng)數(shù)據(jù)庫事中安全風(fēng)險的訪問管控,保護(hù)數(shù)據(jù)庫安全,讓數(shù)據(jù)安全的合規(guī)建設(shè)進(jìn)一步提升。

