AVDF数据库防火墙_白皮书_2013
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Oracle 白皮书
2013 年 6 月
Oracle Audit Vault and Database Firewall
Oracle Audit Vault and Database Firewall
引言 (2)
Oracle Audit Vault and Database Firewall 概述 (3)
审计与监视概述 (3)
Audit Vault (4)
Database Firewall (6)
白名单策略执行 (6)
黑名单策略执行 (6)
例外名单策略执行 (6)
处理未授权的 SQL (6)
报告 (7)
合规性报告 (8)
活动报告 (8)
授权报告 (9)
存储过程审计报告 (9)
警报与通知 (9)
可扩展性和安全性 (10)
部署 (11)
Database Firewall 网络部署 (11)
审计代理部署 (12)
策略编辑和管理 (12)
自定义审计信息收集插件 (12)
与第三方解决方案的集成 (13)
总结 (14)
引言
网络威胁、隐私法以及萨班斯-奥克斯利法案 (SOX)、支付卡行业数据安全标准 (PCI-DSS) 等众所周知的法规所催生的信息保护工作已成为企业面临的首要问题。Verizon RISK Team 发布的 2012 数据泄漏调查报告显示,在所有的数据泄露事件中,有 94%与服务器有关。该项调查与政府和学术机构进行的各种研究和调查均表明,大部分数据泄露是由SQL 注入、凭证失窃所引发,或由有权访问系统及其数据的内部人员所导致。保护服务器上的数据安全需采用纵深防御方法,这同时涉及到技术和管理功能,涵盖预防、检测和管理控制等各个环节。
“信任但要验证”原则不仅适用于有权直接访问主机和数据库的特权用户,也适用于访问数据库的应用程序。如今,大多数应用程序均作为深受信赖的用户,使用单一大用户帐户与Oracle 或非Oracle 数据库进行通讯。这种应用程序架构,以及越来越多通过SQL 注入或特权用户帐户攻击数据库的事件,使检测控制的部署成为整体纵深防御安全战略中极为重要的环节。
部署监视解决方案时需要注意的是,解决方案对目标系统的活动探查得越细致越深入,所收集信息的质量和精确度就越高。此外,搞清与每个系统相关的风险也很重要,这样才能确定系统活动所需的探查精度与深度。为便于理解此概念,我们以大楼正门入口的摄像头或保安来打个比方。两者都可以看到进入大楼的目标,但只有保安能阻止目标进入大楼,而对于大楼内部发生的状况,两者都无法尽收眼底。假如把大楼看成一个数据库,摄像头和保安只能在 SQL 语句到达数据库前对其进行监视,而一旦 SQL 语句在数据库内执行,情况如何就难以知晓了,这便是问题的棘手之处。由存储过程衍生出来的递归 SQL、动态 SQL、特权用户操作、调度的作业、触发器执行、应用程序用户名以及“事前”和“事后”数据值都属于从数据库外部很难看到的信息,但对于数据库内部的审计系统,这些信息均一览无余。因此,监视值直接关系到所收集信息的质量和等级,同时也影响到警报和报告功能。
Oracle Audit Vault and Database Firewall 概述
Oracle Audit Vault and Database Firewall 通过整合来自 Oracle 和非 Oracle 数据库、操作系统、目录和文件系统的审计数据以及特定于应用程序的审计数据,提供全面而灵活的监视功能。同时,Oracle Database Firewall 能够充任第一道网络防线,强制要求应用程序行为符合预期,进而防止 SQL 注入、应用程序绕行以及其他恶意活动到达数据库。Oracle Audit Vault and Database Firewall 能够整合数千个数据库的审计数据,同时监视SQL 流量,以便找出未授权或违反策略的SQL 语句,对其发出警报并进行阻止。其现成可用的几十种报告,外加一个自定义的报告界面,使用户可以纵览不管是通过网络还是通过审计日志监测到的整个企业内的数据库活动。Oracle Audit Vault and Database Firewall 支持 Oracle 数据库、Microsoft SQL Server、适用于LUW(Linux、Unix、Windows)的IBM DB2、SAP Sybase ASE 以及Oracle MySQL 数据库。
图 1:Oracle Audit Vault and Database Firewall
审计与监视概述
在过去10 年中,审计已成为实现合规性及进行数据侵犯取证分析的一项重要工具。对于所采取的行动,无论是由数据库、目录还是由操作系统引发的,审计记录均可提供无可辩驳的铁证。事件类型(创建表、删除表、创建步骤、截断表、选择、插入、更新、删除)等信息,加上初始 IP 地址、事件时间以及实际的 SQL 语句等事件上下文,这些是合规性和取证报告通常需要的审计信息的少数几个例子(参见图2)。Oracle Audit Vault and Database Firewall 能够整合来自数据库、操作系统、文件系统和目录的审计信息,能够给出相应报告和发出相应警报。
图 2:Oracle Audit Vault and Database Firewall 中的审计日志示例
监视包括对生成审计数据的初始事件(SQL 语句)进行检测。由于对SQL 流量的监视在数据库之外进行,Database Firewall 可以决定是否允许、修改、阻止某个事件或对其发出警
报。图 3 给出的示例报告是 SQL 注入尝试被阻止的情况。
图 3:Database Firewall SQL 监视
Audit Vault
Audit Vault 作为一个扩展性、安全性极佳的中央信息库,可存储整合的审计数据以及Database Firewall 生成的事件日志。Audit Vault 是报告、警报和策略管理的核心平台。通过使用轻型代理,从目标系统传输审计数据,然后根据需要可以将其从目标系统中删除。Audit
Vault 不仅可以整合所有数据库源的审计信息,而且可以扩展至自定义的源,包括 Oracle 与