【IT168 现场报道】2013年4月18-20日,第四届中国数据库技术大会(DTCC 2013)在北京福朋喜来登酒店拉开序幕。在为期三天的会议中,大会将围绕大数据应用、数据架构、数据管理(数据治理)、传统数据库软件等技术领域展开深入探讨,并将邀请一批国内顶尖的技术专家来进行分享。本届大会将在保留数据库软件应用实践这一传统主题的基础上,向大数据、数据结构、数据治理与分析、商业智能等领域进行拓展,以满足于广大从业人士和行业用户的迫切需要。
自2010年以来,国内领先的IT专业网站IT168联合旗下ITPUB、ChinaUnix技术社区已经连续举办了三届数据库技术大会,每届大会超过千人规模,云集了国内技术水平最高的数据架构师、DBA、数据库开发工程师、研发总监、IT经理等,是目前国内最受欢迎的数据库技术盛会。
在2013年中国数据库技术大会(DTCC)第三天的主会场将围绕“数据管理”展开,ChinaUnix资深版主杨宁先生为我们分享了他的话题《DATAbase firewall和DBV审计》。
▲ChinaUnix资深版主杨宁先生
“千防万防”仍然防不住的安全风险
目前互联网大行其道,让数据爆炸的同时也带来很大的安全隐患。自从数据库"泄露门"事件之后,数据安全一直是曝光的焦点。其实此次被泄露的数据库只是冰山一角,其实还有非常多的企业遭受了攻击,一方面是碍于面子,一方面是确实没有发现被脱裤的事件。我们也从另外一个角度来说明数据库安全审计、PCI-DSS要求下的数据库字段以及表加密、SOX下的dba三权分立等内容。
这次演讲主要是利用商业产品以及开源产品来监控数据库的非正常的提交请求,以及常见的数据库注入语句,甚至我们可以利用这些方法来阻止0day的攻击。虽然各大公司已经招收了各种安全顶尖人才,但是仍然漏洞频发。归其原因安全是一个动态过程,另外一个就是攻防的严重不对称性。
▲层层守城无人看库——最大的漏洞往往来自于内部
梳理目前的数据安全问题不同数据库都有自己的安全风险,杨宁给大家介绍了在开源领域常见的数据库安全问题,主要体现在MySQL提权漏洞、Hive命令执行漏洞、MySQL认证绕过漏洞、Mongodb命令执行漏洞等方面。
▲2013安全漏洞TOP10
数据安全防护防火墙的应用
在种种安全风险的威胁下,可以说客户需要第一层保护,用来监测和保护数据库,使其免于受到现有和将来威胁的影响。通过Web,黑客们从应用中寻找突破口,侵入数据库。防止窃取、盗用身份信息等高危风险发生,需要数据库防火墙来帮助用户防护安全问题。杨宁也直言传统的数据库防火墙也有其弊端,可能会影响数据库的性能。
当然,数据库防火墙的部署方式的不同会带来不同的影响范围,杨宁介绍了Out of Band和In-Lin部署模式的异同。简单来说,前者的优点对数据库的性能没有影响,后者第一时间防御已知或者未知攻击但对性能影响较大。除此之外,据杨宁介绍,Oracle数据库可以很好的支持高可用HA架构,Oracle的HA模式可以很好的跟audit server进行结合。
提起数据库的主动/被动防御模式,可以说不同的方式对应着不同的场景。前者特点主要体现在以下方面:
·可以为任何用户或应用程序定义“允许的”行为; 白名单可以包括诸如时间、日期、网络、应用程序等内置因素
·为任何应用程序自动生成白名单
·立即拒绝不符合策略的事务
·数据库将只按照您的要求和愿望来处理数据
尽管数据库防火墙能够在技术上提供安全保护,但是并不代表所有安全问题都不会出现,最好的方法就是规定适当的权限限制。成功进行职责分离的重要前提是了解环境中谁执行基本管理任务以及这些管理任务的具体内容。即使一个DBA既负责管理新数据库账号又负责应用程序修补,对这些任务分别进行记录和规划非常重要。对各种类型的任务使用单独的管理账号可以加强责任制并降低相关风险。
▲责权分明
此外,杨宁还为大家介绍了一些安全开源工具:
