數(shù)據(jù)庫(kù)安全能力內(nèi)容——安全準(zhǔn)入控制矩陣模型構(gòu)建與實(shí)踐
發(fā)布時(shí)間:
2019.08.05 | 來(lái)源:
帕拉迪
隨著企業(yè)的業(yè)務(wù)規(guī)模不斷擴(kuò)大��,信息化建設(shè)和網(wǎng)絡(luò)安全性工作的復(fù)雜性越來(lái)越高����,安全部門(mén)工作的范圍更廣����,企業(yè)的安全保障必須及時(shí)匹配業(yè)務(wù)的發(fā)展。
在企業(yè)數(shù)據(jù)的高利益誘惑下���,不斷先進(jìn)的武器化攻擊方法使得攻擊情報(bào)的收集更加便利也更加難以捕捉���。面臨越來(lái)越多的威脅狀況,傳統(tǒng)終端安全和網(wǎng)絡(luò)安全顯得捉襟見(jiàn)肘�,它們無(wú)法保護(hù)企業(yè)組織真正重要的東西--企業(yè)數(shù)據(jù)和應(yīng)用程序。
顯然�����,要想保證業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全��,維持企業(yè)的核心競(jìng)爭(zhēng)力�,需要具備更高層次更全面更成熟的數(shù)據(jù)庫(kù)安全能力(參考DSMM數(shù)據(jù)安全能力成熟度模型)。數(shù)據(jù)庫(kù)安全能力�����,取決于承載企業(yè)核心數(shù)據(jù)的數(shù)據(jù)庫(kù)系統(tǒng)軟件���,而后者已經(jīng)成為業(yè)務(wù)運(yùn)行和數(shù)據(jù)保護(hù)的基礎(chǔ)設(shè)施��,首當(dāng)其沖地躍上安全部門(mén)的數(shù)據(jù)安全能力建設(shè)工作的清單榜首�。
1
數(shù)據(jù)庫(kù)安全能力如何建設(shè)?
保護(hù)企業(yè)數(shù)據(jù)庫(kù)和應(yīng)用程序安全�,滿(mǎn)足數(shù)據(jù)合規(guī)要求以及有效管控?cái)?shù)據(jù)庫(kù)免遭數(shù)據(jù)竊取,是帕拉迪一直專(zhuān)注在做的事情���。本文將從數(shù)據(jù)庫(kù)的安全管控方面�,介紹數(shù)據(jù)庫(kù)安全準(zhǔn)入控制矩陣模型的構(gòu)建和實(shí)踐����,以此為企業(yè)的數(shù)據(jù)安全能力建設(shè)提供借鑒思路。
隨著企業(yè)信息化工作的開(kāi)展��,業(yè)務(wù)系統(tǒng)數(shù)據(jù)化明顯加快�����,數(shù)據(jù)被廣泛應(yīng)用于企業(yè)內(nèi)部支撐�、合作經(jīng)營(yíng)、產(chǎn)品研發(fā)等���。的確�,數(shù)據(jù)共享促進(jìn)了生產(chǎn)力發(fā)展,但同時(shí)也讓數(shù)據(jù)的邊界模糊�,數(shù)據(jù)流動(dòng)變得頻繁。因此�����,流通共享數(shù)據(jù)給企業(yè)安全訪(fǎng)問(wèn)控制帶來(lái)了更高的挑戰(zhàn)����。
傳統(tǒng)的身份認(rèn)證和訪(fǎng)問(wèn)控制局限性在哪�?
