數據庫安全能(néng)力内容——安全準入控制矩陣模型構建與實踐
發(fā)布時間:
2019.08.05 | 來源:
帕拉迪
随著(zhe)企業的業務規模不斷擴大,信息化建設和網絡安全性工作的複雜性越來越高,安全部門工作的範圍更廣,企業的安全保障必須及時匹配業務的發(fā)展。
在企業數據的高利益誘惑下,不斷先進(jìn)的武器化攻擊方法使得攻擊情報的收集更加便利也更加難以捕捉。面(miàn)臨越來越多的威脅狀況,傳統終端安全和網絡安全顯得捉襟見肘,它們無法保護企業組織真正重要的東西--企業數據和應用程序。
顯然,要想保證業務連續性和數據安全,維持企業的核心競争力,需要具備更高層次更全面(miàn)更成(chéng)熟的數據庫安全能(néng)力(參考DSMM數據安全能(néng)力成(chéng)熟度模型)。數據庫安全能(néng)力,取決于承載企業核心數據的數據庫系統軟件,而後(hòu)者已經(jīng)成(chéng)爲業務運行和數據保護的基礎設施,首當其沖地躍上安全部門的數據安全能(néng)力建設工作的清單榜首。
1
保護企業數據庫和應用程序安全,滿足數據合規要求以及有效管控數據庫免遭數據竊取,是帕拉迪一直專注在做的事(shì)情。本文將(jiāng)從數據庫的安全管控方面(miàn),介紹數據庫安全準入控制矩陣模型的構建和實踐,以此爲企業的數據安全能(néng)力建設提供借鑒思路。
随著(zhe)企業信息化工作的開(kāi)展,業務系統數據化明顯加快,數據被(bèi)廣泛應用于企業内部支撐、合作經(jīng)營、産品研發(fā)等。的确,數據共享促進(jìn)了生産力發(fā)展,但同時也讓數據的邊界模糊,數據流動變得頻繁。因此,流通共享數據給企業安全訪問控制帶來了更高的挑戰。
因爲傳統的身份認證和訪問控制是基于網絡層的訪問控制,劃分獨立數據網絡區域和運維管理區域,以IP資源(協議端口)爲對(duì)象,控制力度較爲寬泛,隻能(néng)參與網絡傳輸層的訪問要求。而與業務系統有關的訪問控制,通常以系統功能(néng)爲中心設計,通過(guò)控制用戶對(duì)不同功能(néng)界面(miàn)的訪問來達到權限控制的目的。部分數據共享時,通常系統允許以文件或圖片方式保存,并在文件中添加水印,用于在信息洩露後(hòu)的追溯,如果高權限人員對(duì)數據庫内具有流動性的單條數據進(jìn)行傳播的話,系統往往不能(néng)進(jìn)行有效控制。這(zhè)些方式在數據中心級别資源池面(miàn)前,便不足以支撐對(duì)企業内數據傳輸、數據交換、數據處理的更高細粒度的訪問準入控制要求。
帕拉迪作爲行業内領先的數據庫安全整體解決方案提供商,先後(hòu)發(fā)布了基于登陸參數的數據庫準入控制、基于大流量的數據庫訪問控制的專利技術。其數據庫類安全産品,具有專業的全協議解碼模塊,識别和分析數據庫傳輸協議以及應用層的協議解碼,剝離SQL語句。通過(guò)流會(huì)話技術,對(duì)協議進(jìn)行流重組,所有解析語句會(huì)被(bèi)标記唯一的标識。在此基礎上,針對(duì)數據庫安全訪問的準入控制方面(miàn),總結形成(chéng)了一個安全準入控制矩陣模型。
傳統網絡運維中,不注重數據安全的流向(xiàng),關注點始終停留在網絡建設層面(miàn),對(duì)數據庫的訪問準入策略,元素使用網絡傳輸的來源與目标IP、目标端口及協議(TCP/UDP)。
對(duì)數據庫的訪問準入還(hái)能(néng)基于哪些元素?
