صفحه نخست --> امنیت --> دیوار آتش پایگاه داده یا دیتابیس فایروال (DBF)

دیوار آتش پایگاه داده یا دیتابیس فایروال (DBF)

دیوار آتش پایگاه داده:

در حال حاضر سیستم­ های اطلاعاتی در امور مختلف مورد استفاده قرار می­گیرند که اغلب آن‌ها مبتنی بر پایگاه داده های آسیب پذیر هستند. همچنین با توجه به امکان بالای وجود ضعف های امنیتی در برنامه­ های کاربردی و امکان سوءاستفاده و حمله به پایگاه داده­ ها از طریق لایه برنامه کاربردی لازم است که پرس­وجوهای مشکوک، غیرضروری و مخرب توسط دیواره آتش پایگاه داده که یکی از روش های دفاع در عمق است تشخیص داده شده و جلوی اجرای آن‌ها گرفته شود. تعدادی از محصولات مطرح دنیا در حوزه دیوار آتش پایگاه داده به شرح زیر است.

دیتابیس فایروال
دیتابیس فایروال
  1. دیوار آتش پایگاه داده SecureSphere متعلق به شرکت Imperva

Imperva پیشگام و پیش‌رو در دسته‌ی جدیدی از راه‌حل‌های امنیتی داده برای داده‌های کسب‌وکار بسیار با ارزش در مرکز داده است. با بیش از ۱۸۰۰ مشتری کاربر نهایی و هزاران سازمان حفاظت‌شده از طریق توسعه‌های مبتنی بر ابر، مشتریان Imperva شامل شرکت‌های پیش‌رو، سازمان‌های دولتی، و فراهم‌کنندگان خدمات مدیریتی که برای جلوگیری از سرقت اطلاعات حساس توسط نفوذگران یا کارمندان داخلی ازImperva  استفاده می‌کنند. Imperva SecureSphere که برنده‌ی جایزه نیز شده است، داده‌های با ارزش را میان پرونده‌های سیستمی، برنامه‌های کاربردی وب و پایگاه‌های داده شناسایی و ایمن می‌کند. دیواره آتشSecureSphere  محصولی است که از بانک‌های اطلاعاتی در مقابل حملات خراب‌کارانه، از بین رفتن و سرقت اطلاعات محافظت می‌کند. این نرم‌افزار نظارت همیشگی بر روی بانک اطلاعاتی را بر عهده گرفته و در صورت بروز مشکل از مکانیزم‌هایی همانند پیام هشدار و یا مسدود نمودن ترافیک استفاده می‌کند. این ابزار با ایجاد سیاست‌های امنیتی و قوانین حسابرسی، از اطلاعات و منابع اطلاعاتی محافظت می‌کند.

  1. دیوار آتش پایگاه داده SQL/Protect متعلق به شرکت EnterpriseDB

دیواره آتش SQL/Protect به صورت یک بسته نرم‌افزاری PostgrePlus ارائه می‌گردد. این نرم‌افزار تنها برای پایگاه داده Postgresql ارائه گردیده است.

دیواره آتش SQL/Protect  یک افزونه است که به پایگاه داده PostgreSql امکان محافظت در مقابل انواع حملات تزریق SQL را می‌دهد. توسط این افزونه پرس و جوهای معتبر و سالم با الگوی مشخص نمایش داده می‌شود اما از نمایش و اجرای پرس و جوی‌ و الگوهای غیر معتبر ممانعت به عمل آمده و مسدود می‌گردند.

  1. دیوار آتش پایگاه داده Oracle

در ماه می ۲۰۱۰، شرکت Oracle با خرید شرکت Secerno، اقدام به طراحی نسل بعدی تکنولوژی دیواره‌ی آتش که یک موتور تحلیل دستورات SQL پیچیده با تحلیل دستورات ارسالی به سمت پایگاه داده است نمود. دیواره‌ی آتش پایگاه داده‌ی Oracle نتیجه‌ی استفاده از محصول شرکت Secerno و توسعه‌های دیگر Oracle است. برخلاف دیواره‌های آتش و ابزارهای نظارتی فعالیت‌های پایگاه‌های داده قدیمی، دیواره‌ی آتش Oracle بر عبارات باقاعده که برای نگهداری سنگین است تکیه نمی‌کند. این محصول امنیتی بر اطلاعات رد و بدل شده‌ی پایگاه داده نظارت کرده و دستورات و عبارات را با دقت و کارایی بالا بررسی می‌کند.

