用輕代理的方式做數據庫安全
《用輕代理的方式做數據庫安全》要點:
本文介紹了用輕代理的方式做數據庫安全,希望對您有用。如果有疑問,可以聯系我們。
一般而言,數據庫平安技術,除了數據庫產品本身自帶的平安功能,就是從外部做保護和監控.后者無外乎漏洞管理、防火墻、審計、加密和脫敏等幾種技術產品.
數據庫自帶的平安功能,其問題在于性能非常差,訪問量稍微一大數據庫的響應就會很慢,因此并不實用.典型的如Oracle自身的審計功能.
數據庫防火墻的最大問題在于內部威脅
在外部保護技術中,數據庫防火墻主要是由基于網絡的設備,基于策略規則分析網絡流量中的SQL語句,發現非法訪問數據庫和攻擊時,產生警報.
這種監控數據庫的方式,其問題在于,具有本地訪問權限或能夠繞過設備的內部人員可以輕松攻擊數據庫.同時也無法很好的解決數據庫訪問流量的加密問題.許多數據庫平安廠商只能憑著自己的經驗去解密,不僅效果不好,還要疲于應付各種版本的升級和更新問題.
此外,隨著監控范圍的擴大,必須在訪問數據庫的網絡上的多個節點部署設備,以構建全方位的數據庫監控層.因此,成本會很高.
本地數據庫審計只能做到事后取證
本地數據庫審計產品可以提供細化的審計跟蹤和數據庫活動的取證,但細化會影響數據庫性能,而且僅提供事后取證,無法做到預防.
此外,對于監控DBA本身以及擁有DBMS特權訪問權限的其他用戶,審計不是一個可行的解決方案,因為這些人員可以隨意打開和關閉審計,或在事后篡改日志.
針對以上問題,一種基于主機的輕代理解決方案逐漸受到用戶的認可.
數據庫活動監控技術——DAM
邁克菲于2011年收購了一家名為Sentrigo的公司,這是一家在數據庫平安領域處于領先地位的廠商.針對數據庫平安,Sentrigo的做法是,在數據庫主機服務器上安裝能夠監控所有數據庫活動的軟件代理和傳感器(Sensor),通過讀取數據庫的共享內存,來達到實時監控、阻斷、審計等功能.
傳感器可以自動識別主機上的所有實例,甚至可監控同一主機不同數據庫類型的多個實例.而且對主機性能影響非常小,大約占CPU資源的5%,100多兆內存.因此可稱之為輕代理.
其運行原理為,傳感器通過只讀機制和API連接到SQL緩存區的實例內存,并通過內存采樣開始監控循環輪詢.對于每個采樣周期,傳感器會根據從服務器收到的預定義策略,分析數據庫實例中每個會話當前正在運行的語句和上一個語句,并確定應對哪些語句發出警報或予以阻止.
傳感器還可配置為針對特定違規行為終止會話,并隔離用 戶.這些預防功能,均通過本地數據庫API實現,在不對數據完整性造成任何風險的情況下終止數據庫會話.
邁克菲目前的數據庫平安套裝為三個模塊,第一個為上面介紹的輕代理DAM,也是整套產品中的核心技術.第二個是VM,漏洞管理.第三個是VP,虛擬補丁.解決了從事前到事中再到事后的整個數據訪問流程中的平安問題.
平安牛評
除上文中介紹的內容以外,這種軟件代理的數據庫平安技術還有一大優勢,云上部署.因為在云上尤其是公有云上,基于網絡的數據庫平安設備面臨無處可部署的難題.而基于主機的系統,則很好的解決了這種問題,部署起來非常簡單.因為是純軟件的形式,無需關心環境中的網絡拓撲架構.
《用輕代理的方式做數據庫安全》是否對您有啟發,歡迎查看更多與《用輕代理的方式做數據庫安全》相關教程,學精學透。維易PHP學院為您提供精彩教程。
