數據庫安全能(néng)力内容——安全準入控制矩陣模型構建與實踐
發布時(shí)間:
2019.08.05 | 來(lái)源:
帕拉迪
随着企業的業務規模不斷擴大(dà),信息化建設和(hé)網絡安全性工(gōng)作(zuò)的複雜(zá)性越來(lái)越高(gāo),安全部門(mén)工(gōng)作(zuò)的範圍更廣,企業的安全保障必須及時(shí)匹配業務的發展。
在企業數據的高(gāo)利益誘惑下(xià),不斷先進的武器化攻擊方法使得攻擊情報(bào)的收集更加便利也(yě)更加難以捕捉。面臨越來(lái)越多的威脅狀況,傳統終端安全和(hé)網絡安全顯得捉襟見肘,它們無法保護企業組織真正重要的東西--企業數據和(hé)應用(yòng)程序。
顯然,要想保證業務連續性和(hé)數據安全,維持企業的核心競争力,需要具備更高(gāo)層次更全面更成熟的數據庫安全能(néng)力(參考DSMM數據安全能(néng)力成熟度模型)。數據庫安全能(néng)力,取決于承載企業核心數據的數據庫系統軟件,而後者已經成爲業務運行和(hé)數據保護的基礎設施,首當其沖地躍上(shàng)安全部門(mén)的數據安全能(néng)力建設工(gōng)作(zuò)的清單榜首。
1
保護企業數據庫和(hé)應用(yòng)程序安全,滿足數據合規要求以及有效管控數據庫免遭數據竊取,是帕拉迪一直專注在做的事(shì)情。本文(wén)将從(cóng)數據庫的安全管控方面,介紹數據庫安全準入控制矩陣模型的構建和(hé)實踐,以此爲企業的數據安全能(néng)力建設提供借鑒思路。
随着企業信息化工(gōng)作(zuò)的開(kāi)展,業務系統數據化明(míng)顯加快(kuài),數據被廣泛應用(yòng)于企業内部支撐、合作(zuò)經營、産品研發等。的确,數據共享促進了(le)生産力發展,但(dàn)同時(shí)也(yě)讓數據的邊界模糊,數據流動變得頻繁。因此,流通共享數據給企業安全訪問控制帶來(lái)了(le)更高(gāo)的挑戰。
因爲傳統的身份認證和(hé)訪問控制是基于網絡層的訪問控制,劃分獨立數據網絡區(qū)域和(hé)運維管理(lǐ)區(qū)域,以IP資源(協議(yì)端口)爲對(duì)象,控制力度較爲寬泛,隻能(néng)參與網絡傳輸層的訪問要求。而與業務系統有關的訪問控制,通常以系統功能(néng)爲中心設計(jì),通過控制用(yòng)戶對(duì)不同功能(néng)界面的訪問來(lái)達到(dào)權限控制的目的。部分數據共享時(shí),通常系統允許以文(wén)件或圖片方式保存,并在文(wén)件中添加水(shuǐ)印,用(yòng)于在信息洩露後的追溯,如果高(gāo)權限人員對(duì)數據庫内具有流動性的單條數據進行傳播的話(huà),系統往往不能(néng)進行有效控制。這(zhè)些(xiē)方式在數據中心級别資源池面前,便不足以支撐對(duì)企業内數據傳輸、數據交換、數據處理(lǐ)的更高(gāo)細粒度的訪問準入控制要求。
帕拉迪作(zuò)爲行業内領先的數據庫安全整體解決方案提供商,先後發布了(le)基于登陸參數的數據庫準入控制、基于大(dà)流量的數據庫訪問控制的專利技術。其數據庫類安全産品,具有專業的全協議(yì)解碼模塊,識别和(hé)分析數據庫傳輸協議(yì)以及應用(yòng)層的協議(yì)解碼,剝離SQL語句。通過流會(huì)話(huà)技術,對(duì)協議(yì)進行流重組,所有解析語句會(huì)被标記唯一的标識。在此基礎上(shàng),針對(duì)數據庫安全訪問的準入控制方面,總結形成了(le)一個安全準入控制矩陣模型。
傳統網絡運維中,不注重數據安全的流向,關注點始終停留在網絡建設層面,對(duì)數據庫的訪問準入策略,元素使用(yòng)網絡傳輸的來(lái)源與目标IP、目标端口及協議(yì)(TCP/UDP)。
對(duì)數據庫的訪問準入還能(néng)基于哪些(xiē)元素?
