Oracle审计与数据库防火墙(AVDF)介绍

1. 什么是Oracle AVDF

2010年5月Oracle收购了位于英国牛津的数据库安全厂商Secerno,此前该厂商一直从事数据安全与控制相关的产品,专门为Oracle和非Oracle数据库提供防火墙解决方案。随后,2011年2月Oracle在原来Secerno产品的基础之上正式推出了Oracle Database Firewall。这一产品致力于防范数据库的非法访问和SQL注入攻击等安全问题,旨在全面加强数据库安全性。

前不久,在2012年12月Oracle宣布推出Oracle Audit Vault and DatabaseFirewall,网络上习惯简称其为Oracle AVDF。这一最新产品整合了原来成熟的Oracle审计安全库(Oracle Audit Vault)和Oracle数据库防火墙(Oracle Database Firewall)的核心功能,支持对操作系统、活动目录和定制数据源的审计,使其保护的范围不仅局限于Oracle及第三方数据库,功能得到了极大的增强。

现在,数据库几乎是所有数据泄漏和网络攻击的源头。作为Oracle数据库综合安全解决方案的一部分,的关键作用是检测、预防和控制,以及防止滥用合法访问数据库的权限。进一步补充Oracle高级安全(Oracle Advanced Security)和Oracle Audit Vault的功能。为客户提供最全面、最先进的安全产品,有助于在企业保护内部商务信息安全时,降低运维成本和操作复杂性。最新Oracle Audit Vault and Database Firewall的主要功能包括:

数据库活动监视与防火墙:对所有认证版本的Oracle及第三方数据库进行SQL流量监视,包括 Microsoft SQL Server、SAP Sybase、IBM DB2和MySQL;采用独特的SQL语法分析方法,将数百万条SQL语句分成一些“集群”,以实现卓越的准确性和可扩展性;易于建立白名单、黑名单和异常事件列表,以更好地检测未授权的数据库活动,其中包括SQL注入攻击。

增强的企业级审计功能:可以收集、整合并管理来自Oracle和第三方数据库的本地审计及事件日志;还能够通过基于XML的审计信息收集插件(Audit Collection Plugin),收集与整合来自Microsoft Windows、Microsoft Active Directory、Oracle Solaris和Oracle自动存储管理集群文件系统(Oracle Automatic Storage Management Cluster File System)以及XML数据源和表格型审计数据源的审计及事件日志。

整合的报告与提醒功能:整合的、集中式的储存库存放所有审计及事件日志,以按照预先制定的策略对日志进行实时分析;对所存储过程执行、递归SQL及运行活动提供前所未有的可视性;几十种内置报告满足法律规范要求;强大的提醒功能,包括多事件提醒和警示临界值预警。

作为防火墙,这一传统的安全产品,从诞生到现在已经有几十年的历史了,经历了从单一的基于路由器的防火墙、逐渐演化成通过软、硬件结合的通用操作系统上的防火墙,能够对网络和应用进行保护,那么Oracle数据库审计防火墙同传统意义上的防火墙有些什么区别呢?

\

Oracle 审计数据库防火墙

传统防火墙

定义

应用和数据库之间设置的、用于加强数据库访问控制,对非法的访问或攻击进行阻址

网络层次之间设置的、用于加强访问控制的软硬件保护设施

软硬件

纯软件

软件和硬件

优点

从源头保护数据,通过阻止和记录,审计和监测,访问控制,加密和屏蔽等方式,以避免从应用中非法窃取信息,避免通过盗用身份非法窃取数据

计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用的侵入,主要是对网络进行监控和保护

缺点

只针对数据库应用的保护,对数据库管理员要求高,主要是对策略的配置和报告的分析

对内部主动发起连接的攻击一般无法阻,且它自己本身就存在安全隐痪

AVDF同传统防火墙的对比表

从前文所述中,我们对Oracle Audit Vault andDatabase Firewall应该已经有一个大致的了解了。但需要注意Oracle Audit Vaultand Database Firewal当前仅提供X86平台64位的安装包,并且只能部署在单独的x86_64位服务器上(因为OracleAudit Vault and Database Firewall安装时会重新生成系统内核镜像文件)。对于Oracle Audit Vault and Database Firewall相关的安装文件,在注册OTN账号后都可以在Oracle交付云中免费下载,但如果需要获取Oracle官方提供的服务或用于商业行为则需向Oracle购买授权。Oracle交付云中用于学习使用的下载地址为:https://edelivery.oracle.com


