GB/T20281-《信息安全技术防火墙安全技术要求和测试评价方法》于11月1日正式实施,已经运行两年整。标准在GB/T 20281-基础上,将各类防火墙国家标准进行了系统、全面梳理,形成了统一的技术框架,将防火墙按照保护对象和资产角度划分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙,并明确了各类防火墙的定义、安全技术要求、测试评价方法及安全等级划分。
GB/T20281-中正式对数据库防火墙有了定义:
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。
本文结合数据库防火墙产品行业应用实践对GB/T20281-中数据库防火墙所定义的安全功能要求和性能要求进行阐述和应用解析。
第一部分、数据库防火墙安全功能要求
01 组网与部署
1.1 部署模式
应用解析:从实践部署角度,透明传输模式是将数据库防火墙串接到应用服务器与数据库服务器之间,所有流量需经过数据库防火墙通过策略匹配校验后方可放行访问数据库,因此可发挥最佳防御效能,但对数据库防火墙自身的软硬件性能及稳定性要求较高,同时要求设备应支持软硬bypass机制,避免当设备出现故障时,带来业务中断的风险。反向代理是将数据库防火墙物理旁路、逻辑串联到用户的网络环境中,当用户发起数据库访问请求时,与目标数据库没有直接连接,而是连接到数据库防火墙,经由数据库防火墙进行策略匹配校验后通过数据库防火墙代理转发访问数据库,因此,反向代理模式需要业务系统后台代码更改数据库地址和端口,使用数据库防火墙提供的代理地址和端口访问数据库,同时要求设备应支持软硬bypass机制,避免当设备出现故障时,带来业务中断的风险。两种部署模式均能很好地起到数据库资产的保护目的,也是市面上最常见的两种部署模式。
1.2 高可用性
应用解析:数据库防火墙为业务侧的安全产品,业务访问流量往往较大,且数据库防火墙产品通常为串接到用户的网络环境中,因此对设备自身的性能和稳定性要求较高,应采用HA高可用容灾机制,支持“主主”、“主备”、“集群”模式。
1.3 设备虚拟化
应用解析:当前,越来越多的网络环境采用虚拟化部署方案,业务上云以及轻量级的容器化部署逐渐成为趋势,数据库防火墙产品应适应当前和未来网络环境的发展变化,支持对部署在不同网络环境中的同一资产形态进行保护。
1.4 IPV6协议支持
应用解析:数据库防火墙产品部署支持IPv6环境是顺应下一代互联网的必然要求,目前,教育、能源、工业、金融、车联网等行业已率先推进IPv6协议栈的布局。在这一趋势下,数据库防火墙产品应注意保障从IPv4网络环境切换至IPv6网络环境中正常运行,及其功能的全面应用,可识别IPv6数据流、配置IPv6地址和IPv6相关策略等。
应用解析:数据库防火墙产品支持IPv6协议应符合IETF RFC相关标准,具有良好的一致性、互通性和兼容性,保障网络数据和信息内容传输的有效性和完整性。产品宜通过国家/国际权威机构检测验证,取得IPv6 Ready Logo认证证书和测试报告进行相关证明。
应用解析:数据库防护墙产品应保证在IPv6网络环境下自身的安全性,适应IPv6网络环境下面临的安全风险,能够启用自身防御机制,抵御IPv6网络环境下的畸形协议报文攻击等。
应用解析:数据库防火墙产品应支持IPv6过渡网络环境,支持IPv6网络环境部署覆盖IPv4网络环境的安全管控,以及IPv4网络环境下切换到IPv6网络环境等,但不会对业务造成影响。
02
网络层控制
应用解析:数据库防火墙应支持基于网络4元组(源IP地址、源端口、目的IP地址、目的端口)、5元组(源IP地址、目的IP地址、协议号、源端口、目的端口)、甚至7元组(源IP地址、目的IP地址、协议号、源端口、目的端口、服务类型、接口索引)等配置访问控制策略,以达到通过多因子组合的方式验证访问来源的合法性,将非法访问或无法清晰识别的访问来源进行有效过滤,以达到包过滤的目的。
03
应用层控制