  1. دیوار آتش پایگاه داده GreenSQL

محصول امنیتی GreenSQL راه‌حل‌های یکپارچه امنیتی پایگاه داده را برای کسب‌وکارهای با اندازه‌ی کوچک و متوسط ارائه می‌دهد. این شرکت متعهد شده است که با امنیت پایگاه داده‌ی مقرون به صرفه و آسان برای مدیریت هر شرکت، از اطلاعات محافظت کند. با یک رویکرد همه در یکی برای امنیت پایگاه داده، بسترهای مبتنی بر نرم‌افزار GreenSQL امنیت، ذخیره‌سازی، ممیزی و پوشش داده‌های پویای پایگاه داده را در یک بسته پیشنهاد می‌دهد.

فعالیت های عمده ای که از یک دیوار آتش پایگاه داده انتظار میرود عبارتست از:

  • جلوگیری از سوء استفاده روی مجوزهای اعطا شده بیش از حد نیاز کاربران
  • جلوگیری از سوءاستفاده روی مجوزهای قانونی
  • برطرف نمودن مشکلات مربوط به دنباله ممیزی در سمپادها
  • جلوگیری از منع سرویس
  • مقابله با حملات تزریق
دیوار آتش پایگاه داده
دیوار آتش پایگاه داده

در ادامه هریک از این قابلیت ها را بررسی می کنیم.

  • جلوگیری از سوء استفاده روی مجوزهای اعطا شده بیش از حد نیاز کاربران

امروزه بسیاری از سمپادها سطحی از مکانیسم کنترل دسترسی ریز دانه را درون محصولات خود پیاده ­سازی کرده­اند(مانند امنیت در سطح ردیف در سمپاد Oracle)  اما در عمل پیاده سازی این مکانیسم‌ها توسط کارشناسان پایگاه داده با مشکلاتی روبرو بوده است. فرایند تعریف سیاست‌های امنیتی در سطح پرس و جو روی سطح و یا ردیف جدول برای تمامی کاربران پایگاه داده، پروسه­ای زمانبر می­باشد. این موضوع زمانی وخیم­تر می­شود که با گذشت زمان نیاز باشد تا نقش کاربران تغییر کند در چنین شرایطی سیاست­های اعمال شده روی پرس و جو باید به­روز شود. از سوی دیگر مدیران پایگاه داده وظیفه دارند در مدت زمان کوتاه و محدودی، سیاست­های مناسبی را برای تعداد زیادی کاربر(گاهی تا هزاران کاربر) تعریف کنند. نتیجه این خواهد شد که بسیاری از سازمان­ها مجموعه سیاست­های مشخصی را تعریف کرده تا طیف وسیعی از کاربران را پوشش دهد.

راه حل مناسب دیگر بهره­گیری از ابزار هوشمند شناسایی پرس و جوها روی پایگاه داده است. این ابزارها می­توانند برای دسترسی هر کاربر و برنامه کاربردی به پایگاه داده نمایه­ای پویا تولید کنند. سامانه مدیریت یکپارچه امنیت پایگاه داده، این امکان را فراهم می­کند که با یادگیری ترافیک، نمایه­ای مجاز را برای کاربر یا برنامه کاربردی تولید کند و این رفتار را به عنوان ترافیک قانونی در نظر بگیرد. پس از آن تمامی ترافیک عبوری ابتدا با نمایه­های ساخته شده تطبیق داده می­شود و در صورت صحت، اجازه عبور خواهد یافت.

  • جلوگیری از سوءاستفاده مجوزهای قانونی

کاربران همچنین می­توانند از مجوزهای قانونی خود برای انجام مقاصد غیرمجاز بهره گیرند. برای مثال کارمندی را در یک مرکز بهداشت و درمان در نظر بگیرید که مجوز مشاهده اطلاعات بیماران را از طریق یک برنامه کاربردی تحت وب دارا می­­باشد. ساختار این برنامه کاربردی تحت وب به گونه­ای است که محدودیت‌هایی را بر کاربران اعمال می­کند از جمله این محدودیت­ها می­توان به عدم مشاهده سوابق بیماران و یا نمونه ­برداری از سوابق بیماران توسط کارمندان اشاره کرد. در چنین شرایطی کارمند متخطی برای عبور از محدودیت­های برنامه کاربردی تلاش می­کند تا از طریق برنامه دیگری مانند Ms-Excel به پایگاه داده متصل شود و اعمال مخرب خود را انجام دهد.

