معرفي فايروال پايگاه داده
نويسنده:احمدشير علي نيا
گسترش استفاده از فضاي تبادل اطلاعات در کشور طي سالهاي گذشته و برقراري ارتباط از طريق وب، موجب وابستگي نهادهاي مختلف اجتماعي به اين پديده شده است. از زماني که برخي نگراني ها در خصوص تعرض به حريم خصوصي افراد و سازمان ها ظاهر شد، متخصصان فناوري اطلاعات جهت جلوگيري از اين تهديدات و حمايت از اطلاعات خصوصي بنگاه ها، افراد و دستگاه هاي مختلف تلاش هاي ارزشمندي را ساماندهي نمودند تا فضاي اعتماد به تبادلات الکترونيکي دچار آسيب کمتري شود. در اين بين با وجود اين که راه کارهاي امنيت شبکه رشد خوبي داشته اند و محصولات متنوعي نظير فايروال، UTM ،VPN و غيره ارائه مي شوند، در راستاي امنيت برنامه هاي کاربردي و سامانه هاي مديريت پايگاه داده عنايت کافي در سازمان ها وجود ندارد. اين در حالي است که داده هاي ارزشمند سازمان در سامانه مديريت پايگاه داده آن ذخيره مي شود و افشاي بسياري از مي تواند آثار جبران ناپذيري براي سازمان به همراه داشته باشد. وظيفه فايروال پايگاه داده (Database Firewall) حضور در عمق خط دفاع و فراهم آوردي کنترل کامل روي دسترسي ها و مميزي و تحليل آنها قبل از دستيابي به محتويات پايگاه داده است .
اين سير توسعه را مي توان در دو زمينه کلي رشد قابليت ها و افزايش کاربردها دسته بندي نمود. محصولات فايروال از نظر حيطه کاربرد در چهار دسته فايروال شبکه (Network Firewall)، فايروال شخصي (Personal Firewall)، فايروال برنامه کاربردي مبتني بر وب (Web Application Firewall WAF و فايروال پايگاه داده تقسيم بندي مي شوند. همانطور که از نام اين محصولات مشخص مي شود ،هرکدام در يک حيطه خاص کاربرد دارند. اگرچه در اين بين فايروال هاي شبکه از محبوبيت بالايي در امن سازي برخوردارند اما بديهي است نيازمندي به فايروال شخصي و يا مابقي فايروال ها را مرتفع نمي سازند.
با توجه به محدوديت هاي موجود در فايروال هاي شبکه ، بازرسي کامل محتواي ارتباطات سامانه هاي مديريت پايگاه داده توسط اين فايروال ها پشتيباني نمي شود. از طرفي افزايش تهديدات مربوط به سامانه هاي مديريت پايگاه داده و حساسيت بالاي داده هايي که در اين سامانه ها نگهداري مي شود، نياز به يک سامانه خاص براي بازرسي دقيق ارتباطات DBMS را ضروري نموده است .
در بين انواع فايروال هاي مذکور، فايروال پايگاه داده بطور خاص وظيفه حفاظت از سامانه هاي مديريت پايگاه داده را برعهده دارد و با نام دروازه امنيتي پايگاه داده (Database security gateway) و يا ناظر عمليات پايگاه داده Activity Monitoring DAM Database)نيز ارائه مي شود. تکنولوژي DAM براي اولين بار در گزارش موسسه Gartnet اين گونه تشريح شد؛ «سامانه نظارت بر عمليات پايگاه داده يک تکنولوژي ويژه براي نظارت تحليل و کنترل عمليات DBMS است که مي توان براي هرنوع سامانه مديريت پايگاه داده، عمليات را تشخيص و تحليل نمايد. اين محصول بايد دانش لازم براي درک ساختار پايگاه داده و ارتباطات آن را داشته باشد تا بتواند ازداده هاي ذخير شده درآن حفاظت نمايد.
لايه شبکه: اين لايه وظايف معمول يک فايروال شبکه را برعهده دارد. و براساس قرار دادهاي مبادلاتي و محتويات سرآيند بسته ها، به کنترل دسترسي ها پرداخته و سربار کمي برسامانه دارد.
لايه شماتيک (Schematic Layer): اين لايه خط مشي امنيتي مرتبط با شماي پايگاه داده را اعمال مي کند. همچنين توانايي فهم قراردادهاي ارتباطي مورد استفاده DBMS را دارد و اطلاعات مرتبط با شماي پايگاه داده را از ترافيک بين DBMS و کارفرما استخراج کرده و به تحليل آنها مي پردازد. در اين لايه ريزدانگي کنترل به اندازه ريزدانگي شماي پايگاه داده است که شامل انواع اشياء پايگاه داده، نام اشياء و خصوصياتشان مي شود.