要實現(xiàn)對(duì)數據庫訪問準入的控制,必須解決的問題是對(duì)數據庫協議(yì)的解析。首先需要從(cóng)網絡流量中獲取數據庫的訪問流量,識别數據庫協議(yì),例如Oracle的數據傳輸協議(yì)TNS、SQL Server傳輸協議(yì)TDS。
然後對(duì)數據庫流量協議(yì)數據包進行全協議(yì)解析,其中必然涉及到(dào)對(duì)加密數據庫信息的破解(如SQLServer的TDS協議(yì),需要通過獲取加密證書實現(xiàn)加密登錄參數解析),從(cóng)中識别可利用(yòng)的獨特參數。
從(cóng)以上(shàng)對(duì)Oracle數據庫的簡短訪問請(qǐng)求中我們可以看(kàn)到(dào),除了(le)訪問IP、端口和(hé)協議(yì)外(wài),還能(néng)夠采集的參數信息包括客戶端應用(yòng)程序名(navicat.exe)、客戶端主機名(DESKTOP-VCK0MFC)、客戶端主機用(yòng)戶名(J),以及使用(yòng)的數據庫賬号名(system)和(hé)實例服務名(xe),以上(shàng)稱爲準入控制因子。
主流應用(yòng)中使用(yòng)數據庫軟件種類衆多,協議(yì)類型、加密方法各不相同,我們通過協議(yì)解析獲得的數據庫應用(yòng)協議(yì)内的參數信息也(yě)不相同,其部分舉例如下(xià):
新的安全準入控制模型,将加入通過數據庫流量解析破解識别到(dào)的準入因子,形成更完善的可選控制因子集合。
在安全準入控制模型中,加入以上(shàng)準入控制因子,便可以得到(dào)更高(gāo)細粒度的訪問控制,準入控制策略也(yě)将變得更靈活。
企業内訪問數據庫使用(yòng)的準入因子多種多樣,例如業務中間件與數據庫集群交互、業務應用(yòng)後台維護對(duì)數據庫的訪問、運維DBA利用(yòng)工(gōng)具對(duì)數據庫表的操作(zuò)行爲。而做到(dào)評估所有“需要知(zhī)道(dào)”的訪問權限信息是非常困難且成本過高(gāo)的,因此需要自(zì)動化且更智能(néng)的方法。
安全準入控制模型,基于大(dà)流量的數據庫協議(yì)全解碼技術,通過機器學習,實現(xiàn)對(duì)全網數據庫流量(包含業務系統請(qǐng)求的南北向流量、運維與數據中心内服務器交互的東西向流量)内安全訪問準入因子的自(zì)主學習,快(kuài)速完善數據庫訪問策略,形成準入控制矩陣。
完善可視(shì)化的準入控制矩陣,形成了(le)白(bái)名單式的安全規則配置,對(duì)數據庫的所有訪問行爲,都需要進入準入控制矩陣進行混合匹配認證,隻有符合複雜(zá)白(bái)名單規則的訪問才被允許。而不斷變換攻擊腳本程序、賬号以及目标設備的異常攻擊行爲,都會(huì)被精準識别并及時(shí)阻斷。不管是業務系統的外(wài)來(lái)請(qǐng)求,還是服務器集群内的東西向交互訪問,實現(xiàn)完全杜絕非法行爲的管控。
所以,數據庫安全準入控制矩陣模型的構建是以協議(yì)全解碼技術爲基礎,識别多項準入控制因子,通過訪問内容的自(zì)主學習,形成的準入控制矩陣。對(duì)數據庫的訪問進行準入控制,對(duì)非理(lǐ)性和(hé)異常行爲達到(dào)精準阻斷,有效落地企業數據庫安全能(néng)力。
數據庫安全準入控制矩陣模型是企業構建數據庫安全能(néng)力建設之中的一環,是實現(xiàn)靈活多變自(zì)适應式的且具有高(gāo)細粒度訪問控制矩陣的最佳實踐。對(duì)企業而言,特别是在面對(duì)衆多以獲取企業敏感數據信息爲目的的威脅面前,在未來(lái)以數據爲中心的新經濟時(shí)代,通過整合來(lái)自(zì)人、流程和(hé)技術的輸入信息,有效構建并提升企業數據安全能(néng)力,才能(néng)在威脅來(lái)臨之際快(kuài)速、自(zì)信地做出反應。