3.1 应用类型控制
应用解析:数据库防火墙产品的核心技术在于对数据库通讯协议的深度解析并提供安全防护,数据库通讯协议解析的精准性,直接关系到数据库防火墙的安全防护能力水平,同时,数据库防火墙应支持对国内外主流数据库、关系型和非关系型数据库、大数据平台等数据库类型的数据库通讯协议进行解析。
3.2 应用内容控制
应用解析:数据库防火墙产品应支持基础的访问控制功能,可基于应用程序名、数据库运维工具名称及其MD5值与多因子组合的方式判断是否为非法访问用户或假冒应用,针对非法用户和假冒应用及时提供阻断能力,同时针对合法用户的访问,应对敏感表格或敏感字段根据用户身份及其不同的权限级别进行脱敏处理,并支持对用户的全程访问进行监控和记录,以达到基本的访问控制能力。
04
攻击防护
4.1 数据库攻击防护
应用解析:数据库防火墙的核心目标在于抵御和消除由于应用程序业务逻辑漏洞或外来攻击所导致的数据(库)安全问题,产品应支持数据库漏洞攻击防护、SQL注入攻击防护、数据库拖库攻击防护、数据库撞库攻击防护、高危异常SQL操作拦截等多种数据库攻击防护,并能够提供数据库漏洞补丁修复的能力,全方位形成数据库的安全保护屏障,免遭一切来自外部的攻击。
4.2 外部系统协同防护
应用解析:单个产品的防护场景和防护能力有限,因此需联动其他产品提高协同作战的能力,实现对数据库资产的纵深防御。数据库防火墙产品应提供标准化API接口的能力,支持与三方统一监管平台或其他安全产品进行对接,实现安全设备的集中管控与联动,资产策略的统一下发、风险事件的综合分析。
05
安全审计与分析
5.1 安全审计
应用解析:数据库防火墙应支持安全审计的能力,审计事件包括对登录事件和访问事件的全面审计与精确审计,审计内容包括数据库访问行为、数据库攻击事件等。审计日志应精确记录到人、保护对象、事件发生时间、事件发生的主体、具体的事件内容等五大维度,不同维度下可细分更多的因子,目的在于发生安全事故后可精准定位和追溯到事故的源头,进一步分析事故发生的原因,从而有针对性的做出安全防御策略的调整。审计日志的管理也应保障其安全性,采取对审计日志进行加密等措施,防止审计日志被恶意篡改、删除等,同时审计日志的存储管理周期也应有所规范,避免审计日至过载占用存储空间。
5.2 安全告警
应用解析:数据库防火墙产品应支持安全事件告警功能,支持内置或自定义告警规则,对正在发生或潜在发生的安全事件智能发出告警,并在告警发出后及时做出响应行为,避免进一步带来安全损失,同时,配置告警规则应合理有度,界定合理的风险等级,针对不同级别的告警事件采取界面展示、邮件订阅、短信订阅等措施,同类型事件合并告警,避免告警泛滥。
5.3 统计分析
应用解析:数据库防火墙产品应支持流量的监测统计,可按日/月/周等时间周期统计流量收发情况,并通过图形化页面进行直观展示,可根据页面展示和报表统计结果发现正常的业务访问规律和异常的访问现象,如业务访问高峰普遍为固定时段,该时段表现为流量激增,异常访问往往出现在某一非固定时段,相较以往正常的访问规律,突然出现不寻常的流量小高峰等,可初步判断为异常访问,需及时进行异常访问流量的排查。
应用解析:数据库防火墙产品应支持攻击事件统计,统计结果需以图形化界面的形式进行直观反映,用户可对当下面临的数据库风险具有高度感知,同时,攻击事件统计结果支持报表的形式进行导出,提供汇报等。
数据库防火墙性能要求
一、最大连接速率
应用解析:SQL请求速率是衡量数据库防火墙产品性能的重要指标之一,大流量用户场景下,如若数据库执行操作超过产品最大可承载的SQL请求速率,则可能会导致产品瘫痪,造成业务中断,因此数据库防火墙产品SQL请求速率不应低于基线标准。
二、最大并发速率
应用解析:数据库防火墙产品需处理大量的业务流量,因此对产品自身的性能有较高要求,SQL并发连接数是衡量数据库防火墙性能的重要指标之一,产品性能过低则无法承载高并发访问,可能导致设备瘫痪,造成业务中断。因此数据库防火墙产品SQL并发连接数不应低于基线标准。