因?yàn)閭鹘y(tǒng)的身份認(rèn)證和訪(fǎng)問(wèn)控制是基于網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制,劃分獨(dú)立數(shù)據(jù)網(wǎng)絡(luò)區(qū)域和運(yùn)維管理區(qū)域����,以IP資源(協(xié)議端口)為對(duì)象,控制力度較為寬泛���,只能參與網(wǎng)絡(luò)傳輸層的訪(fǎng)問(wèn)要求����。而與業(yè)務(wù)系統(tǒng)有關(guān)的訪(fǎng)問(wèn)控制��,通常以系統(tǒng)功能為中心設(shè)計(jì),通過(guò)控制用戶(hù)對(duì)不同功能界面的訪(fǎng)問(wèn)來(lái)達(dá)到權(quán)限控制的目的�。部分?jǐn)?shù)據(jù)共享時(shí),通常系統(tǒng)允許以文件或圖片方式保存��,并在文件中添加水印�����,用于在信息泄露后的追溯���,如果高權(quán)限人員對(duì)數(shù)據(jù)庫(kù)內(nèi)具有流動(dòng)性的單條數(shù)據(jù)進(jìn)行傳播的話(huà)��,系統(tǒng)往往不能進(jìn)行有效控制��。這些方式在數(shù)據(jù)中心級(jí)別資源池面前��,便不足以支撐對(duì)企業(yè)內(nèi)數(shù)據(jù)傳輸����、數(shù)據(jù)交換���、數(shù)據(jù)處理的更高細(xì)粒度的訪(fǎng)問(wèn)準(zhǔn)入控制要求�。
帕拉迪作為行業(yè)內(nèi)領(lǐng)先的數(shù)據(jù)庫(kù)安全整體解決方案提供商�,先后發(fā)布了基于登陸參數(shù)的數(shù)據(jù)庫(kù)準(zhǔn)入控制��、基于大流量的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)控制的專(zhuān)利技術(shù)�。其數(shù)據(jù)庫(kù)類(lèi)安全產(chǎn)品���,具有專(zhuān)業(yè)的全協(xié)議解碼模塊�����,識(shí)別和分析數(shù)據(jù)庫(kù)傳輸協(xié)議以及應(yīng)用層的協(xié)議解碼���,剝離SQL語(yǔ)句��。通過(guò)流會(huì)話(huà)技術(shù)���,對(duì)協(xié)議進(jìn)行流重組�,所有解析語(yǔ)句會(huì)被標(biāo)記唯一的標(biāo)識(shí)�����。在此基礎(chǔ)上����,針對(duì)數(shù)據(jù)庫(kù)安全訪(fǎng)問(wèn)的準(zhǔn)入控制方面�,總結(jié)形成了一個(gè)安全準(zhǔn)入控制矩陣模型���。
傳統(tǒng)網(wǎng)絡(luò)運(yùn)維中�,不注重?cái)?shù)據(jù)安全的流向��,關(guān)注點(diǎn)始終停留在網(wǎng)絡(luò)建設(shè)層面�����,對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)準(zhǔn)入策略�����,元素使用網(wǎng)絡(luò)傳輸?shù)膩?lái)源與目標(biāo)IP�、目標(biāo)端口及協(xié)議(TCP/UDP)。
對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)準(zhǔn)入還能基于哪些元素�?
要實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)準(zhǔn)入的控制,必須解決的問(wèn)題是對(duì)數(shù)據(jù)庫(kù)協(xié)議的解析�����。首先需要從網(wǎng)絡(luò)流量中獲取數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)流量�,識(shí)別數(shù)據(jù)庫(kù)協(xié)議,例如Oracle的數(shù)據(jù)傳輸協(xié)議TNS�����、SQL Server傳輸協(xié)議TDS。
然后對(duì)數(shù)據(jù)庫(kù)流量協(xié)議數(shù)據(jù)包進(jìn)行全協(xié)議解析����,其中必然涉及到對(duì)加密數(shù)據(jù)庫(kù)信息的破解(如SQLServer的TDS協(xié)議,需要通過(guò)獲取加密證書(shū)實(shí)現(xiàn)加密登錄參數(shù)解析)�����,從中識(shí)別可利用的獨(dú)特參數(shù)����。
從以上對(duì)Oracle數(shù)據(jù)庫(kù)的簡(jiǎn)短訪(fǎng)問(wèn)請(qǐng)求中我們可以看到,除了訪(fǎng)問(wèn)IP����、端口和協(xié)議外�,還能夠采集的參數(shù)信息包括客戶(hù)端應(yīng)用程序名(navicat.exe)、客戶(hù)端主機(jī)名(DESKTOP-VCK0MFC)����、客戶(hù)端主機(jī)用戶(hù)名(J),以及使用的數(shù)據(jù)庫(kù)賬號(hào)名(system)和實(shí)例服務(wù)名(xe)����,以上稱(chēng)為準(zhǔn)入控制因子�����。
