دیوار آتش پایگاه داده یا دیتابیس فایروال (DBF)
دیوار آتش پایگاه داده:
در حال حاضر سیستم های اطلاعاتی در امور مختلف مورد استفاده قرار میگیرند که اغلب آنها مبتنی بر پایگاه داده های آسیب پذیر هستند. همچنین با توجه به امکان بالای وجود ضعف های امنیتی در برنامه های کاربردی و امکان سوءاستفاده و حمله به پایگاه داده ها از طریق لایه برنامه کاربردی لازم است که پرسوجوهای مشکوک، غیرضروری و مخرب توسط دیواره آتش پایگاه داده که یکی از روش های دفاع در عمق است تشخیص داده شده و جلوی اجرای آنها گرفته شود. تعدادی از محصولات مطرح دنیا در حوزه دیوار آتش پایگاه داده به شرح زیر است.
- دیوار آتش پایگاه داده SecureSphere متعلق به شرکت Imperva
Imperva پیشگام و پیشرو در دستهی جدیدی از راهحلهای امنیتی داده برای دادههای کسبوکار بسیار با ارزش در مرکز داده است. با بیش از 1800 مشتری کاربر نهایی و هزاران سازمان حفاظتشده از طریق توسعههای مبتنی بر ابر، مشتریان Imperva شامل شرکتهای پیشرو، سازمانهای دولتی، و فراهمکنندگان خدمات مدیریتی که برای جلوگیری از سرقت اطلاعات حساس توسط نفوذگران یا کارمندان داخلی ازImperva استفاده میکنند. Imperva SecureSphere که برندهی جایزه نیز شده است، دادههای با ارزش را میان پروندههای سیستمی، برنامههای کاربردی وب و پایگاههای داده شناسایی و ایمن میکند. دیواره آتشSecureSphere محصولی است که از بانکهای اطلاعاتی در مقابل حملات خرابکارانه، از بین رفتن و سرقت اطلاعات محافظت میکند. این نرمافزار نظارت همیشگی بر روی بانک اطلاعاتی را بر عهده گرفته و در صورت بروز مشکل از مکانیزمهایی همانند پیام هشدار و یا مسدود نمودن ترافیک استفاده میکند. این ابزار با ایجاد سیاستهای امنیتی و قوانین حسابرسی، از اطلاعات و منابع اطلاعاتی محافظت میکند.
- دیوار آتش پایگاه داده SQL/Protect متعلق به شرکت EnterpriseDB
دیواره آتش SQL/Protect به صورت یک بسته نرمافزاری PostgrePlus ارائه میگردد. این نرمافزار تنها برای پایگاه داده Postgresql ارائه گردیده است.
دیواره آتش SQL/Protect یک افزونه است که به پایگاه داده PostgreSql امکان محافظت در مقابل انواع حملات تزریق SQL را میدهد. توسط این افزونه پرس و جوهای معتبر و سالم با الگوی مشخص نمایش داده میشود اما از نمایش و اجرای پرس و جوی و الگوهای غیر معتبر ممانعت به عمل آمده و مسدود میگردند.
- دیوار آتش پایگاه داده Oracle
در ماه می 2010، شرکت Oracle با خرید شرکت Secerno، اقدام به طراحی نسل بعدی تکنولوژی دیوارهی آتش که یک موتور تحلیل دستورات SQL پیچیده با تحلیل دستورات ارسالی به سمت پایگاه داده است نمود. دیوارهی آتش پایگاه دادهی Oracle نتیجهی استفاده از محصول شرکت Secerno و توسعههای دیگر Oracle است. برخلاف دیوارههای آتش و ابزارهای نظارتی فعالیتهای پایگاههای داده قدیمی، دیوارهی آتش Oracle بر عبارات باقاعده که برای نگهداری سنگین است تکیه نمیکند. این محصول امنیتی بر اطلاعات رد و بدل شدهی پایگاه داده نظارت کرده و دستورات و عبارات را با دقت و کارایی بالا بررسی میکند.
- دیوار آتش پایگاه داده GreenSQL
محصول امنیتی GreenSQL راهحلهای یکپارچه امنیتی پایگاه داده را برای کسبوکارهای با اندازهی کوچک و متوسط ارائه میدهد. این شرکت متعهد شده است که با امنیت پایگاه دادهی مقرون به صرفه و آسان برای مدیریت هر شرکت، از اطلاعات محافظت کند. با یک رویکرد همه در یکی برای امنیت پایگاه داده، بسترهای مبتنی بر نرمافزار GreenSQL امنیت، ذخیرهسازی، ممیزی و پوشش دادههای پویای پایگاه داده را در یک بسته پیشنهاد میدهد.
