昂楷正在進行的某省公安廳的數據庫防火墻項目,重點是對其簽約的上百家合作第三方開發與運維公司駐派的上千名員工進行數據庫訪問管控,避免第三方運維人員惡意破壞數據庫或者泄露敏感數據。
銷售小A認為客戶甲肯定也有同樣的需求,于是前往拜訪。當小A聊到數據庫防火墻的時候,客戶打斷道:“防火墻?咱們這邊早就買了防火墻,網絡出口區、服務器區都已經有了,甚至核心交換機還加了防火墻板卡,咱們這暫時沒有這個需求...
數據庫防火墻的不同
上面小A的拜訪目的沒有很好達成,首先自己是沒有完全弄明白數據庫防火墻與傳統網絡防火墻的區別,其次很多甲方或合作伙伴也沒有完全弄明白,那么究竟傳統網絡防火墻與現在出現的數據庫防火墻有何不同呢?其實主要是以下兩點。
? 部署位置不同:
網絡防火墻一般部署在出口或者服務器區等網絡邊界。
數據庫防火墻一般部署在數據庫服務器前端,只對數據庫服務器進行保護。
? 防護對象不同:
網絡防火墻同IPS、IDS類似工作在2-7層網絡協議防護,主要解決網絡準入等邊界問題。
數據庫防火墻主要針對的是數據庫流量sql語句,實現對數據庫訪問,數據使用的安全防護,例如有效防止批量數據泄露,惡意篡改數據等。
為何需要數據庫防火墻
用大家比較熟悉的“等保”來講,對于數據庫防護,一般而言都會有數據庫審計設備的部署,它能解決數據庫非法操作的及時告警以及安全事件發生后的調查取證,但由于其旁路部署的原因,對于安全事件發生時的管控相對較弱。
這時候就需要數據庫防火墻產品進行事中防護了,對于實時操作數據庫竊取數據的行為進行實時阻斷,有效防止數據被破壞或者竊取。如,2020年的微盟刪庫事件;單位通過管理手段配合橋接部署數據庫防火墻,及時對刪庫命令進行攔截即可避免惡性事件的發生。
數據庫防火墻價值
精準攔截數據庫惡意操作,保護數據安全
可根據客戶意見及實際安全網關防護情況,將IP、MAC、操作語句、賬號、防護對象、客戶端等相關信息設置組合規則。白名單將僅進行“六元組”信息記錄然后直接轉發,對黑名單直接阻斷。例如:凡是在凌晨1-5點的操作,都視為高危操作,只要操作,就會阻斷。
權限梳理管控,防范越權訪問
數據庫防火墻系統可針對那些持有特權賬號(sa、root等)的運維人員,同樣可對該用戶的部分風險操作(比如delete、truncate等)進行實時阻斷控制并及時告警,從而降低影響以及損失。同樣也可以通過控制只有特定的IP范圍才能對數據庫進行訪問,從而阻斷那些非法分子進行訪問,提高數據資產安全。
滿足合規要求
行政事業單位或者企業等有遵循等保護、分保的合規性要求。數據庫防火墻方案,有助于完善組織的信息安全體系,從而滿足各種合規性要求,并且使組織能夠順利通過合規審計。
數據庫防火墻是對數據安全審計的進一步補充,可大大加強數據庫事中安全風險的訪問管控,保護數據庫安全,讓數據安全的合規建設進一步提升。