لايه معنايي(Semantic layer): اين لايه خط مشي امنيتي مرتبط با هرکدام از اقلام داده اي پايگاه داده را اعمال مي کند .درکنار شماي پايگاه داده اين لايه بخشي از اطلاعات معنايي را نيز مي داند و مي تواند معناي ترافيک ارتباطي بين DBMS و کارگزار را تحليل کند. اين لايه مي تواند دسترسي ها را برطبق مقادير خاص صفات کنترل کند و به صورت شفاف ترافيک را تغيير دهد، اما هزينه اين لايه بسيار زياد است .اطلاعات معنايي ترافيک ورودي(مقادير صفات) به عنوان محدوديت دربند WHERE استفاده مي شوند و تابع تجزيه معنايي مسئول استخراج آنها از بسته ها مي باشد. همچنين از منظر فايروال پايگاه داده، تمام اطلاعات درون بسته هاي سطح کاربرد ترافيک خروجي اطلاعات معنايي هستند و بنابراين اعمال توابع امنيتي روي ترافيک خروجي بسيار موثرتر از اعمال روي ترافيک ورودي است .
گروهي ديگر در دانشگاه ايالتي پنسيلوانيا يک معماري از فايروال پايگاه داده ارائه نموده اند. طبق ارائه آنها، هر فايروال پايگاه داده حداقل بايد شامل سه مولفه زير باشد:
تخمينگر صحت (Integrity estimator) براي تعيين مدل صحت و تخمين صحت داده هنگام حمله
مدير فايروال؛ براي مديريت رقابت بين امنيت و کارايي
مديرخط مشي دسترسي (Manager Access policy)؛ براي تشکيل مجموعه قواعد دسترسي و خط مشي امنيتي
اين گروه در مقاله ديگري به تبيين اهداف ايجاد دروازه هاي امنيتي پايگاه داده شامل پيش بيني خرابي داده ها و نيز جلوگيري از انتشار آنها پرداخته اند و برخي اقدامات لازم در جهت رسيدن به اين اهداف را برشمرده اند. در اين مقاله استفاده از سامانه تشخيص نفوذ(Intrusion Detection system) به عنوان اولين اقدام معرفي شده است .اقدام ديگر اداره شکست (Failure Handling) مي باشد که اتميک بودن پايگاه داده را تضمين مي کند و به دنبال محافظت از صحت Integrity) داده هاي ذخيره شده در پايگاه داده است. روش هايي همچون استفاده از نقطه وارسي (Checkpoint) براي بازگرداندن کل پايگاه داده به يک نقطه زماني معين از اين دسته مي باشند(اگرچه برخي از تراکنش هاي پاک نيز همراه تراکنش هاي مخرب از بين مي روند).
روش ديگر ترميم حمله (Attack recovery) است که اهدافي متفاوت از اداره شکست را دنبال مي کند و بر روي تراکنش هاي مخربي که اجرا شده اند تمرکز دارد. بزرگترين ايراد اين روش لزوم توقف خدمت پايگاه داده در طول اصلاح است .
گروهي ديگر از محققين در مقاله اي چگونگي کار با پرس و جوها در فايروال پايگاه داده بررسي نموده اند. آنها چهار مولفه اصلي فايروال پايگاه داده را اعتبار سنج پرس وجو، مولدپرس وجو ،مبدل پرس وجو و صافي پرس و جو برشمرده اند . بر اساس مدل آنها اعتبارسنج پرس وجو بررسي مي کند که آيا پرس وجوي ارسال شده توسط برنامه با توجه به شمال پايگاه داده معتبر است يا خير. اين مولفه يک تجزيه گر براي بررسي تطابق پرس وجو با SQL استاندارد را درخود دارد. مولد پرس و جو درخواست ها به پايگاه داده را به شکل فراخواني API دريافت کرده و عبارات پرس و جوي مناسب شماي پايگاه داده را ازآن توليد و به مبدل پرس وجو مي فرستد. مبدل پرس وجو وظيفه تبديل يک پرس و جو روي شماي انتزاعي (Abstract-schema) به يک پرس وجوي معادل حاوي نام اشيا داخل شماي منطقي (Logical-schema) را برعهده مي گيرد .صافي پرس وجو مهم ترين مولفه فايروال است که عملياتي همچون الحاق يک مسند (predicate) به پرس وجو و تنها ارائه ستون هاي مجاز براي کاربر جاري را فراهم مي آورد. صافي براي اين موضوع ازخط مشي امنيتي که توسط مدير امنيتي سرپرستي مي شود استفاده مي کند. در ضمن اين مولفه وظيفه تصفيه به هر دو صورت سطري و ستوني را بر عهده مي گيرد.
کنترل دسترسي: کنترل دسترسي در دو سطح شماي پايگاه داده روي ترافيک ورودي و مقادير داده اي (معنايي) روي ترافيک خروجي مي تواند انجام شود و محدوديت ها را به شکل عدم دسترسي ،رمزگذاري يا تارسازي داده ها اعمال نمود. اين نوع از کنترل دسترسي ايراداتي را نيز به همراه دارد که ازآن جمله مي توان به لزوم اطلاع فايروال از ساختار پايگاه داده (وابستگي به دانش) و نيز عدم شفافيت فايروال از ديد کاربر در زمان اعمال توابعي همچون نگاشت (عدم شفافيت )اشاره کرد.
مميزي و نظارت: مميزي و نظارت مستمر براي رعايت استانداردهاي امنيت پايگاه داده بسيار مهم و ضروري به نظر مي رسد با جستجوي سوء استفاده هاي شناخته شده و يا فعاليت هاي غيرعادي از الگوي رفتاري ايجاد شده مي توان به تحليل ترافيک و جلوگيري از نفوذ به پايگاه داده پرداخت.
رمزنگاري؛ رمزنگاري نيز يکي ديگر از ابزارهاي شناخته شده براي تأمين امنيت است که در صورت استفاده بجا، مي تواند بسيار موثر واقع شود.
ارزيابي آسيب پذيري ها، تلاش براي يافتن آسيب پذيري هايي است که مي توانند در نفوذ به پايگاه داده مورد استفاده واقع شوند. سرپرست پايگاه داده ابزارهاي پويش آسيب پذيري را به منظور کشف پيکربندي هاي ناصحيح همراه با آسيب پذيري هاي شناخته شده اجرا مي کند. نتايج اين پويش ها مي تواند در محکم سازي پايگاه داده به منظور مقابله با تهديدات مورد استفاده واقع شود.
ترميم سوانح؛ وجود برنامه اي براي بازيابي سوانح در طول وقوع يک حادثه امنيتي يا هرحادثه ديگري که موجب قطع خدمت رساني پايگاه داده شود، براي يک پايگاه داده قابل اعتماد بسيار ضروري است .حفظ صحت با استفاده از روش هاي اداره شکست و يا ترميم حمله انجام مي شود که از بزرگ ترين معايب شيوه هاي موجود مي توان به توقف خدمت در حين اصلاح و يا حذف برخي تراکنش هاي پاک اشاره نمود.
نظارت برعملکرد کاربران مجاز در پايگاه داده :ثبت تمامي دسترسي هاي کاربران براي پيگيري و مميزي رخدادها در سامانه مديريت پايگاه داده ضروري
است. بايد توجه داشت که کاربراني نظيرDBA و root مي توانند امکانات سامانه مديريت پايگاه داده را براي ثبت رخدادها غيرفعال نمايند. بنابراين اطمينان کامل به تدابير نظارتي DBMS کفايت نمي کند.
تشخيص و جلوگيري از حملات: با توجه به قابليت تحليل کامل ارتباطات پايگاه داده در فايروال هاي پايگاه داده، تشخيص و جلوگيري از حملات در اين محصولات با دقت بهتري از سامانه هاي IPS تحت شبکه انجام مي شود.
مديريت مرکزي: با استقرار يک فايروال پايگاه داده مي توان چندين سامانه مديريت پايگاه داده را بازرسي نمود. بنابراين مدير شبکه مي تواند مديريت سامانه هاي مديريت پايگاه داده را به صورت متمرکز و مستقل از هرکارگزار انجام دهد. بديهي است اين امکان تعريف سياست هاي امنيتي را براي سامانه هاي مديريت پايگاه داده ساده تر نموده و امکان ردگيري مخاطرات را افزايش مي دهد.
قرارگيري محصول به صورت Inline منجر به افزايش ميزان بازرسي شده و مدير شبکه از اعمال سياست هاي امنيتي تعريف شده در فايروال پايگاه داده اطمينان کامل خواهد داشت. از طرف ديگر نکته مهم در اينگونه استقرار اين است که محصول در شبکه به عنوان Single point of Failure محسوب مي شود و درصورت هرگونه اختلال در کار فايروال پايگاه داده ارتباطات قطع خواهد شد.