Oracle AuditVault and Database Firewall下载界面截图



Oracle AuditVault and Database Firewall安装所需要的Oracle Linux下载界面截图

2. Oracle AVDF工作原理

作为整合了Oracle Audit Vault和Oracle Database Firewall的新一代数据库安全产品,Oracle AVDF对安全目标保护的功能仍然主要体现在审计和防火墙上面。其审计原理是通过部署在各个安全目标上的审计代理插件来实现收集并向Audit Vault Server发送审计信息,从而实现在Audit VaultServer控制台统一管理的目的。而数据库防火墙的原理则是与通常意义上的网络上的防火墙类似,它是通过分析网络上SQL流量来实现对客户端对数据库访问活动的监控,并可以按预先设置好的策略来决定如何处理访问数据库的SQL(可以阻止或允许对数据库的访问,并记录日志或发出警告等)。Oracle Audit Vault and Database Firewall的体系架构如下图所示:


Oracle AuditVault and Database Firewall完整体系架构

由上面完整的体系架构图可以看出,完整的Oracle AVDF部署将包括Audit Vault Server、Database Firewall和Audit VaultAgent这三个组件。

AuditVault Server

Audit VaultServer是管理和配置Database Firewall、Audit Vault这两个组件所必需工具。它同时还负责统一存储由审计代理插件从应用了防火墙策略或审计策略的安全目标所收集的信息,并按需生成相应报表或发出告警信息。Oracle AVDF绝大部分的配置都需要在Audit Vault Server中完成,而且在Audit Vault Server中也包含了一个用于存储配各种置信息和报表数据的Oracle数据库。

Audit VaultServer提供了如下主要功能:

Ø 审计数据的收集和生命周期管理

Ø AuditVault Agent管理

Ø DatabaseFirewall管理

Ø 审计和防火墙策略管理

Ø 告警信息和通知管理

Ø 防火墙和审计报告管理

Ø 用户授权审计管理

Ø 存储过程审计

Ø 用户访问管理

Ø 第三方安全产品集成管理

DatabaseFirewall

对于Database Firewall,从某种意义上说它是一台独占运行Oracle Database Firewall软件的服务器(与通常见到的防火墙有些不一样)。每一台部署好的Database Firewall都将监控网络上从数据库客户端到安全目标数据库的SQL流量,并将监控数据发送到Audit Vault Server用于生成分析报表。

作为负责数据库安全管理的审计人员,可以创建防火墙策略并定义如何处理DatabaseFirewall监控到的访问安全目标数据库的SQL语句。在防火墙策略中可以针对特定类型的SQL语句触发指定的告警提示信息,也可以针对发现的具有潜在威胁的SQL语句进行阻止,或者直接将有威胁SQL语句替换成安全的SQL语句执行。因此,Database Firewall能够配置成两种不同的工作模式进行部署。其具体为如下两种工作模式:

DPE模式(Database PolicyEnforcement):工作在该模式下的Database Firewall,将根据防火墙策略中的规则对访问安全目标数据库的SQL流量进行监控,并阻止或替换掉具有潜在威胁的SQL语句。

DAM模式(DatabaseActivity Monitoring):工作在此种模式下的Database Firewall,也将根据防火墙策略中的规则对访问安全目标数据库的SQL流量进行监控,但是对于发现的具有潜在威胁的SQL语句只会抛出警告信息,而不会阻止或替换。

