加固數據庫安全要從三個方面進行,嚴格限制弱口令、及時排出配置問題、定期升級補丁和對第三方惡意SQL語句進行審查。從時間點上可以劃分為三個階段:1.入侵事前檢查防護。2.入侵事中阻斷防御。3.入侵事后追蹤審計,減小損失。
1.入侵事前檢查防護
事前的重點是檢查。在遭遇外部入侵前,我們需要定期對整個網絡環境進行弱點掃描。網絡中任何一點的漏洞都可能導致最后的數據泄露。可以定期請專人對整個網絡做滲透測試,同時可以通過Web安全掃描器、數據庫漏洞掃描器等相關產品對整個環境進行安全檢查。尤其要注意掃描器需要具備掃描后門、惡意SQL痕跡的能力。
2.入侵事中阻斷防御
過程中防御的重點是準確的判斷出哪些語句或行為可能會引發入侵動作。正如推薦在Web前端部署WAF來解決大部分針對Web的入侵行為。一樣我們推薦在數據庫和應用之間串聯數據庫防火墻。數據庫防火墻至少要具備三點防護能力:1.從數據庫層防護和阻斷SQL注入行為。2.具備虛擬補丁功能,給不打補丁的數據庫帶來和打補丁一樣的安全。3.對第三方惡意組件中的惡意語句,有解密并阻斷效果。
1.數據庫防火墻也要有SQL注入防護能力,是因為WAF防護SQL注入存在一定的局限性。WAF在于無法對WEB發給數據庫的SQL語句進行協議分析、無法進行語句還原,只能通過正則匹配來遍歷每種情況。而數據庫防火墻則恰好彌補了WAF的技術路線缺陷。數據庫防火墻的防護策略、手段都是基于SQL協議解析而來。數據庫防火墻在防止SQL注入上徹底的解決了WAF以犧牲性能為代價的方式。相信如果數據庫防火墻和WAF配合使用會使您的數據更加安全。
2.在很多實際生產場景中,由于穩定性的考慮,數據庫是不會進行升級或打補丁。數據庫的安全完全依賴于整體環境的安全。一旦環境被打開缺口(植入木馬等)數據庫在漏洞攻擊面前脆弱不堪。虛擬補丁正是為了解決為了穩定而無法打補丁的數據庫的安全問題。
3.數據庫防火墻不單可以對sql層的攻擊進行有效的防護,更可以檢查第三方插件訪問數據庫執行的所有sql語句塊。即便是采用了加密手段(數據庫存儲過程加密是固定的算法),數據庫防火墻也具備自動解密,嚴格審查SQL塊內容的功能。確保惡意sql語句不會有機可乘。
對數據密級要求比較高的企業,可以通過數據加密軟件對數據庫中最重要的數據進行加密。這樣即使黑客拿走了數據庫中的部分數據,也只是拿到了密文。數據庫加密技術利用復雜的算法可以保證在一定時間內黑客是無法破譯出明文內容。
3.入侵事后減小損失防御
通過對用戶訪問數據庫行為的記錄、審計分析,幫助用戶事后進行數據泄密行為的追根溯源,提高數據資產安全。