主流應(yīng)用中使用數(shù)據(jù)庫(kù)軟件種類(lèi)眾多���,協(xié)議類(lèi)型、加密方法各不相同��,我們通過(guò)協(xié)議解析獲得的數(shù)據(jù)庫(kù)應(yīng)用協(xié)議內(nèi)的參數(shù)信息也不相同��,其部分舉例如下:
新的安全準(zhǔn)入控制模型�����,將加入通過(guò)數(shù)據(jù)庫(kù)流量解析破解識(shí)別到的準(zhǔn)入因子����,形成更完善的可選控制因子集合。
在安全準(zhǔn)入控制模型中��,加入以上準(zhǔn)入控制因子���,便可以得到更高細(xì)粒度的訪(fǎng)問(wèn)控制���,準(zhǔn)入控制策略也將變得更靈活�����。
企業(yè)內(nèi)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)使用的準(zhǔn)入因子多種多樣�����,例如業(yè)務(wù)中間件與數(shù)據(jù)庫(kù)集群交互���、業(yè)務(wù)應(yīng)用后臺(tái)維護(hù)對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)、運(yùn)維DBA利用工具對(duì)數(shù)據(jù)庫(kù)表的操作行為�。而做到評(píng)估所有“需要知道”的訪(fǎng)問(wèn)權(quán)限信息是非常困難且成本過(guò)高的,因此需要自動(dòng)化且更智能的方法�����。
安全準(zhǔn)入控制模型�,基于大流量的數(shù)據(jù)庫(kù)協(xié)議全解碼技術(shù)����,通過(guò)機(jī)器學(xué)習(xí),實(shí)現(xiàn)對(duì)全網(wǎng)數(shù)據(jù)庫(kù)流量(包含業(yè)務(wù)系統(tǒng)請(qǐng)求的南北向流量����、運(yùn)維與數(shù)據(jù)中心內(nèi)服務(wù)器交互的東西向流量)內(nèi)安全訪(fǎng)問(wèn)準(zhǔn)入因子的自主學(xué)習(xí)���,快速完善數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)策略,形成準(zhǔn)入控制矩陣�����。
如何實(shí)現(xiàn)技術(shù)完美落地����?
完善可視化的準(zhǔn)入控制矩陣,形成了白名單式的安全規(guī)則配置��,對(duì)數(shù)據(jù)庫(kù)的所有訪(fǎng)問(wèn)行為�����,都需要進(jìn)入準(zhǔn)入控制矩陣進(jìn)行混合匹配認(rèn)證�����,只有符合復(fù)雜白名單規(guī)則的訪(fǎng)問(wèn)才被允許��。而不斷變換攻擊腳本程序、賬號(hào)以及目標(biāo)設(shè)備的異常攻擊行為��,都會(huì)被精準(zhǔn)識(shí)別并及時(shí)阻斷�。不管是業(yè)務(wù)系統(tǒng)的外來(lái)請(qǐng)求,還是服務(wù)器集群內(nèi)的東西向交互訪(fǎng)問(wèn)��,實(shí)現(xiàn)完全杜絕非法行為的管控���。
所以�,數(shù)據(jù)庫(kù)安全準(zhǔn)入控制矩陣模型的構(gòu)建是以協(xié)議全解碼技術(shù)為基礎(chǔ)��,識(shí)別多項(xiàng)準(zhǔn)入控制因子�����,通過(guò)訪(fǎng)問(wèn)內(nèi)容的自主學(xué)習(xí)���,形成的準(zhǔn)入控制矩陣���。對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)進(jìn)行準(zhǔn)入控制,對(duì)非理性和異常行為達(dá)到精準(zhǔn)阻斷��,有效落地企業(yè)數(shù)據(jù)庫(kù)安全能力�。
數(shù)據(jù)庫(kù)安全準(zhǔn)入控制矩陣模型是企業(yè)構(gòu)建數(shù)據(jù)庫(kù)安全能力建設(shè)之中的一環(huán)�,是實(shí)現(xiàn)靈活多變自適應(yīng)式的且具有高細(xì)粒度訪(fǎng)問(wèn)控制矩陣的最佳實(shí)踐����。對(duì)企業(yè)而言��,特別是在面對(duì)眾多以獲取企業(yè)敏感數(shù)據(jù)信息為目的的威脅面前���,在未來(lái)以數(shù)據(jù)為中心的新經(jīng)濟(jì)時(shí)代�,通過(guò)整合來(lái)自人���、流程和技術(shù)的輸入信息�����,有效構(gòu)建并提升企業(yè)數(shù)據(jù)安全能力����,才能在威脅來(lái)臨之際快速��、自信地做出反應(yīng)����。