警告：不要認(rèn)為有了WAF的保護(hù)，數(shù)據(jù)庫(kù)安全就可以高枕無(wú)憂了，數(shù)據(jù)庫(kù)仍然有很大的暴露風(fēng)險(xiǎn)，

為什么WAF（WebApplicationFirewall）不能確保數(shù)據(jù)庫(kù)

。

    Web應(yīng)用程序防火墻（WAF）現(xiàn)在已經(jīng)成為很多商業(yè)Web網(wǎng)站和系統(tǒng)的基本保護(hù)措施了，它的確在防范很多針對(duì)Web系統(tǒng)的安全攻擊有比較好的效果，但是WAF在面對(duì)攻擊方式多種多樣的SQL注入方面還是顯得束手無(wú)策。

    背景知識(shí)：什么是WAF？

    Web應(yīng)用防火墻（WAF）是一種基礎(chǔ)的安全保護(hù)模塊，主要針對(duì)HTTP訪問的Web程序的保護(hù)，放在Web應(yīng)用程序前面，在用戶請(qǐng)求到達(dá)Web服務(wù)器前對(duì)用戶請(qǐng)求進(jìn)行掃描和過濾，分析和校驗(yàn)每個(gè)用戶請(qǐng)求的網(wǎng)絡(luò)包，確保每個(gè)用戶請(qǐng)求是有效并安全的，對(duì)無(wú)效或者有攻擊行為的請(qǐng)求進(jìn)行阻斷或隔離。

    WAF可以通過定義一些常見的SQL注入的特征碼對(duì)常見SQL注入提供防護(hù)，比如SQL注入代碼加入到某些命令或某些輸入，這些WAF是沒有問題的。但是市面上的關(guān)系型數(shù)據(jù)的種類非常多，雖然有統(tǒng)一的SQL結(jié)構(gòu)化數(shù)據(jù)查詢語(yǔ)言，但是每個(gè)數(shù)據(jù)庫(kù)的具體實(shí)現(xiàn)有非常多的不一樣，這些不一樣就導(dǎo)致了多種多樣的SQL注入攻擊方式的產(chǎn)生。因此也就導(dǎo)致了像WAF這樣安全保護(hù)系統(tǒng)在不理解應(yīng)用程序的上下文，不熟悉數(shù)據(jù)庫(kù)類型，命令，結(jié)構(gòu)的情況下，僅僅靠分析網(wǎng)絡(luò)數(shù)據(jù)包，加上定義一些數(shù)據(jù)庫(kù)特殊字符黑名單，去防護(hù)多種多樣的SQL注入攻擊是遠(yuǎn)遠(yuǎn)不夠的。

    筆者非常認(rèn)可WAF在Web應(yīng)用安全防護(hù)方面能起比較大的作用，能防護(hù)很多Web攻擊，也非常鼓勵(lì)每個(gè)企業(yè)去使用WAF為Web應(yīng)用程序提供安全保障，但是千萬(wàn)不要天真的認(rèn)為，有了WAF你的數(shù)據(jù)庫(kù)就安全了，這種想法非常的危險(xiǎn)。

    數(shù)據(jù)庫(kù)暴露的訪問點(diǎn)多種多樣

    從WAF的原理來看，WAF并不能完整的保護(hù)Web應(yīng)用程序免受SQL注入攻擊，因?yàn)樗�在Web應(yīng)用程序外部，不了解應(yīng)用程序的上下文，不知道目標(biāo)數(shù)據(jù)庫(kù)的類型，這就從根本上決定了WAF只能防范最通用的SQL注入方式。即使WAF做的足夠好能夠防范絕大多數(shù)從Web系統(tǒng)進(jìn)入的SQL注入攻擊，也不能說數(shù)據(jù)庫(kù)就得到了很好的保護(hù)，因?yàn)槟茉L問數(shù)據(jù)庫(kù)的源頭不僅僅是Web系統(tǒng)，還有很多其他途徑能訪問數(shù)據(jù)庫(kù)。

    除了Web系統(tǒng)外還有三類主要的數(shù)據(jù)庫(kù)訪問途徑：

    組織內(nèi)其他應(yīng)用系統(tǒng)能訪問數(shù)據(jù)庫(kù)：比如在電子商務(wù)系統(tǒng)里，價(jià)格和庫(kù)存可能會(huì)用一些自動(dòng)化的腳本來定時(shí)更新。 一些內(nèi)部管理程序可以訪問系統(tǒng)，也可能是一些接口，方便雇員添加信息或者發(fā)送信息給客戶。 還有數(shù)據(jù)庫(kù)DBA，IT經(jīng)理，QA，開發(fā)人員等等內(nèi)部人員通過數(shù)據(jù)庫(kù)管理工具可以訪問數(shù)據(jù)庫(kù)。

