淺談數據庫安全產品的部署方式

一、背景概述

隨著大數據和云計算技術的迅速發展,政府、企業都開始將自己的應用遷移到云環境,數據開始大集中.隨之而來的是近幾年數據泄漏事件頻發,數據安全問題逐漸引起了國家的重視,即將施行的《網絡安全法》中對數據安全做出了明確要求,進一步完善了個人信息保護的相關規則.

北京中安星云軟件技術有限公司作為國內領先的數據庫安全產品和解決方案提供商,可以為用戶提供領先的數據庫安全產品、方案、服務,為用戶數據安全保駕護航!

數據庫安全產品現在常見的有數據庫監控掃描、數據庫安全審計、數據庫防火墻和數據庫透明加密. 這四種產品大都是硬件產品,如何去部署對于用戶來說是一個必須要考慮的問題.以下將對數據安全安全防護產品的部署方式做簡單介紹,希望可以幫助用戶更好的了解數據庫安全產品,更快的提高數據庫安全防護水平.

二、部署方式及工作原理

中安星云數據庫安全產品部署架構方面通常分為旁路部署和在線部署(透明部署,透明代理部署)兩種主流部署方式.部署位置需根據不同產品部署方式和數據庫位置來決定.

2.1旁路部署

旁路部署模式分為端口鏡像部署和IP部署兩種方式,端口鏡像部署模式是旁路鏡像的方式部署在應用程序和數據庫服務器之間的交換機上,通過鏡像數據庫訪問流量對數據庫操作行為進行審計、告警等措施而達到防護數據庫的目的,如：數據庫安全審計產品.

IP地址旁路部署是將安全設備部署在網絡當中的任何節點,只需要與數據庫之間路由可達即可,需要給安全設備配置當前網段IP地址,如：數據庫透明加密和數據庫監控掃描產品.

采用旁路方式接入網絡,無需改動用戶網絡結構和配置,不會造成用戶網絡單點故障.下面以中安星云數據庫安全審計和數據庫透明加密產品、數據庫監控掃描產品部署為例說明：

數據庫審計產品,通常采用端口鏡像旁路部署模式：

旁路鏡像部署

數據庫透明加密產品和數據庫監控掃描產品,采用旁路IP模式部署：

旁路IP部署

2.2在線部署

在線部署模式分為透明部署和透明代理部署,下面以中安星云數據庫防火墻產品部署為例,介紹兩種部署方式

數據庫防火墻產品在線透明部署模式：

工作原理：在線透明部署工作原理是,當客戶端或應用程序對數據庫服務器有連接請求時,數據庫防火墻不對數據包進行任何改變,無需更改IP地址,僅按照訪問控制策略對數據庫訪問行為進行過濾,同時具有軟硬件Bypass功能,保障網絡的高可用性.

在線透明部署

數據庫防火墻透明代理部署模式：

工作原理：透明代理部署模式(也稱代理模式)工作原理是,當客戶端或應用程序對數據庫服務器有連接請求時,TCP連接請求會被數據庫防火墻截取和監控.數據庫防火墻代理了客戶端和數據庫服務器之間的會話,并基于橋模式進行轉發,在數據庫防火墻轉發數據時將源IP替換為數據庫防火墻的橋IP.從客戶端的角度看,客戶端仍然是直接訪問服務器,感知不到數據庫防火墻的存,因而稱之為透明代理模式,又稱之為透明橋模式.

透明代理部署通常路由可達即可,可旁路部署,不改變網絡結構,但需要給數據庫防火墻分配與數據庫、客戶端能夠通信的IP地址和路由信息.

透明代理部署

三、優劣勢對比

3.1旁路部署模式

旁路部署模式不需要對網絡進行改動,它僅對數據庫訪問行為進行分析和告警記錄,并不會對惡意的訪問等進行攔截和阻斷,適合數據庫安全掃描、加密和審計產品,用于對數據庫進行弱口令檢測、漏洞掃描、加密以及對數據庫操作等行為進行審計、告警,同時這種部署工作模式,對原有網絡不會有任何影響.

3.2在線部署模式

在線透明部署模式對網絡的改動小.另外通過數據庫防火墻硬件Bypass功能在設備出現故障或者掉電時可以不影響原有網絡流量,只是數據庫防火墻自身功能失效.缺點是網絡的所有流量(數據庫相關的和不相關)都經過數據庫防火墻,對數據庫防火墻處理性能有很大的考驗.

在線透明代理這種部署模式需要增加IP地址,要設置該設備管理IP、橋IP以及對應的路由.工作在代理模式時,能夠只對數據庫相關的數據進行代理轉發和過濾,對其他流量無影響,但是此部署模式存在很大的單點故障,當設備出現問題,會造成業務中斷.

(中安星云-趙衛國、郝文琛)