راه­ حل جلوگیری از سوء استفاده از مجوزهای قانونی همانند حالت قبل، استفاده از کنترل دسترسی است، اما این کنترل دسترسی تنها به پرس و جوهای وارده به پایگاه داده محدود نبوده و محیط پیرامون آن را نیز شامل می­شود. با بهره گیری از ابزاری همچون سامانه مدیریت یکپارچه امنیت پایگاه داده می­توان با اعمال سیاست­ها روی برنامه کاربردی، زمان، روز، موقعیت مکانی کاربر و … کاربرانی را شناسایی نمود که از مجوزهای قانونی برای اهداف خصمانه سوء استفاده می­کنند.

  • برطرف نمودن مشکلات مربوط به دنباله ممیزی در پایگاه داده

ثبت خودکار تمام داده­ های حساس و/ یا غیرمعمول تراکنش‌های پایگاه داده باید قسمتی از پایه و اساس هر پیاده­سازی پایگاه داده را به خود اختصاص دهد. سیاست­های ضعیف ممیزی پایگاه داده می­تواند منجر به وقوع تهدیدات جدی در سطوح مختلف سازمان شود.

امروزه نرم افزارهای تعبیه شده درون سمپادها امکانات ممیزی را به شکلی ابتدایی در کنار یکدیگر ادغام کرده­اند که به دلیل وجود برخی ضعف­ها پیاده­سازی آن‌ها را با محدودیت‌هایی مواجه ساخته است. در ادامه به برخی از این محدودیت‌ها اشاره می­کنیم:

  • فقدان حسابرسی صحیح کاربران
  • تنزل کارایی
  • عدم رعایت صحیح تفکیک وظایف
  • ریزدانگی محدود
  • مالکیت اختصاصی­
  1. جلوگیری از منع سرویس (DOS)

حمله منع سرویس حمله­ ای معمول است که مهاجمان سعی می­کنند دسترسی افراد را به برنامه کاربردی یا داده منع کنند. گستره این حملات وسیع بوده و توسط تکنیک‌های مختلفی پیاده سازی می­شوند. به عنوان مثال یک مهاجم می­تواند از یک آسیب­پذیری روی سمپادها استفاده کرده و سرویس­دهنده را از کار بیندازد و یا با ارسال تعداد زیادی بسته موجب از دسترس خارج شدن سرویس ­دهنده شود. پایگاه‌های داده هیچگاه به تنهایی قادر به دفع حملات تکذیب سرویس نیستند و نیاز است تا از یک ابزار خارجی نظیر سامانه مدیریت یکپارچه امنیت پایگاه داده بهره گرفته شود تا قبل از رسیدن ترافیک به پایگاه‌های داده، واکنش مناسب صادر گردد.

۵٫مقابله با حملات تزریق عبارت (SQL Injection)

 اگر چه به‌کارگیری تکنیک‌هایی همچون اعتبارسنجی ورودی‌های کاربر در سمت برنامه کاربردی، استفاده از رویه‌های ذخیره شده در سمت پایگاه داده و یا اعطای حداقل مجوز به شناسه کاربری و یا نقشی که اتصال به پایگاه داده از طریق آن صورت می‌گیرد به عنوان روش‌های عمومی مقابله با حملات تزریق عبارت SQL توصیه می‌شوند اما عدم به‌کارگیری این روش‌ها توسط اکثر توسعه‌دهندگان برنامه‌های کاربردی و نیز در پاره‌ای مواقع ناممکن بودن پیاده‌سازی چنین روش‌هایی باعث شده است که همچنان حملات تزریق عبارت SQL ، امنیت پایگاه داده‌ها را تهدید کنند. یکی از روش‌هایی که می‌تواند به عنوان یک مکانیزم دفاعی قدرتمند جلوی حملات تزریق عبارت SQL را بگیرد، استفاده از دیواره آتش پایگاه داده است. دیواره آتش پایگاه داده به عنوان یک واسط در بین برنامه کاربردی و پایگاه داده قرار می‌گیرد و تمامی پرس‌وجوهای ارسالی به پایگاه داده را وارسی می‌کند.

اکنون که لزوم وجود سامانه مدیریت یکپارچه امنیت پایگاه در شبکه داخلی مشخص گردید، می‌باید در کوتاه‌ترین زمان ممکن شبکه‌های خود را به چنین ابزاری تجهیز کنیم.

در صورت علاقه مندی به پایگاه داده های غیر رابطه ای بر روی اینجا کلیک کنید.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *