数据库虚拟补丁技术,打造轻安全

用户在思考,厂商就变革。当各类安全重型“武器”摆在客户面前使用时,当客户的IT系统在各个层面均需要不同的安全设备防护时,问题来了:如同盔甲上身,武器装备多了,动作步伐也会变得沉重起来。安华金和关注数据存储的最核心介质――数据库安全,自主研发产品,不断体会客户的使用感受,提升产品易用性,让安全运维变得轻盈可控。数据库虚拟补丁技术,就是在这种理念下的一种技术产物。

什么是数据库虚拟补丁

虚拟补丁技术是通过控制所保护系统的输入输出,防止对数据库系统的漏洞攻击行为的技术,是对已有数据库系统通过外围的方式,针对漏洞攻击的特征进行攻击行为发现和拦截的安全防御手段。它使针对漏洞防御的实施更为轻量,更为及时。

虚拟补丁技术较早的使用是在web应用系统上,较早提出这个概念的是趋势科技,近来绿盟也加入了这个领域,也是应用在web上。数据库的虚拟补丁是近几年的防御技术,较早提出的是Mcaffee,国内数据库安全厂商安华金和也是这方面的佼佼者。

数据库虚拟补丁一般是集成在数据库防火墙产品中,数据库防火墙是一款新的、有效针对数据库进行主动安全防御的产品,目前安华金和是国内首家数据库防火墙供应商。这种技术,一经面世,就受到了国内外用户的广泛欢迎;除了防御能力外,国内用户欢迎的一个重要原因还在于,在以极光为代表的网络漏扫工具,每年都会对数据库主机报告数十个高中危漏洞,然而发布漏洞补丁需要一定的周期,其次漏洞补丁的升级在带来相应的人力,物力成本的同时存在相应的风险,与之相反的是被检测单位亟待解决这些数据库漏洞问题,而虚拟补丁技术,无疑也对这种现实的需求提供了有效的解决方案。

数据库虚拟补丁技术

常规的数据库虚拟补丁技术主要分2种:

技术一: 修改数据库程序的运行时代码。如果发现攻击涉及到某些存储敏感信息的数据表,会创造一个输出补丁,从而改变数据库返回的结果集输出的方向,向某特定地址传输该数据包。

技术二:在数据库的前端设置某种类型代理,以控制数据库的输入和输出,从而阻止或消除攻击行为。可以检测对漏洞的尝试利用,并终止可疑的会话。

当前市场上的数据库防护工具,如果具备数据库漏洞防护能力,通常采用第二种虚拟补丁防护方式,避免对数据库做代码层级的改动。安华金和数据库防火墙产品(DBFirewall)中提供了虚拟补丁技术,所采用的是第二种技术,无需修改动用用户的数据库运行代码,通过在数据库外的网络层创建一个安全层,用户在无需补丁的情况下,即可帮助用户主动防御外部入侵数据库。DBFirewall支持22类460个虚拟补丁。

数据库虚拟补丁在数据库防护中的作用

随着网络黑客的攻击活动方式越来越多,速度越来越快,针对信息系统的漏洞研究和系统安全漏洞的修补,成为了攻与防永恒的主题。但系统漏洞的修补永远晚于漏洞的发现,系统设计的缺陷导致漏洞难以修补,现实稳定运行的信息系统难以接受系统的升级等等,这些原因都造成了现实世界中诸多被暴露了漏洞的系统仍然在持续‘裸奔’中。这如同已经被曝了安全隐患的汽车,无法召回,人们只能祈祷‘厄运’不要降临在自己身上。

在信息安全日益严峻的今天,系统漏洞从来就没有真正消失,许多公司都在为系统打补丁的工作付出超额的人力成本,但等待安装安全补丁的维护时期,则是一段艰难和危险的过程,这与黑客多次利用零日(0day)漏洞大规模攻击形成鲜明对比。

虚拟补丁的防护机制正是过监控所有数据库活动,获取通讯信息。利用监控数据与保护规则相比较,从而发现攻击企图。当比较结果与规则匹配时,就发出告警警报,并根据防护策略及时的终止可疑会话、操作程序或隔离用户,直到这个可疑的活动被审查通过。

虚拟补丁的优势所在,就是可以在无需修补DBMS内核的情况下保护数据库。虚拟补丁在数据库外创建了一个安全层,从而无需根据数据库厂商提供的补丁做数据库修复,也不需要停止服务和回归测试。

数据库虚拟补丁技术,作为数据库漏洞防护体系中最简便、最节省资源的处理方式,具有极高的可应用性。其价值不仅在于对数据库漏洞的简单防护,未来更可以配合数据库漏扫系统,为数据库建立起周密而可对照的检测与防护系统。作为数据库防火墙的重要功能组件,其价值更在数据库防护过程中得到充分的体现。


你可能感兴趣的:(数据库安全,数据库防火墙,安华金和,数据库防泄密,数据库虚拟补丁)