Gardium(.com بطور تخصصي در زمينه امنيت پايگاه داده فعاليت مي کند. اين شرکت در گزارشات تحليل به عنوان بهترين توليد کننده محصولات امنيت پايگاه داده معرفي شده است . باتوجه به مستندات موجود محصولات امنيت پايگاه داده اين شرکت در بيش از 350 مرکز داده درحال استفاده است.
محصول امنيت پايگاه داده شرکت Gardium با عنوان SQL Guard ارائه مي شود که از قابليت هاي مهم اين محصول براي استقرار درشبکه مي توان به امکان نصب به صورت Inline و Offline در شبکه، امکان ترکيب با LDAP و Kerberos براي تشخيص هويت کاربران ،پشتيباني از SNMP ،SMTP و Syslog براي يکپارچگي با تجهيزات ديگر و پشتيباني از RSA SecurID براي تشخيص هويت قوي اشاره نمود.
اين فايروال در هر دو مدل امنيت مثبت و امنيت منفي قابل اجراست. محصول GreenSQL در مدل امنيت مثبت با استفاده از ليست سفيد و مد يادگيري، و در مدل امنيت منفي با استفاده از شناسايي الگو و تحليل اکتشاقي به مقابله با تهاجمات مي پردازد.
منبع:نشريه دنياي کامپيوتر و ارتباطات شماره 83
فايروال پايگاه داده
اين سير توسعه را مي توان در دو زمينه کلي رشد قابليت ها و افزايش کاربردها دسته بندي نمود. محصولات فايروال از نظر حيطه کاربرد در چهار دسته فايروال شبکه (Network Firewall)، فايروال شخصي (Personal Firewall)، فايروال برنامه کاربردي مبتني بر وب (Web Application Firewall WAF و فايروال پايگاه داده تقسيم بندي مي شوند. همانطور که از نام اين محصولات مشخص مي شود ،هرکدام در يک حيطه خاص کاربرد دارند. اگرچه در اين بين فايروال هاي شبکه از محبوبيت بالايي در امن سازي برخوردارند اما بديهي است نيازمندي به فايروال شخصي و يا مابقي فايروال ها را مرتفع نمي سازند.
با توجه به محدوديت هاي موجود در فايروال هاي شبکه ، بازرسي کامل محتواي ارتباطات سامانه هاي مديريت پايگاه داده توسط اين فايروال ها پشتيباني نمي شود. از طرفي افزايش تهديدات مربوط به سامانه هاي مديريت پايگاه داده و حساسيت بالاي داده هايي که در اين سامانه ها نگهداري مي شود، نياز به يک سامانه خاص براي بازرسي دقيق ارتباطات DBMS را ضروري نموده است .
در بين انواع فايروال هاي مذکور، فايروال پايگاه داده بطور خاص وظيفه حفاظت از سامانه هاي مديريت پايگاه داده را برعهده دارد و با نام دروازه امنيتي پايگاه داده (Database security gateway) و يا ناظر عمليات پايگاه داده Activity Monitoring DAM Database)نيز ارائه مي شود. تکنولوژي DAM براي اولين بار در گزارش موسسه Gartnet اين گونه تشريح شد؛ «سامانه نظارت بر عمليات پايگاه داده يک تکنولوژي ويژه براي نظارت تحليل و کنترل عمليات DBMS است که مي توان براي هرنوع سامانه مديريت پايگاه داده، عمليات را تشخيص و تحليل نمايد. اين محصول بايد دانش لازم براي درک ساختار پايگاه داده و ارتباطات آن را داشته باشد تا بتواند ازداده هاي ذخير شده درآن حفاظت نمايد.
تحقيقات مرتبط
لايه شبکه: اين لايه وظايف معمول يک فايروال شبکه را برعهده دارد. و براساس قرار دادهاي مبادلاتي و محتويات سرآيند بسته ها، به کنترل دسترسي ها پرداخته و سربار کمي برسامانه دارد.
لايه شماتيک (Schematic Layer): اين لايه خط مشي امنيتي مرتبط با شماي پايگاه داده را اعمال مي کند. همچنين توانايي فهم قراردادهاي ارتباطي مورد استفاده DBMS را دارد و اطلاعات مرتبط با شماي پايگاه داده را از ترافيک بين DBMS و کارفرما استخراج کرده و به تحليل آنها مي پردازد. در اين لايه ريزدانگي کنترل به اندازه ريزدانگي شماي پايگاه داده است که شامل انواع اشياء پايگاه داده، نام اشياء و خصوصياتشان مي شود.