فعالیت های عمده ای که از یک دیوار آتش پایگاه داده انتظار میرود عبارتست از:
- جلوگیری از سوء استفاده روی مجوزهای اعطا شده بیش از حد نیاز کاربران
- جلوگیری از سوءاستفاده روی مجوزهای قانونی
- برطرف نمودن مشکلات مربوط به دنباله ممیزی در سمپادها
- جلوگیری از منع سرویس
- مقابله با حملات تزریق
در ادامه هریک از این قابلیت ها را بررسی می کنیم.
- جلوگیری از سوء استفاده روی مجوزهای اعطا شده بیش از حد نیاز کاربران
امروزه بسیاری از سمپادها سطحی از مکانیسم کنترل دسترسی ریز دانه را درون محصولات خود پیاده سازی کردهاند(مانند امنیت در سطح ردیف در سمپاد Oracle) اما در عمل پیاده سازی این مکانیسمها توسط کارشناسان پایگاه داده با مشکلاتی روبرو بوده است. فرایند تعریف سیاستهای امنیتی در سطح پرس و جو روی سطح و یا ردیف جدول برای تمامی کاربران پایگاه داده، پروسهای زمانبر میباشد. این موضوع زمانی وخیمتر میشود که با گذشت زمان نیاز باشد تا نقش کاربران تغییر کند در چنین شرایطی سیاستهای اعمال شده روی پرس و جو باید بهروز شود. از سوی دیگر مدیران پایگاه داده وظیفه دارند در مدت زمان کوتاه و محدودی، سیاستهای مناسبی را برای تعداد زیادی کاربر(گاهی تا هزاران کاربر) تعریف کنند. نتیجه این خواهد شد که بسیاری از سازمانها مجموعه سیاستهای مشخصی را تعریف کرده تا طیف وسیعی از کاربران را پوشش دهد.
راه حل مناسب دیگر بهرهگیری از ابزار هوشمند شناسایی پرس و جوها روی پایگاه داده است. این ابزارها میتوانند برای دسترسی هر کاربر و برنامه کاربردی به پایگاه داده نمایهای پویا تولید کنند. سامانه مدیریت یکپارچه امنیت پایگاه داده، این امکان را فراهم میکند که با یادگیری ترافیک، نمایهای مجاز را برای کاربر یا برنامه کاربردی تولید کند و این رفتار را به عنوان ترافیک قانونی در نظر بگیرد. پس از آن تمامی ترافیک عبوری ابتدا با نمایههای ساخته شده تطبیق داده میشود و در صورت صحت، اجازه عبور خواهد یافت.
- جلوگیری از سوءاستفاده مجوزهای قانونی
کاربران همچنین میتوانند از مجوزهای قانونی خود برای انجام مقاصد غیرمجاز بهره گیرند. برای مثال کارمندی را در یک مرکز بهداشت و درمان در نظر بگیرید که مجوز مشاهده اطلاعات بیماران را از طریق یک برنامه کاربردی تحت وب دارا میباشد. ساختار این برنامه کاربردی تحت وب به گونهای است که محدودیتهایی را بر کاربران اعمال میکند از جمله این محدودیتها میتوان به عدم مشاهده سوابق بیماران و یا نمونه برداری از سوابق بیماران توسط کارمندان اشاره کرد. در چنین شرایطی کارمند متخطی برای عبور از محدودیتهای برنامه کاربردی تلاش میکند تا از طریق برنامه دیگری مانند Ms-Excel به پایگاه داده متصل شود و اعمال مخرب خود را انجام دهد.
راه حل جلوگیری از سوء استفاده از مجوزهای قانونی همانند حالت قبل، استفاده از کنترل دسترسی است، اما این کنترل دسترسی تنها به پرس و جوهای وارده به پایگاه داده محدود نبوده و محیط پیرامون آن را نیز شامل میشود. با بهره گیری از ابزاری همچون سامانه مدیریت یکپارچه امنیت پایگاه داده میتوان با اعمال سیاستها روی برنامه کاربردی، زمان، روز، موقعیت مکانی کاربر و … کاربرانی را شناسایی نمود که از مجوزهای قانونی برای اهداف خصمانه سوء استفاده میکنند.
