从大门看守到贴身保镖服务的安全纵深防御

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云防火墙,500元 1000GB
全局流量管理 GTM,标准版 1个月
简介:

当前各种网络威胁层出不穷,企业的网络安全重要性日益凸显,互联网环境下,万物互联成为大势。传统的网络边界防御已经不足以应对多变复杂的网络环境,安全攻击的不确定性和持续性,让越来越多的企业单位认识到,即使是存储于最核心位置数据库内的数据,也有可能暴露在安全之外。因此,网络防火墙、下一代防火墙等传统安全产品,面对越演越烈的数据库安全态势,已经显得无能为力。新的需求催生新的产品技术,以数据库协议与SQL 词法语法进行解析的技术为基础的数据库防火墙,应运而生。

然而,根据市场调查数据显示,很多用户认为,传统防火墙、下一代防火墙、WAF、堡垒机等传统网络安全产品或多或少包含数据库防护功能,能够解决数据库安全问题。本文笔者打一个形象的比喻,将整个信息安全系统比作一个政府大院,那么传统防火墙、下一代防火墙、WAF、堡垒机、数据库防火墙, 分别可以比喻为“大门”、“传达室”、“门卫”、“大管家”、“保镖” 五个角色。从进入大门开始,各产品的价值体现与数据库防火墙的根本差异,一目了然。

“大门”——传统防火墙

传统防火墙相当于信息系统的“大门”。“大门” 顾名思义,指整个建筑物通向外面的唯一路径,直接起到拦截或放行的作用。但是,大门无法对“进门人”的好坏进行区分,比如对“人员面貌特征”、“携带违禁品”等问题更是无法检查。

传统的防火墙一般使用在网络的出口处,基本原理是根据IP 地址/端口号或协议标识符识别和分类网络流量,并执行相关的策略。所以对于WEB2.0 应用来说,传统防火墙看到的所有基于浏览器的应用程序的网络流量是完全一样的,无法区分各种应用程序,更无法实施策略来区分哪些是不需要的或不适当的程序,对于数据库网络通讯无任何的安全防护能力。

“传达室”——下一代防火墙

下一代防火墙相当于是信息系统的“传达室”。“传达室”负责看门、登记、收发资料和引导来宾等工作,在检查过程中对人员身份证件、面貌特征等进行简单检查,并引导正确的位置,但是人员进入后随意溜达并接近或逗留于核心业务位置,“传达室”就鞭长莫及了。

下一代防火墙同样部署在全网出口处,比起传统防火墙检测广度增加,集成了传统防火墙、IPS、防病毒、防垃圾邮件等诸多功能,可以对上百种应用层的通讯协议进行解析,但所解析的协议都限于标准通讯协议,如FTP、邮件、LDAP、Telnet 等,对一些针对标准协议的攻击行为进行防范;但对于数据库这样的非标准化通讯协议,协议的复杂度很高,当前市场上的主流下一代防火墙产品还未能实现对数据库通讯协议的解析和防护。因此,下一代防火墙自然对数据库安全的防护“ 有心无力”。

“门卫”——WEB应用防火墙(WAF)

WAF相当于是信息系统“门卫 ”。“门卫”是某个建筑物或重要部位的警卫,与“大门”、“ 传达室” 不同,门卫对所把守建筑物内部情况非常了解,对进出人员特征也分辨清晰,一旦有非内部可信人员试图进入,门卫就会细细检查盘问,但针对进入内部后的作案行为便无计可施了。

WAF串行部署在信息系统前端,提升了系统的攻击防御能力,WAF原理主要是对Http协议的解析,并对Http 协议中的传输内容进行分析,依靠正则式和简单规则库可以实现对部分SQL注入行为的阻止,由于WAF的专注程度定位在系统防攻击、防篡改等措施上,对于复杂的SQL注入和数据库攻击行为仅进行匹配,WAF就应接不暇了,并且早在2012年黑客大会就公布了150多种可以绕开WAF实现对数据库的攻击技术。因此不难看出WAF主要重点在于系统防护,针对数据库的安全防护措施,基本属于“蜻蜓点水”。

“大管家”——运维堡垒机

运维堡垒机相当于信息系统的“大管家”,帮助主人集中管理协调信息内办公人员,由于不同的人需要用不同的劳动工具,进行不同的业务操作,因此大管家还安装了摄像头,监督记录大家的工作。大管家也会有难以管控之处,无法更细粒度地控制大家使用工具时都进行了哪些具体操作,或者谁进行了误操作;大管家同样无法防止对方绕过自己偷偷到系统禁地做些手脚,也无法防止内部工作人员做了内应,进行一些不良操作,如果有些开发人员在业务系统中直接种植后门程序,这位“大管家”是看不到的。

运维堡垒机串行部署在运维终端与主机、数据库之间, 通过这种部署方式,可以实现对主机设备和数据库的集中管控,堡垒机可实现运维过程中统一认证、统一授权、统一审计。但堡垒机只能通过录屏的方式进行录像审计,无法更细力度地控制大家在工具内的操作,无法针对数据库管理员误操作的行为进行识别并加以阻止,也无法防止有些开发人员在业务系统中直接种植后门程序,针对大批量访问敏感表并造成信息泄密的行为无能为力。

“保镖”——数据库防火墙

数据库防火墙相当于数据库的“保镖”,“保镖”应拥有侦察判断、安全布防、情报收集、保密措施、危机预防等功能,数据库防火墙正是为数据库行使了保镖的职责,是专业的、主动、实时保护数据库安全的解决方案。

数据库防火墙根据部署位置的不同,防护的重点也有所不同,数据库防火墙部署在运维侧时,可以对内部人员误操作、批量删除或是批量下载数据进行防护,数据库防火墙部署在应用侧时,既能防护来自外部的攻击行为,又能防止内部的非授权操作。

专业的数据库防火墙原理应基于数据库协议精确解析,通过对SQL语法/词法中存在的风险进行精确识别,从而防止外部对数据库漏洞的攻击和SQL注入等问题。并且具有虚拟补丁防护,SQL 注入防护、SQL黑白名单,细粒度权限管控,行为审计、监测分析等核心功能,对外防止数据库被攻击,对内防止高权限用户( DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏等,实现对数据库活动实时监控和灵活告警,帮助用户应对来自内部和外部的数据安全威胁。

从大门看守到贴身保镖服务的安全纵深防御

信息系统的纵深防御体系应该实现从“大门到保镖”的防护,每种安全产品都有其定位和价值,术业专攻,用户应基于自身需求,整合各类安全产品优势,构建更为安全的信息防护体系。


作者:安华金和 宣淦淼 付蓉洁

来源:51CTO

相关文章
|
6月前
|
安全 算法 Java
【网络安全】网络防护之旅 - 点燃网络安全战场的数字签名烟火
【网络安全】网络防护之旅 - 点燃网络安全战场的数字签名烟火
79 1
|
3月前
|
SQL 安全 网络安全
【惊心动魄】揭秘网络暗黑势力!全面解析网站安全攻击手段及防御秘籍,助你构筑坚不可摧的数字堡垒!
【8月更文挑战第13天】随着互联网发展,网站成为信息和服务的关键渠道,但也面临黑客攻击的风险。本文介绍几种常见攻击及其防御方法:SQL注入可通过参数化查询预防;XSS攻击需对数据严格过滤和编码;CSRF攻击则需使用唯一令牌验证;文件上传漏洞应限制文件类型并验证;DDoS攻击可借助CDN和防火墙缓解。维护网站安全需持续监控和更新防护策略。
86 11
|
6月前
|
安全 算法 网络安全
网络防御前线:洞悉漏洞、加密之盾与安全意识觉醒
【5月更文挑战第12天】在数字化的浪潮中,网络安全与信息安全成为维系信息社会信任和稳定的根基。本文从网络安全漏洞的识别与防护出发,深入探讨了现代加密技术如何构筑数据安全的防线,并强调提升个体和企业的安全意识在抵御网络威胁中的重要性。通过分析最新的安全动态和技术进展,旨在为读者提供一份全面的网络安全知识图谱。
|
6月前
|
监控 安全 算法
网络防御的艺术:洞悉漏洞,加密之钥与安全意识的觉醒
【5月更文挑战第30天】 在数字化时代,网络安全和信息安全已成为维护个人隐私、企业资产和国家安全不可或缺的一环。本文旨在探讨当前网络安全领域面临的主要挑战,包括不断涌现的安全漏洞、日益复杂的加密技术以及提升全民网络安全意识的重要性。通过对这些关键要素的深入分析,文章将分享如何构建一个更为坚固的网络安全防线,并强调预防措施和持续教育的必要性。
|
6月前
|
安全 网络安全 数据库
网络安全的行业黑话 ——防守篇之软硬件
网络安全的行业黑话 ——防守篇之软硬件
125 0
|
安全 网络安全
大中型网络入侵要案直击与防御
作者简介 肖遥,网名“冰河洗剑”,国内著名网络安全技术独立研究人士。 曾从事国防军工设计,参与过J10A、J11B等战斗机配套武器研制,独立开发出HF25火箭发射器,参与DF8GA及导弹发射架等武器设计。
2030 0
|
安全 数据安全/隐私保护
|
安全 算法 数据安全/隐私保护
下一篇
无影云桌面