为了使Database Firewall能实现对安全目标数据库的保护,针对每个安全目标都需要配置强制点(enforcement points)。在强制点中需要明确指定DatabaseFirewall是工作在DPE模式还是DAM模式,以及对安全目标应用哪一条防火墙策略和一些其它的设置。

另外整个Database Firewall在TCP/IP网络可以以三种模式实现对网络流量的捕获,其分别是:内联模式(inline)、旁路模式(out of band)和代理模式(proxy)。

AuditVault Agent

Audit Vault Agent用于负责从安全目标获取审计记录数据并将获取内容发送给AuditVault Server。其向Audit Vault Server发送的内容包括有效和无效的的审计记录、安全目标审计配置的信息、使用OCI和JDBC基于密码进行身份验证发生的错误信息。即使Audit Vault Agent被停止,它所部署在的安全目标的数据库在没有主动关闭审计功能前仍然会对数据库操作进行审计并产生审计记录信息。而且,在下一次重新起动Audit Vault Agent时,它会将自上次停止以来累计产生的所有审计数据发送到AuditVault Server。

对于一台运行了多个数据库的安全目标主机只需要部署一个AuditVault Agent,但是对于安全目标数据库可以配置一个或多个审计记录源。例如,在一台主机上面有四个数据库,那么只需要部署一个Audit Vault Agent在这台主机上。但可以为这四个数据库中的每一个配置一个或多个审计记录源。其中,可以配置的审计记录源数量和类型取决于安全目标数据库的类型和你想要从它获取什么样的审计记录。

但是并非每一台安全目标主机都必需要部署一个Audit VaultAgent。Oracle Audit Vault and Database Firewall支持只在一台计算机上部署一个Audit Vault Agent,然后通过该计算机上的Audit VaultAgent来管理多个远程的安全目标数据库审计记录源。例如,有数十个数据库分别运行在数十台服务器上。此时仅需要针对这些数据库每个配置相应的审计记录源,再通过部署在一台机器上的Audit Vault Agent来管理这些审计记录源。而不需要在每个服务器上都去部署AuditVault Agent。需要注意的是,对于Oracle数据库不能以SYSDBA或SYSOPER权限来使用AuditVault Agent远程管理审计记录源。

以上的组件在部署后其典型架构如下图所示:

3.Oracle AVDF应用环境

现在,企业由于内部泄密或私自查看、统计敏感数据以及外部入侵等事件都层出不穷,数据的安全面临极大威胁。因此Oracle Audit Vault and Database Firewall在对数据安全有所要求的所有场合都有其应用价值。针对目前我们ZLHIS产品体系架构,主要有以下几个应用环境:

对第三方厂商开放接口

随着医院信息化建设的不断扩展,现在相当多的客户院内所使用的信息系统都是由多家不同厂商提供。其间作为核心的HIS系统存储了大量基础数据,很多其它系统需要与之进行数据交换或从中提取数据。尤其是一些需要通过互联网交互的系统,这意味着ZLHIS数据库中的病人就诊数据也面临着严重的威胁。

类似药品处方等敏感数据的统计审计

由于政策法规的强制性要求,医院经营活动过程中产生的一些极为敏感的数据需要得到妥善保护。近年,在全国各地不同程度的有发生院内职工统计或篡改药品处方、患者医保账户等数据以获得非法牟利的事件。如下图所示就是一起典型的医疗数据泄漏事故:


Oracle审计与数据库防火墙(AVDF)介绍_第1张图片

                                                                                                                    国内医疗数据泄漏典型案例

未来,随着医院信息化建设进一步加剧,以及客户对于数据安全认知程度的不断提高。作为医院信息系统核心的HIS系统对于数据安全的要求也将越来越高,Oracle Audit Vaultand Database Firewall在HIS产品体系中的应用也将会越来越广。



你可能感兴趣的:(AVDF)