昂楷企业LOGO
关于昂楷
 
有下一代防火墙还需要数据库防火墙吗?
发布时间:2021.09.30  /  作者:昂楷科技

昂楷正在进行的某省公安厅的数据库防火墙项目,重点是对其签约的上百家合作第三方开发与运维公司驻派的上千名员工进行数据库访问管控,避免第三方运维人员恶意破坏数据库或者泄露敏感数据。


afb3c62c868ee966319d7d808d8d293c.png



销售小A认为客户甲肯定也有同样的需求,于是前往拜访。当小A聊到数据库防火墙的时候,客户打断道:“防火墙?咱们这边早就买了防火墙,网络出口区、服务器区都已经有了,甚至核心交换机还加了防火墙板卡,咱们这暂时没有这个需求...


数据库防火墙的不同


上面小A的拜访目的没有很好达成,首先自己是没有完全弄明白数据库防火墙与传统网络防火墙的区别,其次很多甲方或合作伙伴也没有完全弄明白,那么究竟传统网络防火墙与现在出现的数据库防火墙有何不同呢?其实主要是以下两点。


 部署位置不同:

网络防火墙一般部署在出口或者服务器区等网络边界。

数据库防火墙一般部署在数据库服务器前端,只对数据库服务器进行保护。

▶ 防护对象不同:

网络防火墙同IPS、IDS类似工作在2-7层网络协议防护,主要解决网络准入等边界问题。

数据库防火墙主要针对的是数据库流量sql语句,实现对数据库访问,数据使用的安全防护,例如有效防止批量数据泄露,恶意篡改数据等。




为何需要数据库防火墙



用大家比较熟悉的“等保”来讲,对于数据库防护,一般而言都会有数据库审计设备的部署,它能解决数据库非法操作的及时告警以及安全事件发生后的调查取证,但由于其旁路部署的原因,对于安全事件发生时的管控相对较弱。

这时候就需要数据库防火墙产品进行事中防护了,对于实时操作数据库窃取数据的行为进行实时阻断,有效防止数据被破坏或者窃取。如,2020年的微盟删库事件;单位通过管理手段配合桥接部署数据库防火墙,及时对删库命令进行拦截即可避免恶性事件的发生。



数据库防火墙价值



精准拦截数据库恶意操作,保护数据安全

可根据客户意见及实际安全网关防护情况,将IP、MAC、操作语句、账号、防护对象、客户端等相关信息设置组合规则。白名单将仅进行“六元组”信息记录然后直接转发,对黑名单直接阻断。例如:凡是在凌晨1-5点的操作,都视为高危操作,只要操作,就会阻断。

5331280ec960dd9929ac5ebfde37af6b.png


权限梳理管控,防范越权访问

数据库防火墙系统可针对那些持有特权账号(sa、root等)的运维人员,同样可对该用户的部分风险操作(比如delete、truncate等)进行实时阻断控制并及时告警,从而降低影响以及损失。同样也可以通过控制只有特定的IP范围才能对数据库进行访问,从而阻断那些非法分子进行访问,提高数据资产安全。

满足合规要求

行政事业单位或者企业等有遵循等保护、分保的合规性要求。数据库防火墙方案,有助于完善组织的信息安全体系,从而满足各种合规性要求,并且使组织能够顺利通过合规审计。




数据库防火墙是对数据安全审计的进一步补充,可大大加强数据库事中安全风险的访问管控,保护数据库安全,让数据安全的合规建设进一步提升。



推荐新闻
即刻免费体验昂楷安全防护
服务通道