기업이 데이터 자산을 보호하는 데는 데이터 백업 보안, 데이터 스토리지 보안, 데이터 탈민, 암호화 등 많은 작업이 있습니다 ... 가용성에 초점을 맞춘 대부분의 엔터프라이즈 보안 담당자는 아직 데이터베이스 보안의 중요성을 완전히 이해하지 못하지만 사전 예방적 통계에 따르면 점점 더 많은 엔터프라이즈 정보 보안 리더가 데이터베이스 보안의 하위 영역을 자체 부정 행위 목록에 포함시키기 시작했습니다. 무중단 업무 운영은 기업 조직의 근본적인 핵심이며, 비즈니스 보안 및 데이터 보안은 기업의 장기적인 성장을 위한 보안입니다. 기업 데이터 자산을 핵심 경쟁력으로, 데이터베이스는 기업 조직의' 핵심 경쟁력' 인 데이터 자산의 컨테이너로, 기업의 핵심 데이터를 호스팅하며 비즈니스 운영 및 데이터 보호를 위한 인프라가 됩니다. 데이터베이스의 보안 방어가 CTO/CIO 작업 내용 사분면 1 위에 올랐다.
기업 조직의 데이터베이스 시스템은 데이터베이스 소프트웨어 플랫폼 자체뿐 아니라 흐르지 않는 데이터도 의미가 없습니다. 데이터베이스 보안을 고려할 때 데이터베이스 공격면의 크기, 데이터베이스 액세스와 관련된 인증, 권한 부여 및 감사 문제, 개발자의 부주의로 인한 소프트웨어 취약점, 운영 및 유지 관리 인력의 부적절한 관리 등을 합리적으로 평가해야 합니다. 각종 위험은 모두 끔찍한 결과를 초래할 수 있다. 저자가 있는 실험실은 다양한 취약점 플랫폼과 엔터프라이즈 보안 운영자의 피드백을 수집하여 OWASP TOP 10 을 참조하여 데이터베이스 애플리케이션 방어를 위한 10 대 데이터베이스 위험 위협 목록을 작성했습니다.
상위 10 대 데이터베이스 보안 위협 (데이터베이스 취약성 10)
1. 권력 남용
2. 권한 상승
데이터베이스 소프트웨어 취약점
4.SQL 주입
5. 감사 레코드 누락
6. 서비스 거부
7. 통신 프로토콜 취약성
8. 인증이 부족합니다
9. 중요한 데이터 유출
10. 보안 구성이 표준화되지 않았습니다.
답은 머피의 법칙이다. 일이 더 나빠지면 가능성이 아무리 작아도 일어날 수 있다는 사실을 진술한다.
그 이후로 기술 분야에서는 내가 데이터베이스 보안 분야에 강요하고 싶은 것이 아니라, 안전 위험이 가능성에서 돌발적인 사실로 변할 수 있는 법칙을 알려주기 때문이다. (윌리엄 셰익스피어, 햄릿, 과학명언)
머피의 법칙에서 데이터베이스 침입 방어를 관찰하는 것은 긍정적인 태도를 취해야 한다. 데이터베이스 보안 위험은 반드시 발생할 수 있기 때문에 필연성에 순응하고 적극적으로 대응해야 하며, 긴급 대응 및 폐기 작업을 잘 해야 한다. 데이터베이스 보안 방어 방면에서 포괄적이고 적극적인 대응 방안을 과학적이고 합리적으로 계획하기 위해서는 사전 사전 사전 예방 방어, 제때에 봉쇄, 사후 종합 감사를 해야 한다.
머피의 법칙에 따르면, 우리는 데이터베이스 침입 방어에 대한 계시를 요약할 수 있습니다.
1. 데이터베이스 위험의 작은 확률 이벤트는 무시할 수 없습니다.
데이터베이스 보안 사건이 끊임없이 발생하지만, 기업 보안 보호는 물리적 계층, 네트워크 계층, 컴퓨팅 호스트 계층, 애플리케이션 계층 등 여러 방어에서 이루어졌으며 네트워크 경계는 엄격하게 통제되고, 외부 위협 정보 및 내부 상황 인식 시스템은 완벽하게 조화를 이루고, 비즈니스 데이터는 계층적으로 보호되며, 보안 위협은 데이터베이스 보안 이벤트를 유발할 수 없습니다.
작은 확률 사건이 하나의 실험이나 활동에서 발생할 가능성이 매우 낮기 때문에 한 활동에서 발생하지 않는 잘못된 인식을 준다. 사실과는 달리 이런 착각 때문에 사고 발생 가능성이 높아져 사고가 빈번할 수 있다. 사건 발생 원인은 복잡하지만 작은 확률 사건이 자주 발생할 수 있는 객관적인 사실을 보여준다.
머피의 법칙은 작은 확률 사건의 중요성을 강조하는 점에서 우리에게 시사한다. 데이터베이스 보안 위험 이벤트가 발생할 확률은 매우 낮지만 침입 방지 시스템 활동에서 여전히 발생하고 발생할 수 있으므로 무시할 수 없습니다.
머피의 법칙은 데이터베이스 보안에 적극적으로 적용됩니다.
1) 데이터베이스 침입 방지 보안 인식 강화.
데이터베이스는 이미 기업 보안 보호의 핵심이 되었다. 데이터베이스 안전하지 않은 상태에서 돌발적인 사건이 발생하는 것을 막기 위해 발생할 수 있는 데이터베이스 보안 위협의 필연성을 이해하려면 네트워크 계층, 애플리케이션 계층, 데이터베이스 계층에서 비즈니스 시스템 (미들웨어) 및 운영 유지 관리 DBA 를 포괄하는 사전 예방 조치를 취해야 합니다. 데이터베이스 침입이 불가피한 만큼 감사 증거와 증거 보존은 원래의 데이터베이스 액세스 기록을 완벽하게 확보하고 확실한 증거를 확보해야 한다. (윌리엄 셰익스피어, 윈스턴, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스)
2) 보안 관리를 표준화하고 데이터베이스 보안 제어를 올바르게 이해합니다.
안전관리의 목표는 사고의 발생을 근절하는 것이고, 사고는 자주 발생하지 않는 사고이며, 이러한 사고의 발생 확률은 일반적으로 매우 적다. 이러한 작은 확률 사건은 대부분의 경우 발생하지 않기 때문에 관리 소홀은 종종 사고 발생의 주관적인 원인이다. 머피의 법칙은 데이터베이스와 업무 데이터의 안전 통제를 소홀히 해서는 안 된다고 우리에게 경고했다. 데이터베이스 보안을 보장하기 위해서는 기초부터 시작해야 하며, 데이터베이스의 기본 보안 구성에 대해 통일된 보안 기준을 형성하고, 데이터베이스에 대한 액세스 행위를 화이트리스트에 올리고, 적극적인 예방 방법과 조치를 취하여 돌발사건 발생을 방지해야 한다. (윌리엄 셰익스피어, 윈스턴, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스, 데이터베이스)
3) 관념을 바꾸고 수동적인 데이터베이스 침입 방어를 주동적이다.
전통적인 안전 관리는 수동적인 안전 관리, 즉 안전 관리 활동에서 안전 조치를 취하거나 사고 발생 후 교훈을 총결하여' 소 잃고 외양간 고치다' 를 관리하는 것이다. IT 네트워크 기술의 급속한 발전에 따라 보안 공격 수단이 끊임없이 변화하고, 새로운 보안 위협이 계속 발생하고, 데이터베이스 보안 사건의 인센티브가 증가하고 있습니다. 그러나 기존의 네트워크 기반 침입 방지 시스템 모델은 현재 데이터베이스 보안 방어의 요구를 충족하기가 어렵습니다. 따라서 기존 보안 위협에 주의를 기울여야 할 뿐만 아니라, 새로운 위험 파악, 사전 학습, 모달 분석, 적시에 정확한 위험 활동 차단, 수동을 주동으로 전환하여 데이터베이스 침입 방어의 주도권을 확고히 파악해야 합니다.
1. 직렬 및 병렬 데이터베이스 침입 방지 시스템 분쟁
데이터베이스 침입 방지 시스템은 직렬 또는 우회 배포를 통해 비즈니스 시스템과 데이터베이스 간의 액세스 동작을 정확하게 식별하고 차단할 수 있습니다. 뿐만 아니라 합리적인 이용은 사전 예방적 방어와 사후 감사 추적 기능도 갖추고 있다.
그러나 bypass 의 차단 행위가 좋지 않다고 생각하는 사용자도 있지만, 인터넷에 연결돼 실시간 차단을 이뤄 업무 액세스에 영향을 미칠까 봐 우려하는 사용자도 있다.
비즈니스 시스템과 데이터베이스 사이에 Tandem 모드를 배포하고, 트래픽 프로토콜을 통해 모든 SQL 문을 디코딩하고, TCP/IP 5 튜플 (주소, 포트 및 프로토콜), 액세스 제어 요소 및 데이터베이스 운영 동작을 기준으로 보안 정책을 검토하고, 자율 동적 모델링 학습의 화이트리스트 규칙과 함께 악의적인 데이터베이스 지시어를 정확하게 식별하고, 세션을 적시에 차단하거나, 악의적인 운영문을 정확하게 차단할 수 있습니다. 연결 모드 배포의 가장 큰 위험은 오판이 있어서는 안 된다는 것입니다. 그렇지 않으면 정상적인 명령문의 통과에 영향을 줄 수 있습니다. 이를 위해서는 시스템의 SQL 문 분석 기능이 매우 정교한 동작 모델을 만들 수 있을 만큼 정확해야 합니다. 위험 명령문이 발견되면 세션을 중단하거나 정상적인 액세스 요청에 영향을 주지 않고 위험 명령문을 정확하게 차단할 수 있습니다. 따라서 데이터베이스 침입 방지 시스템을 최대한 활용하려면 데이터베이스 프런트엔드에 물리적 (투명 브리지) 또는 논리적 (역방향 에이전트) 으로 연결해야 합니다.
