开发者社区> 晚来风急> 正文

有了防火墙、IPS、WAF 还需要数据库审计?

简介: 本文讲的是有了防火墙、IPS、WAF 还需要数据库审计?,“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS,难道还需要数据库审计吗?”很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同。
+关注继续查看

本文讲的是 有了防火墙、IPS、WAF 还需要数据库审计?,“我们的网络安全系统中已经有了Web应用防火墙、网络防火墙和IPS,难道还需要数据库审计吗?”很多人有这样的疑问,网络中有层层防护,还不能保护数据库的安全吗?是的,因为不同的安全防护系统针对的关键风险不同。

防火墙

image

网络防火墙(Firewall)是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统,正如小区中的岗亭,人员、车辆进出都需要经过岗亭的检查,计算机流入流出的所有网络通信均要经过网络防火墙。网络防火墙对流经它的网络通信信息进行扫描,避免一些攻击行为在目标计算机上被执行。

网络防火墙作为访问控制设备,主要工作在OSI模型三层,基于IP报文进行检测,通常根据IP、端口信息及协议类型做过滤。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。

因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。

网络防火墙是基于边界防护,同时因为Web服务的开放性,网络防火墙对基于Web以及内部的攻击缺乏免疫。

入侵防御系统

入侵防御系统(以下简称“IPS”)也是为防止网络攻击而设计的。一般来说,IPS系统检测攻击的方法是依靠对数据包的检测。

IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。这就像存放贵重物品的场所,如博物馆中,安装的红外感应防御装置,在红外线识别到有人入侵时能够及时做出防御。

IPS采用的是特征匹配技术、使用“允许除非明确否认”模式,其防护对象是一段网络、以及网络中通用的设备或系统而不是特定的Web应用。

IPS更多是针对攻击行为的识别与防御,而数据库数据泄露的风险常常是来自于内部人员,如合法权限的滥用或高级权限的违规使用。IPS无法对这类风险进行识别,也就无法对数据库的安全进行全面的防护。

Web应用防火墙

从对Firewall的介绍可以看出来,传统的防火墙对于应用层的攻击是无法进行有效抵抗的;而IPS对防止应用层攻击能起到一部分作用,却无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(以下简称“WAF”)。

WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP 访问的 Web 程序保护。WAF部署在Web应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。

WAF现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对Web系统的安全攻击方面卓有成效;但WAF只监控通过HTTP方式来的数据,而数据库的访问源头却多种多样,如以下几种数据库访问方式:

1、组织内其他应用系统能访问数据库:比如在电子商务系统里,价格和库存可能会用一些自动化的脚本来定时更新。

2、一些内部管理程序可以访问系统,也可能是一些接口,方便雇员添加信息或者发送信息给客户。

3、还有就是数据库 DBA,IT 经理,QA,开发人员等等内部人员通过数据库管理工具可以访问数据库。

这些潜在的数据库访问源头WAF是毫不知情的,但是来自内部的攻击则更可怕。

从网络防火墙到入侵防御系统再到Web应用防火墙,当我们给网络穿上一层又一层的防护衣时,不得不正视,网络攻击越来越深入。当数据的价值越来越高,数据库成为“攻击”目标时,网络防火墙、IPS、WAF的防护变得有些捉襟见肘。

数据库审计系统可对数据的访问操作行为做一个完整的记录,以备违反安全规则的事件发生后,能有效的追查责任和分析原因,必要时还可以为惩罚恶意攻击行为提供必要的证据。
image

另一方面,实施审计准则之后,审计线索会指出特定人员没有违反规程,也没有破坏性行为,对合法用户是一种良好的保护。

从信息安全的角度上看,审计是安全的数据库系统不可缺少的一部分,也是数据库的最后一道重要的安全防线。

数据库暴露的访问点多种多样,网络安全工作是一场旅程,起始于关键风险和重要资产的识别,再在技术、流程和人员管理之间找到正确的组合。

因此,面对不同的网络安全风险,需要不同的技术手段加以防护,在数据价值日益增加的现在,数据库审计系统的作用逐渐突显。

原文发布时间为:七月 17, 2017
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/26698.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Linux命令汇总 | vim | shell | 进阶【2022版】
Linux,全称GNU/Linux,是一种免费使用和自由传播的类UNIX操作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年10月5日首次发布。 它主要受到Minix和Unix思想的启发,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。它支持32位和64位硬件。 Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。Linux有上百种不同的发行版,如基于社区开发的debian、archlinux,和基于商业开发的Red Hat Enterprise Linux、SUSE等。
5 0
软件测试流程
其实测试的流程这个描述不够准确, 在国际软件测试委员会的大纲《ISTQB认证测试工程师_FL大纲-2018版_V3_1》中 把这个测试的过程和步骤叫做 测试过程(test process ) 它又牵扯到 测试活动 和 测试策略 的概念 尽管没有统一的软件测试过程,但是有一些常见的测试活动,如果没有这些测试活动就不太可能实现既定的目标。这些测试活动就组成了一个测试过程。
7 0
数据中台为什么不好搞?
数据中台落地的关键在于计算引擎,而计算引擎需要具备独立且完备的计算能力、应对多样性数据源的开放性、开发的高效性以应对不停变化的前台需求。
5 0
SQL Server 高可用性(一)AlwaysOn 技术
SQL Server 高可用性(一)AlwaysOn 技术
4 0
【蓝桥真题6】三十块的蓝桥省赛模拟真题,做的大一都直呼上当(文末PDF原题)(中)
【蓝桥真题6】三十块的蓝桥省赛模拟真题,做的大一都直呼上当(文末PDF原题)
5 0
面试官:Redis分布式锁解决方案是什么?
面试官:Redis分布式锁解决方案是什么?
3 0
+关注
9379
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载