防火墙国标正式实施｜美创科技解读数据库防火墙关键能力

 2020年11月1日,《信息安全技术 防火墙安全技术要求和测试评价方法》将正式实施。新版防火墙国家标准实施后,将替代原有的防火墙国家标准(如下图所示),为各类防火墙产品的研发、测试和选型提供最权威的指导性意见。

替代原有防火墙国家标准

新一代信息技术发展和威胁风险不断涌现,推动着防火墙技术和产品的不断革新,此次新标准在GB/T 20281-2015基础上,创新性的将各类防火墙国家标准进行了系统、全面梳理,形成了统一的技术框架,将防火墙按照保护对象和资产角度划分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙,并明确了各类防火墙的定义、安全技术要求、测试评价方法及安全等级划分。

值得注意的是,网络型防火墙、WEB应用型防火墙、主机型防火墙都是对原有国家标准的修订、升级,数据库防火墙则首次以国家标准形式明确定义和要求,这将直接改观数据库防火墙产品水平参差不齐的市场现状;解决用户选择数据库防火墙产品缺乏国家标准指导的困境;为落地等保2.0数据安全建设、落实关键基础设施数据安全保护提供产品层面标准依据。

新版防火墙国家标准对数据库防火墙定义为:部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,能够具备数据库访问控制及安全防护功能的网络安全产品,并从安全功能、自身安全功能、性能要求和安全保障四个方面提出明确的要求。

随着新版防火墙国家标准的发布与实施,数据库防火墙将受到越来越多行业用户的关注,那么一个成熟的数据库防火墙产品应具备哪些关键能力?

作为该标准核心起草单位之一,数据库防火墙主力编制单位,美创科技在数据库安全及数据库协议具备十余年的研究经验,产品也广泛应用于政府、医疗、金融、通信等各个行业,对此,美创科技总结了以下七点:

高可用和高性能

• 高可用:数据库防火墙部署在应用服务器和数据库服务器之间,数据库防火墙任何的风吹草动都会影响业务系统的正常运行。因此数据库防火墙需要具备冗余部署的能力,能够支持“主主”、“主备”、“集群”模式,支持软硬件bypass等可靠性技术,确保系统在各种未知的突发情况发生时,能够快速切换至正常状态,保证整个业务的稳定运行。
• 高性能:由于业务系统的高并发访问,数据库需要对标直连访问数据库,1毫秒内SQL处理速率要基本同直连访问数据库,避免因数据库防火墙部署影响业务系统的正常使用。

全面的入侵防御

•  数据库漏洞攻击防护:依据已公开的CVE漏洞形成检测策略,能够精确捕获、阻断漏洞攻击行为。
• 虚拟补丁:数据库的复杂性决定了其会有诸多安全漏洞,这些漏洞一旦被入侵者或非授权用户利用,后果不堪设想。数据库厂商并不能在第一时间对漏洞进行修复并发布升级补丁,这要求数据库防火墙在受保护的数据库外部建立一个策略实施点,以便在漏洞到达目标之前识别和拦截利用这些漏洞的行为,通过虚拟补丁的功能,能够在无需修补数据库内核漏洞的情况下,保护数据库的安全,从而让漏洞在非法攻击中隐形。
• SQL注入检测防护:SQL注入攻击是数据库防火墙的核心应用场景,这要求数据库防火墙对注入攻击的SQL特征能精准识别和实时阻断。

☆ 拖库与撞库:能够识别拖库行为,及时阻断及时告警,避免数据库被非法拖库导致信息泄露事件的发生。撞库是业务系统面临的一类非漏洞的攻击行为,数据库防火墙要能及时预警、阻断撞库行为,解决业务层面的极大风险威胁。

精细度访问控制

能够实现基于访问数据库的应用程序、运维工具;数据库用户名、数据库名、数据表名和数据字段名;SQL语句关键字、数据库返回内容关键字;影响行数、返回行数的细粒度访问控制。如:

• 多维度准入控制:支持对授权的身份账号(如用户名密码)、用户指纹特征(如IP地址、应用程序、主机名、登陆的时间等)、数字证书客户端等因素进行多方位鉴定识别,防止恶意身份非法进入数据库。
• 访问频次和行数管理:提供访问频次控制,避免一定时间内对核心数据的高频次访问,避免数据流失。提供基于敏感表格访问的返回行控制技术,同时能够对大量返回行事件做出告警、能够对频繁的相同语句做出告警,避免数据大量泄漏,保证数据的安全访问。
• 数据库合规访问控制:数据库防火墙需具有强大的自身安全机制,实现系统管理员、审计员等特权账户权限的有效划分,避免出现单一用户权限过高造成的越权行为。例如:数据库防火墙系统默认有系统管理员,具有数据防火墙系统的维护权限,但是不具备查看审计结果与创建用户的权限。
• 敏感SQL语句管理:即SQL所带有敏感信息,对这些SQL需要单独管理,只授权给可以访问的身份,拒绝未经授权的身份进行访问。

敏感数据保护

• 应用防假冒认证机制:对于数据库应用假冒,数据库防火墙提供相应的应用防假冒认证机制,防止假冒应用访问数据库,进行非法操作。
• 业务动态脱敏:敏感数据访问过程中,数据库防火墙应具备业务动态脱敏功能,根据不同访问者的权限,返回不同的脱敏数据,避免敏感数据和个人隐私信息泄露。

精确的安全审计和分析

对于审计管理,能够按照使用场景的不同提供简单搜索、扩展搜索和高级搜索,能够根据客户搜索的条件搜索特定的安全事件信息。

对于业务审计,提供全面详细的审计记录、丰富的告警、跟踪事件记录,并在此基础上实现了内容丰富的、动态可跟踪的实时审计分析和追踪。

对于审计分析,提供安全事件分析功能,可针对某个登录主题进行从数据库登陆到当前操作的时间序列安全事件回溯,是真正基于数据库会话的一致性回溯,也可以对某条安全事件进行同类事件回顾,回溯相同的安全审计事件在历史上的发生情况。提供全方面的、细粒度的数据库审计管理。

智能化告警与风险可视化

•  智能化告警:数据库防火墙能够对任何新面孔或异常操作进行主动识别、告警,包括新发现的IP地址、应用程序、数据库账户、应用账户、访问对象、访问操作、SQL语句等,并通过短信、邮件、动画等多种手段来保证告警的实时性。
• 风险可视化:能够从数据库访问、终端、风险策略、敏感资产等多角度进行监控并可视化展示,直观、全局、清晰的把握数据库安全情况。

多种数据库类型和部署方式支持

• 支持透明网桥、代理多种部署模式,能够满足不同部署场景需求。
• 能够支持各种主流的关系型、非关系型数据库(NoSQL)以及大数据平台组件等数据库的安全防护。