自2015年8月至9月,資料庫安全專業提供商安華金和與第三方社群合作,共同面向廣大it從業人員進行資料庫防火牆市場認知度調研,期望真實擷取來自使用者的回報,把握客戶需求和體驗,進而進行資料庫防火牆産品的研發與改進。通過對400個有效樣本進行分析,總結歸納《資料庫防火牆技術市場調研報告》分享大家。
本次調研群體分布于全國各地,有意思的是,對于安全漏洞高發地區排名前三位的北京、上海、廣東,本次調查回報使用者數量排名前三位的也對應到這三個地區。而在行業分布上,比較廣泛。參與調研使用者的角色,主要是網管/運維/系統管理者,軟體工程師/程式員,dba/資料庫管理與開發人員。
根據調查結果顯示, 400個有效樣本回報使用者對資料庫防火牆一經有一定認知,同時認為資料庫防火牆應該是應用防火牆的有效補充,對資料庫防火牆的作用還是給予肯定的。以下分别從不同次元展開說明:
75%以上的調研對象對資料庫防火牆有認知
資料顯示,75%以上調研人群表示對資料庫防火牆偶爾知道,而真正使用過的僅為10%
圖 1.1 調研對象對資料庫防火牆的認知
國産資料庫防火牆品牌認知度低于國際品牌
在現有oracle、mcafee、imperva及安華金和等國内外資料庫防火牆品牌選項中,58%調查對象更熟悉oracle,安華金和僅次于mcafee排名第三位,占比14%。這個資料顯示,國産化的産品應用任重而道遠。
圖 1.2 資料庫防火牆品牌調研結果
使用者對十大資料庫防火牆價值認知
從資料庫防火牆産品的價值展現中,使用者認知度最高的還是防sql注入、獨立于資料庫提供細粒度的通路控制、針對資料庫漏洞行為進行主動攔截和阻斷。
圖 1.3 資料庫防火牆功能認知排序
使用者對資料庫防火牆部署的選擇
對于資料庫防火牆部署在應用側、運維側還是資料庫前段,使用者有不同的了解。61%的使用者認為應該部署在應用側,防止外部黑客的資料庫入侵行為;23%使用者則認為資料庫防火牆應該部署在資料庫的前端,對所有的資料庫通路行為進行控制;16%的使用者認為産品應該部署在維護側,對内外部運維人員的資料庫操作進行細粒度控制。
資料庫防火牆部署在不同的位置,防護的重點有所不同,如果部署在資料庫前端,既能實作來自外部人員的攻擊,又能防止内部人員的誤操作。如果資料庫防火牆部署在運維側,主要對内部人員誤操作、批量删除或是批量下載下傳資料進行防護。如果資料庫防火牆部署在應用側,防禦重點在于基于資料庫協定,針對sql文法/詞法進行精确協定解析,進而防止外部對資料庫漏洞的攻擊和sql注入。
如果防火牆部署在應用側,使用者對旁路、網關、代理、網橋這四類部署模式的态度也不同。其中旁路部署占比52%,從一定程度上反映出,串聯部署防火牆,使用者還是有所顧慮。
圖 1.4 資料庫防火牆應用側部署模式調研結果
70%使用者希望資料庫防火牆提供對資料庫主動防禦的同時,對資料庫性能的影響降至最低
通過調研,我們試着探尋使用者采購資料庫防火牆時的需求,以期對資料庫防火牆的賣點進行彙總排序。結果顯示,70%被調查對象希望通過采購資料庫防火牆,進行強大而周密的政策防護方案,通過設定多種政策關聯對資料庫實作周密的防護。同時,高防護的過程中要求對資料庫性能影響降到最低。依次排在次要位置的需求分别是:(1)希望采購資料庫防火牆提供精準的資料庫防護能力,避免錯誤攔截和攻擊漏洞;(2)最新最全面的虛拟更新檔功能,防護因資料庫漏洞和sql注入導緻的資料庫惡意攻擊;(3)彌補市場上極光掃描器等裝置對安全漏洞報告的缺失。
在資料庫防火牆的擴充性上,加密通訊需求占60%
在資料庫防火牆的擴充性上,60%使用者普遍認為,資料庫防火牆可以考慮提供ssl這樣的加密通道,以保持用戶端與資料庫的加密通訊;其次,23%使用者認為資料庫防火牆應當考慮對通過ssh、telnet進行的遠端運維中的sql操作也進行安全控制和審計;17%使用者認為資料庫防火牆可以考慮融入一些傳統防火牆的功能,比如ip和端口控制。
客戶通常會将資料庫防火牆與現有市場上其他安全産品比如waf、堡壘機、網閘、網絡防火牆等進行比較。使用者對比後的了解和看法如下:
1、資料庫防火牆與waf對比
資料庫防火牆與waf之間的差異性,是使用者經常會問到的一個問題。 59%的使用者對此有明确認知,waf主要防禦對web應用系統的攻擊,但黑客具備繞過waf攻擊資料庫伺服器的能力,通過資料庫防火牆可以增加安全防線,能夠準确的找到兩個産品的側重點。隻有7%的使用者認為應用端隻需部署waf,即可防止住惡意的攻擊。
2、資料庫防火牆與堡壘機對比
該問題,從使用者的回報結果來看,答案的階梯性很明顯,66%的使用者認為堡壘機無法代替資料庫防火牆,壘機對于資料庫操作無法進行細粒度控制,無法根據影響行數或操作的危害特征進行運維側管控;而防火牆可以滿足以上特性。仍有10%使用者認為運維側部署堡壘機已經足夠,即可防止住運維側的資料洩露或篡改工作。
3、資料庫防火牆與網閘對比
大部分使用者對資料庫防火牆與網閘的功能比較清晰, 90%以上的使用者能夠明确差別兩者的作用,認同外網部署應用伺服器,内網部署資料庫,在内外網之間部署資料庫防火牆;資料庫防火牆屏蔽掉其他通訊協定,保證資料庫通訊協定的安全性;通過這種方式既可以起到内外網的隔離,又能達到實施成本和工程複雜度的降低。現實應用中,網閘是可以讓資料庫協定穿透的,但網閘無對資料庫漏洞攻擊的防禦能力;通過資料庫防火牆可以提升防禦能力。僅有9%使用者認為通過網閘完全實作了内外網或不同密級網之間的隔離,不需要資料庫防火牆。
4、資料庫防火牆與網絡防火牆對比
資料結果顯示,目前市場上單一認為隻需要資料庫防火牆或網絡防火牆的認知已經逐漸被趨勢所替代,94%的使用者已經清晰認識到網絡防火牆是tcp/ip層的防火牆,資料庫防火牆是應用層防火牆;互相補充,不可互為替代;由于資料庫通訊協定的複雜性,下一代防火牆無法防止隐藏在合法協定中的資料庫攻擊,仍然需要資料庫防火牆來保障資料庫安全。
作者:安華金和
來源:51cto