    WAF只監(jiān)控通過HTTP方式將來的數(shù)據(jù)，這些潛在的數(shù)據(jù)庫(kù)訪問源頭WAF是毫不知情的，但來自內(nèi)部的攻擊更可怕，內(nèi)部人員非常清楚數(shù)據(jù)庫(kù)的結(jié)構(gòu)和內(nèi)容，目標(biāo)性也更加明確，不是獲取經(jīng)濟(jì)利益就是獲取大量?jī)?nèi)部信息，造成的危害可以說是毀滅性的，比如前兩年發(fā)生在****庫(kù)大規(guī)模泄露事件就很清楚的證明了這一點(diǎn)。同時(shí)現(xiàn)在 攻擊手段越來越高明，技術(shù)已經(jīng)非常成熟，而且在云時(shí)代有明顯邊界的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)越來越少�？傊甒AF對(duì)SQL注入攻擊的防護(hù)作用越來越小。

    多維度數(shù)據(jù)庫(kù)保護(hù)是完全之策

    既然數(shù)據(jù)庫(kù)的方面途徑很多，要想比較好的解決數(shù)據(jù)泄露的的危險(xiǎn)，多維度防護(hù)是最佳方法，只有堵住每條可能泄露的攻擊才能確保數(shù)據(jù)庫(kù)的安全，可能的方法包括但不僅限于：

運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）。 數(shù)據(jù)庫(kù)防火墻，

電腦資料

《為什么WAF（WebApplicationFirewall）不能確保數(shù)據(jù)庫(kù)》(http://www.lotusphilosophies.com)。 模式學(xué)習(xí)過程。 職責(zé)分離。 風(fēng)險(xiǎn)為基礎(chǔ)的政策。 敏感信息屏蔽。 定期審計(jì)管理和訪問敏感信息。

    運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）

    RASP針對(duì)應(yīng)用程序保護(hù)，不僅僅是對(duì)Web應(yīng)用測(cè)試，它將代碼掃描工具的漏洞發(fā)現(xiàn)功能和WAF的實(shí)時(shí)攻擊攔截能力結(jié)合起來，將這些防護(hù)功能像疫苗一樣注入到應(yīng)用程序中，讓應(yīng)用程序像人體擁有疫苗一樣對(duì)攻擊擁有免疫能力，他可以找到所有已知漏洞，像一個(gè)虛擬的大補(bǔ)丁將所有的已知漏洞修補(bǔ)起來，免于大多數(shù)漏洞攻擊，同時(shí)它和應(yīng)用程序一起運(yùn)行是同一個(gè)進(jìn)程，擁有應(yīng)用程序的上下文，了解應(yīng)用程序的每一個(gè)動(dòng)作，因此他能精確的了解每一個(gè)攻擊并能夠?qū)崟r(shí)對(duì)攻擊進(jìn)行防御。比如SQL注入，它在每個(gè)數(shù)據(jù)庫(kù)的JDBC的statement具體實(shí)現(xiàn)里，根據(jù)對(duì)每個(gè)數(shù)據(jù)的不同，有針對(duì)性的將SQL注入

保護(hù)程序注入，這樣就能確保各種可能的SQL注入攻擊得到有效的防范，并且這個(gè)防護(hù)是在應(yīng)用程序訪問數(shù)據(jù)庫(kù)的必經(jīng)之路，是不可繞過的。這兩個(gè)優(yōu)勢(shì)是WAF無(wú)法企及的。如果每個(gè)應(yīng)用程序都進(jìn)行RASP保護(hù)，至少無(wú)論內(nèi)外通過應(yīng)用進(jìn)行SQL注入基本上是不可能的，這樣就可以堵住應(yīng)用程序訪問數(shù)據(jù)庫(kù)的漏洞。目前RASP是比較新的概念，國(guó)外有HP在做，國(guó)內(nèi)好像有一個(gè)初創(chuàng)安全OneASP在做類似的產(chǎn)品，大家有有興趣可以關(guān)注一下。