要實現對(duì)數據庫訪問準入的控制,必須解決的問題是對(duì)數據庫協議的解析。首先需要從網絡流量中獲取數據庫的訪問流量,識别數據庫協議,例如Oracle的數據傳輸協議TNS、SQL Server傳輸協議TDS。
然後(hòu)對(duì)數據庫流量協議數據包進(jìn)行全協議解析,其中必然涉及到對(duì)加密數據庫信息的破解(如SQLServer的TDS協議,需要通過(guò)獲取加密證書實現加密登錄參數解析),從中識别可利用的獨特參數。
從以上對(duì)Oracle數據庫的簡短訪問請求中我們可以看到,除了訪問IP、端口和協議外,還(hái)能(néng)夠采集的參數信息包括客戶端應用程序名(navicat.exe)、客戶端主機名(DESKTOP-VCK0MFC)、客戶端主機用戶名(J),以及使用的數據庫賬号名(system)和實例服務名(xe),以上稱爲準入控制因子。
主流應用中使用數據庫軟件種(zhǒng)類衆多,協議類型、加密方法各不相同,我們通過(guò)協議解析獲得的數據庫應用協議内的參數信息也不相同,其部分舉例如下:
新的安全準入控制模型,將(jiāng)加入通過(guò)數據庫流量解析破解識别到的準入因子,形成(chéng)更完善的可選控制因子集合。
在安全準入控制模型中,加入以上準入控制因子,便可以得到更高細粒度的訪問控制,準入控制策略也將(jiāng)變得更靈活。
企業内訪問數據庫使用的準入因子多種(zhǒng)多樣(yàng),例如業務中間件與數據庫集群交互、業務應用後(hòu)台維護對(duì)數據庫的訪問、運維DBA利用工具對(duì)數據庫表的操作行爲。而做到評估所有“需要知道(dào)”的訪問權限信息是非常困難且成(chéng)本過(guò)高的,因此需要自動化且更智能(néng)的方法。
安全準入控制模型,基于大流量的數據庫協議全解碼技術,通過(guò)機器學(xué)習,實現對(duì)全網數據庫流量(包含業務系統請求的南北向(xiàng)流量、運維與數據中心内服務器交互的東西向(xiàng)流量)内安全訪問準入因子的自主學(xué)習,快速完善數據庫訪問策略,形成(chéng)準入控制矩陣。
完善可視化的準入控制矩陣,形成(chéng)了白名單式的安全規則配置,對(duì)數據庫的所有訪問行爲,都(dōu)需要進(jìn)入準入控制矩陣進(jìn)行混合匹配認證,隻有符合複雜白名單規則的訪問才被(bèi)允許。而不斷變換攻擊腳本程序、賬号以及目标設備的異常攻擊行爲,都(dōu)會(huì)被(bèi)精準識别并及時阻斷。不管是業務系統的外來請求,還(hái)是服務器集群内的東西向(xiàng)交互訪問,實現完全杜絕非法行爲的管控。
所以,數據庫安全準入控制矩陣模型的構建是以協議全解碼技術爲基礎,識别多項準入控制因子,通過(guò)訪問内容的自主學(xué)習,形成(chéng)的準入控制矩陣。對(duì)數據庫的訪問進(jìn)行準入控制,對(duì)非理性和異常行爲達到精準阻斷,有效落地企業數據庫安全能(néng)力。
數據庫安全準入控制矩陣模型是企業構建數據庫安全能(néng)力建設之中的一環,是實現靈活多變自适應式的且具有高細粒度訪問控制矩陣的最佳實踐。對(duì)企業而言,特别是在面(miàn)對(duì)衆多以獲取企業敏感數據信息爲目的的威脅面(miàn)前,在未來以數據爲中心的新經(jīng)濟時代,通過(guò)整合來自人、流程和技術的輸入信息,有效構建并提升企業數據安全能(néng)力,才能(néng)在威脅來臨之際快速、自信地做出反應。