- برطرف نمودن مشکلات مربوط به دنباله ممیزی در پایگاه داده
ثبت خودکار تمام داده های حساس و/ یا غیرمعمول تراکنشهای پایگاه داده باید قسمتی از پایه و اساس هر پیادهسازی پایگاه داده را به خود اختصاص دهد. سیاستهای ضعیف ممیزی پایگاه داده میتواند منجر به وقوع تهدیدات جدی در سطوح مختلف سازمان شود.
امروزه نرم افزارهای تعبیه شده درون سمپادها امکانات ممیزی را به شکلی ابتدایی در کنار یکدیگر ادغام کردهاند که به دلیل وجود برخی ضعفها پیادهسازی آنها را با محدودیتهایی مواجه ساخته است. در ادامه به برخی از این محدودیتها اشاره میکنیم:
- فقدان حسابرسی صحیح کاربران
- تنزل کارایی
- عدم رعایت صحیح تفکیک وظایف
- ریزدانگی محدود
- مالکیت اختصاصی
- جلوگیری از منع سرویس (DOS)
حمله منع سرویس حمله ای معمول است که مهاجمان سعی میکنند دسترسی افراد را به برنامه کاربردی یا داده منع کنند. گستره این حملات وسیع بوده و توسط تکنیکهای مختلفی پیاده سازی میشوند. به عنوان مثال یک مهاجم میتواند از یک آسیبپذیری روی سمپادها استفاده کرده و سرویسدهنده را از کار بیندازد و یا با ارسال تعداد زیادی بسته موجب از دسترس خارج شدن سرویس دهنده شود. پایگاههای داده هیچگاه به تنهایی قادر به دفع حملات تکذیب سرویس نیستند و نیاز است تا از یک ابزار خارجی نظیر سامانه مدیریت یکپارچه امنیت پایگاه داده بهره گرفته شود تا قبل از رسیدن ترافیک به پایگاههای داده، واکنش مناسب صادر گردد.
5.مقابله با حملات تزریق عبارت (SQL Injection)
اگر چه بهکارگیری تکنیکهایی همچون اعتبارسنجی ورودیهای کاربر در سمت برنامه کاربردی، استفاده از رویههای ذخیره شده در سمت پایگاه داده و یا اعطای حداقل مجوز به شناسه کاربری و یا نقشی که اتصال به پایگاه داده از طریق آن صورت میگیرد به عنوان روشهای عمومی مقابله با حملات تزریق عبارت SQL توصیه میشوند اما عدم بهکارگیری این روشها توسط اکثر توسعهدهندگان برنامههای کاربردی و نیز در پارهای مواقع ناممکن بودن پیادهسازی چنین روشهایی باعث شده است که همچنان حملات تزریق عبارت SQL ، امنیت پایگاه دادهها را تهدید کنند. یکی از روشهایی که میتواند به عنوان یک مکانیزم دفاعی قدرتمند جلوی حملات تزریق عبارت SQL را بگیرد، استفاده از دیواره آتش پایگاه داده است. دیواره آتش پایگاه داده به عنوان یک واسط در بین برنامه کاربردی و پایگاه داده قرار میگیرد و تمامی پرسوجوهای ارسالی به پایگاه داده را وارسی میکند.
اکنون که لزوم وجود سامانه مدیریت یکپارچه امنیت پایگاه در شبکه داخلی مشخص گردید، میباید در کوتاهترین زمان ممکن شبکههای خود را به چنین ابزاری تجهیز کنیم.
در صورت علاقه مندی به پایگاه داده های غیر رابطه ای بر روی اینجا کلیک کنید.
آدرس کانال تلگرام سایت بیگ دیتا:
آدرس کانال سروش ما:
https://sapp.ir/bigdata_channel
جهت دیدن سرفصل های دوره های آموزشی بر روی اینجا کلیک کنید.
بازدیدها: 4262
برچسبdatabase firewall DBF امنیت پایگاه داده دیتا بیس فایروال دیتابیس فایروال دیوار آتش بانک اطلاعات دیوار آتش بانک های اطلاعاتی دیوار آتش پایگاه داده دیوار آتش پایگاه داده ها دیوار آتش دیتا بیس دیوار آتش دیتابیس سمپاد فایروال پایگاه داده
یک دیدگاه
بازتاب ها: سوالات مصاحبه نرم افزار، هوش مصنوعی، فناوری اطلاعات، امنیت و شبکه - خانه بیگ دیتا