우회 배포 모드. 현재 일반적인 방법은 RESET 명령을 전송하여 세션 재설정을 강제하는 것입니다. 트래픽이 적은 경우에 가장 효과적입니다. 비즈니스 시스템이 큰 동시 상황에서 초당 SQL 트랜잭션 수가 10000 보다 크면 이러한 우회 식별 차단이 차단되지 않고 지연이 발생할 수 있습니다. 지연으로 인해 차단 요청이 SQL 문이 실행된 후에 전송되어 일반 비즈니스 요청에 영향을 줄 수 있습니다. 따라서, 높은 동시, 높은 트래픽 시나리오에서, 실시간 정확한 차단 효과를 달성 하기 위해, 데이터베이스 침입 방지 시스템은 초고급 처리 성능을 갖추고 있어야 합니다.
직렬 또는 우회 배포에 더 적합하려면 해당 비즈니스 시스템 시나리오를 일치시켜야 합니다. 데이터베이스 침입 방어 시스템의 궁극적인 의미는 그것의 방어 효과, 즉 위험문에 대한 정확한 차단 능력에 있다. 머피의 법칙의 비교 분석에서 볼 때, 우회 배치 차단 요청은 필연적이다. 그러나 직렬 포트 연결이 업무 액세스에 미치는 영향에 대해 우려하는 사람들이 있어 항상 발생한다. 이러한 위험에 직면하여 Dell 은 데이터베이스 침입 방지 시스템의 정확한 차단 능력에 대해 더 높은 요구 사항을 가지고 있으며 이러한 위험을 최소화하려고 합니다.
2. 데이터베이스 침입 방지 시스템 직렬 실시간 동기 차단 및 비동기 차단 분쟁.
데이터베이스 침입 방지 시스템의 직렬 병렬 분쟁과 비교했을 때, 동기 차단 및 비동기 차단 연결은 더욱 세분화되어 있으며, 시장에는 두 가지 연결 데이터베이스 침입 방지 시스템이 있습니다.
하나는 IBM Guardium 으로 대표되는 로컬 에이전트 엔진의 온라인 모니터링에 대한 비동기 차단입니다. 위험 명령문이 에이전트를 통해 DBMS 로 전송되면 에이전트는 컨텐츠 정보 사본을 분석 센터로 보내고 분석 센터는 불법 또는 침입 방지 규칙을 위반하는지 확인한 다음 차단 지침을 에이전트에 보냅니다. 이러한 배포의 장점은 데이터베이스의 네트워크 환경에만 국한되지 않고 IP 에 도달할 수 있다는 것이 분명합니다. 즉, 에이전트가 센터와 통신하는 동안 SQL 액세스를 해제합니다. 즉, 처음 몇 개의 패킷에 치명적인 공격문이 나타나면 이 공격이 효과적으로 실행됩니다. 즉, 방어 시스템이 효과적으로 우회됩니다.
또 다른 하나는 중국 업체 정보로 대표되는 직렬 실시간 동기화 차단이다. 위험한 문장이 직렬 데이터베이스를 통해 방어 시스템을 침입하면 침입 방어 시스템이 위험한 문장을 감지하면 즉시 차단됩니다. 무위험 선언 발표, 이 모델 및 즉각적인 분석은 즉시 판단됩니다. 이러한 배치 모델의 장점은 소확률사건이나 음모가 오래 된 직접공격문도 실시간으로 차단된다는 점이다. 단점도 뚜렷하다. 바로 처리 효율성이다. 데이터베이스 침입 방지 시스템의 처리 효율성이 좋지 않으면 대기 상태가 나타나 업무 연속성에 영향을 줍니다. 관건은 이 균형점을 잘 파악해야 하고, 적어도 무의식적이어야 한다는 것이다. 이 점의 선택은 각 데이터베이스 보안 공급업체가 SQL 문을 처리하는 알고리즘 기능에 따라 달라집니다.
머피의 법칙은 결코 복잡하지 않다. 이를 데이터베이스 침입 방지 영역에 적용함으로써 데이터베이스 보안에서 무시할 수 없는 작은 확률 위험 이벤트를 드러냅니다. 머피의 법칙을 직시하고 긍정적인 대응으로 전환하려면 머피의 법칙을 충분히 이해하고' 데이터베이스층 보호에는 위험이 없다',' 다른 사람들이 모두 이렇게 한다',' 데이터베이스 침입 방어 시스템 병렬은 잘못 막히지 않는다' 등의 잘못된 관념에 저항해야 한다. 잠재적인 위험만 있으면 사건이 발생할 수 있다는 것을 명심하고 조만간 발생할 것이다. 우리는 이런 습관을 끝내야 한다.