    數(shù)據(jù)庫(kù)防火墻

    數(shù)據(jù)庫(kù)防火墻技術(shù)是針對(duì)關(guān)系型數(shù)據(jù)庫(kù)保護(hù)需求應(yīng)運(yùn)而生的一種數(shù)據(jù)庫(kù)安全主動(dòng)防御技術(shù)，數(shù)據(jù)庫(kù)防火墻部署于應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)之間。用戶必須通過該系統(tǒng)才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問或管理。數(shù)據(jù)庫(kù)防火墻所采用的主動(dòng)防御技術(shù)能夠主動(dòng)實(shí)時(shí)監(jiān)控、識(shí)別、告警、阻擋繞過企業(yè)網(wǎng)絡(luò)邊界（FireWall、IDS\IPS等）防護(hù)的外部數(shù)據(jù)攻擊、來自于內(nèi)部的高權(quán)限用戶（DBA、開發(fā)人員、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取、破壞、損壞等，從數(shù)據(jù)庫(kù)SQL語(yǔ)句精細(xì)化控制的技術(shù)層面，提供一種主動(dòng)安全防御措施。

    模式匹配學(xué)習(xí)過程

    基于自學(xué)習(xí)機(jī)制的風(fēng)險(xiǎn)管控模型，主動(dòng)監(jiān)控?cái)?shù)據(jù)庫(kù)活動(dòng)，防止未授權(quán)的數(shù)據(jù)庫(kù)訪問、SQL注入、權(quán)限或角色升級(jí)，以及對(duì)敏感數(shù)據(jù)的非法訪問等。

    基于風(fēng)險(xiǎn)管理的策略

    任何類型的數(shù)據(jù)庫(kù)查詢語(yǔ)句或命令，都可以用一些方法來評(píng)估。影響風(fēng)險(xiǎn)評(píng)估的因素包括白名單和黑名單，命令是從哪里過來的，在一定時(shí)間有多少個(gè)類似的命令等等，利用所有的信息，一個(gè)基于規(guī)則的系統(tǒng)可以使用這些信息來通過一系列的規(guī)則來評(píng)估那些命令是可疑的。

    權(quán)責(zé)分明

    為數(shù)據(jù)庫(kù)訪問分配適當(dāng)?shù)臋?quán)限是非常必要的�；�于Web的應(yīng)用程序只應(yīng)該有有限的查詢權(quán)限，數(shù)據(jù)庫(kù)管理員擁有更大的管理權(quán)限是有必要的。通過適當(dāng)?shù)膱?zhí)行職責(zé)分離，可以有效的避免多種數(shù)據(jù)庫(kù)攻擊。

    混淆敏感數(shù)據(jù)

    所有人都應(yīng)該能查看敏感數(shù)據(jù)，甚至包括數(shù)據(jù)庫(kù)管理員，程序員，以及高管。DBA可以執(zhí)行一些數(shù)據(jù)庫(kù)管理任務(wù)，但是沒有必要讓他們能看到數(shù)據(jù)庫(kù)中個(gè)人的敏感數(shù)據(jù)，為了達(dá)到這個(gè)目的，使用一個(gè)非常強(qiáng)大的和實(shí)時(shí)的數(shù)據(jù)混淆解決方案是非常重要的。一些組織使用離線的“生產(chǎn)”系統(tǒng)進(jìn)行屏蔽，但隨著實(shí)時(shí)數(shù)據(jù)的混淆的成熟，實(shí)時(shí)數(shù)據(jù)混淆系統(tǒng)在成本和避免數(shù)據(jù)更新方面有更大的優(yōu)勢(shì)，所有改變都可以實(shí)時(shí)在數(shù)據(jù)庫(kù)中體現(xiàn)。

    定時(shí)審計(jì)對(duì)敏感數(shù)據(jù)的管理和訪問行為

    一致的和可靠的審計(jì)過程中，尋找可疑的活動(dòng)和更新政策，不斷提高數(shù)據(jù)庫(kù)安全有很長(zhǎng)的路要走。今天的數(shù)據(jù)庫(kù)安全產(chǎn)品可以根據(jù)可定制的規(guī)則對(duì)某些種類的訪問提供警報(bào)服務(wù)。

    讓每個(gè)公司都能保護(hù)得起數(shù)據(jù)庫(kù)安全

    在以前數(shù)據(jù)庫(kù)安全保護(hù)只有少數(shù)大公司能夠花大價(jià)錢才能搞好，數(shù)據(jù)庫(kù)防火墻非常昂貴，制定規(guī)則，審計(jì)行為都需要大量的人力去解決，小公司基本沒有能力去做�，F(xiàn)在RASP是一種非常好的解決方案，只要制定簡(jiǎn)單規(guī)則，比如只有管理員能訪問生產(chǎn)數(shù)據(jù)庫(kù)等，其他所有數(shù)據(jù)庫(kù)訪問都通過應(yīng)用程序訪問，而每個(gè)應(yīng)用程序都安裝RASP保護(hù)程序，這樣數(shù)據(jù)庫(kù)的安全是有保障的。