文章來源:美創科技
一、概述
資料庫防火牆仿佛是近幾年來出現的一款新的安全裝置,但事實上曆史已經很長。2010年,Oracle公司在收購了Secerno公司,在2011年2月份正式釋出了其資料庫防火牆産品(database firewall),已經在市場上出現很多年頭了。由于資料庫防火牆這個詞通俗易懂,和防火牆、Web防火牆、下一代防火牆等主流安全産品一脈相承,很多公司也就把自己的資料(庫)安全産品命名為資料庫防火牆。每家公司對于資料庫防火牆的定義各不相同,側重點也不一樣。也就是說,雖然大家都在說資料庫防火牆,很有可能是兩個完全不同的資料(庫)安全裝置。
二、什麼是資料庫防火牆
資料庫防火牆顧名思義是一款資料(庫)安全裝置,從防火牆這個詞可以看出,其主要作用是做來自于外部的危險隔離。換句話說,資料庫防火牆應該在入侵在到達資料庫之前将其阻斷,至少需要在入侵過程中将其阻斷。
1. 如何定義外部?
至于如何定義外部威脅,則需要對于資料庫邊界進行明确的界定,而這個資料庫邊界的界定則具有多變性。第一種定義,從極限的角度來看,由于現在網絡邊界的模糊,可以把所有來自于資料庫之外的通路都定義為外部。如果是這個定義來看,防火牆承載的任務非常繁重,可能不是一個安全裝置所能夠承擔的。第二種定義是資料中心和運維網絡可以被定義為内部通路,其他通路定義為外部通路,讓防火牆不需要去承載内部運維安全和員工安全,進而更好的工作。
綜合看來,我們采用第二種定義,資料庫防火牆主要承載資料中心和運維網絡之外的資料(庫)安全工作。
2. 如何定義資料庫防火牆?
一旦準确的定義了什麼是外部之後,什麼是資料庫防火牆就比較清楚了。運維網絡之外的通路我們都可以定義為業務通路。
資料庫防火牆是一款抵禦并消除由于應用程式業務邏輯漏洞或者缺陷所導緻的資料(庫)安全問題的安全裝置或者産品。資料庫防火牆一般情況下部署在應用程式伺服器和資料庫伺服器之間,采用資料庫協定解析的方式完成。但這并不是唯一的實作方式,你可以部署在資料庫外部,可以不采用協定解析。從這個定義可以看出,資料庫防火牆其本質目标是給業務應用程式打更新檔,避免由于應用程式業務邏輯漏洞或者缺陷影響資料(庫)安全。
常見的應用程式業務邏輯漏洞和缺陷:
SQL注入攻擊
cc攻擊
非預期的大量資料傳回
敏感資料未脫敏
頻繁的同類操作
超級敏感操作控制
身份盜用和撞庫攻擊
驗證繞行和會話劫持
業務邏輯混亂
3. 資料庫防火牆的常見應用場景
(1) SQL注入攻擊
SQL注入攻擊是資料庫防火牆的核心應用場景,甚至可以說資料庫防火牆就是為了防禦SQL注入攻擊而存在的。SQL注入攻擊是很古老的攻擊手段,特别是網際網路普及之後,一直是主流的安全攻擊手段。需要特别注意的是,SQL注入攻擊的發生不是由于資料庫的漏洞導緻,而是因為應用程式漏洞和缺陷導緻,但是受到傷害和影響的則是資料庫。我們的業務應用程式是水準參差不齊的公司和工程師撰寫,其代碼品質會遠遠比不上Oracle,微軟等大牌公司的産品,SQL注入以及其他可能的漏洞和缺陷存在是必然的事件。甚至可以認為,隻要複雜度超越一定程度的任何業務應用程式都會存在SQL注入漏洞。
SQL注入攻擊之是以難以防禦,其主要原因是其攻擊是通過業務應用程式發起的,傳統上部署的所有安全措施對于SQL注入攻擊基本無效,使其可以簡單到達企業最為核心的資料庫内部。
(2) cc攻擊
即使一個沒有任何缺陷的應用程式也可以簡單的發起cc攻擊。每個應用程式都會存在資源消耗特别高的某些操作,入侵者隻要同時排程這些高資源消耗的操作,就會導緻資料庫伺服器失去響應。
(3) 非預期的大量資料傳回
由于應用程式缺陷,在某些操作中傳回了計劃之外的大量資料。大量資料傳回很容易引起安全性問題。
(4) 敏感資料未脫敏
由于曆史原因,現有應用程式很少對于敏感資料進行脫敏顯示。為了遵循新的安全法規和規則,為了更好的保護客戶和公司,在很多情況下我們需要對于應用程式傳回資料進行脫敏。
(5) 頻繁的同類操作
通過應用程式不斷的頻繁擷取敏感資訊資料是敏感資訊洩露的主要通道之一,資料庫防火牆可以通過延遲,通知等響應方式來降低此類資料洩露風險。
(6) 超級敏感操作控制
很多應用程式往往存在着權限控制漏洞,無法控制某些敏感操作。比如統方,比如絕密資料的擷取等等。
(7) 身份盜用和撞庫攻擊
撞庫攻擊是網際網路最大的安全風險之一,絕大部分撞庫攻擊都是為了身份盜用。
(8) 驗證繞行和會話劫持
由于應用程式缺陷導緻起驗證安全機制沒有生效,比如驗證碼等,或者會話被劫持導緻業務應用程式被非法控制。
(9) 業務邏輯混亂
由于應用程式漏洞導緻業務邏輯混亂,比如在審批中不檢查前置流程的存在性和合規性,直接觸發下一個流程。
4. 資料庫漏洞檢測防禦和資料庫防火牆
大家可以觀察到,很多資料庫防火牆都具有資料庫漏洞檢測和虛拟布丁等功能,甚至于把資料庫漏洞檢測防禦變成了資料庫防火牆的核心功能。這個是對于資料庫防火牆了解的典型誤區,資料庫防火牆的核心是檢測和防禦業務應用程式漏洞而不是資料庫漏洞。
當然資料庫防火牆部署資料庫漏洞檢測也有其邏輯基礎:當入侵者通過業務應用程式漏洞入侵資料庫,特别是SQL注入攻擊的時候,入侵者為了擷取更大的入侵收益,往往會利用資料庫漏洞進行進一步攻擊。從緊密流程環節來看,在很多場合下,資料庫漏洞攻擊可以被看作SQL注入攻擊的一個環節,一個成果擴大環節。
三、資料庫防火牆和Web防火牆
1. Web防火牆
很多人可能會問,Web防火牆也能夠防禦SQL注入攻擊,我為什麼還要部署資料庫防火牆?首先我們來看看WAF能做些什麼:
SQL注入攻擊
XSS攻擊
CSRF攻擊
SSRF攻擊
Webshell後門
弱密碼
反序列化攻擊
指令/代碼執行
指令/代碼注入
本地/遠端檔案包含攻擊
檔案上傳攻擊
敏感資訊洩露
XML實體注入
XPATH注入
LDAP注入
其他
從這個清單看,顯然Web防火牆和資料庫防火牆所承載的目标差別比較大,SQL注入攻擊攻隻是兩種不同防火牆的為數不多的交叉點。
2. 資料庫防火牆是SQL注入防禦的終極解決方案
資料庫防火牆和Web防火牆部署位置的不同,決定了兩種不同産品對于SQL注入攻擊的防禦政策和效果會大不相同。
部署位置:Web防火牆作用在浏覽器和應用程式之間,資料庫防火牆作用在應用伺服器和資料庫伺服器之間。
作用協定:Web防火牆作用在Http協定上,資料庫防火牆一般作用在資料庫協定上,比如Oracle SQL*Net,MSSQL TDS等。
Web防火牆作用在浏覽器和應用程式之間,使他隻能夠看得見使用者送出的相關資訊,而使用者送出資訊往往隻是資料庫SQL語句的一個碎片,缺乏對于資料庫SQL的全局認知,更加不用說SQL語句的上下文關系了。Web防火牆隻能做一些基于正常異常特征以及出現過的特征進行識别和過濾,使Web防火牆的SQL注入攻擊防禦效果依賴于攻擊者的水準和創意,隻要攻擊者具有一定的創意,Web防火牆很難防禦SQL注入攻擊。
資料庫防火牆作用在應用伺服器和資料庫伺服器之間,看到的是經過了複雜的業務邏輯處理之後最後生成的完整SQL語句,也就是說是攻擊者的最終表現形态,已經撕去了大量的僞裝。由于看到的是缺乏變化的最終形态,使資料庫防火牆可以比較Web防火牆采用更加積極的防禦政策,比如守白知黑政策進行異常SQL行為檢測,100%防禦SQL注入攻擊。即使簡單采用和Web防火牆類似的黑名單政策,由于看到的資訊使完整的最終資訊,使其防禦難度比較Web防火牆大幅度下降,防禦效果自然會更好。
3. 更多的通路通道
通過http服務應用通路資料庫隻是資料庫通路中的一種通道和業務,還有大量的業務通路和http無關,這些http無關的業務自然就無法部署web防火牆,隻能依賴于資料庫防火牆來完成。
四、總結
- 資料庫防火牆主要用來防禦外部入侵風險,需要和内部安全管控适當分開。
- 資料庫防火牆主要聚焦點是通過修複應用程式業務邏輯漏洞和缺陷來降低或者消除資料(庫)安全風險。SQL注入攻擊是其核心防禦風險,而資料庫漏洞攻擊檢測和防禦則并不是必須的。
- 由于SQL注入攻擊和資料庫漏洞攻擊的伴生性,資料庫防火牆往往具備資料庫漏洞檢測和防禦功能。
-
Web防火牆不能替代資料庫防火牆,Web防火牆是SQL注入攻擊的第一道防線,資料庫防火牆則是SQL注入攻擊的終極解決方案。
(原文來源美創科技柳遵梁,在此特别鳴謝)
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)