لايه معنايي(Semantic layer): اين لايه خط مشي امنيتي مرتبط با هرکدام از اقلام داده اي پايگاه داده را اعمال مي کند .درکنار شماي پايگاه داده اين لايه بخشي از اطلاعات معنايي را نيز مي داند و مي تواند معناي ترافيک ارتباطي بين DBMS و کارگزار را تحليل کند. اين لايه مي تواند دسترسي ها را برطبق مقادير خاص صفات کنترل کند و به صورت شفاف ترافيک را تغيير دهد، اما هزينه اين لايه بسيار زياد است .اطلاعات معنايي ترافيک ورودي(مقادير صفات) به عنوان محدوديت دربند WHERE استفاده مي شوند و تابع تجزيه معنايي مسئول استخراج آنها از بسته ها مي باشد. همچنين از منظر فايروال پايگاه داده، تمام اطلاعات درون بسته هاي سطح کاربرد ترافيک خروجي اطلاعات معنايي هستند و بنابراين اعمال توابع امنيتي روي ترافيک خروجي بسيار موثرتر از اعمال روي ترافيک ورودي است .
گروهي ديگر در دانشگاه ايالتي پنسيلوانيا يک معماري از فايروال پايگاه داده ارائه نموده اند. طبق ارائه آنها، هر فايروال پايگاه داده حداقل بايد شامل سه مولفه زير باشد:
تخمينگر صحت (Integrity estimator) براي تعيين مدل صحت و تخمين صحت داده هنگام حمله
مدير فايروال؛ براي مديريت رقابت بين امنيت و کارايي
مديرخط مشي دسترسي (Manager Access policy)؛ براي تشکيل مجموعه قواعد دسترسي و خط مشي امنيتي
اين گروه در مقاله ديگري به تبيين اهداف ايجاد دروازه هاي امنيتي پايگاه داده شامل پيش بيني خرابي داده ها و نيز جلوگيري از انتشار آنها پرداخته اند و برخي اقدامات لازم در جهت رسيدن به اين اهداف را برشمرده اند. در اين مقاله استفاده از سامانه تشخيص نفوذ(Intrusion Detection system) به عنوان اولين اقدام معرفي شده است .اقدام ديگر اداره شکست (Failure Handling) مي باشد که اتميک بودن پايگاه داده را تضمين مي کند و به دنبال محافظت از صحت Integrity) داده هاي ذخيره شده در پايگاه داده است. روش هايي همچون استفاده از نقطه وارسي (Checkpoint) براي بازگرداندن کل پايگاه داده به يک نقطه زماني معين از اين دسته مي باشند(اگرچه برخي از تراکنش هاي پاک نيز همراه تراکنش هاي مخرب از بين مي روند).
روش ديگر ترميم حمله (Attack recovery) است که اهدافي متفاوت از اداره شکست را دنبال مي کند و بر روي تراکنش هاي مخربي که اجرا شده اند تمرکز دارد. بزرگترين ايراد اين روش لزوم توقف خدمت پايگاه داده در طول اصلاح است .
گروهي ديگر از محققين در مقاله اي چگونگي کار با پرس و جوها در فايروال پايگاه داده بررسي نموده اند. آنها چهار مولفه اصلي فايروال پايگاه داده را اعتبار سنج پرس وجو، مولدپرس وجو ،مبدل پرس وجو و صافي پرس و جو برشمرده اند . بر اساس مدل آنها اعتبارسنج پرس وجو بررسي مي کند که آيا پرس وجوي ارسال شده توسط برنامه با توجه به شمال پايگاه داده معتبر است يا خير. اين مولفه يک تجزيه گر براي بررسي تطابق پرس وجو با SQL استاندارد را درخود دارد. مولد پرس و جو درخواست ها به پايگاه داده را به شکل فراخواني API دريافت کرده و عبارات پرس و جوي مناسب شماي پايگاه داده را ازآن توليد و به مبدل پرس وجو مي فرستد. مبدل پرس وجو وظيفه تبديل يک پرس و جو روي شماي انتزاعي (Abstract-schema) به يک پرس وجوي معادل حاوي نام اشيا داخل شماي منطقي (Logical-schema) را برعهده مي گيرد .صافي پرس وجو مهم ترين مولفه فايروال است که عملياتي همچون الحاق يک مسند (predicate) به پرس وجو و تنها ارائه ستون هاي مجاز براي کاربر جاري را فراهم مي آورد. صافي براي اين موضوع ازخط مشي امنيتي که توسط مدير امنيتي سرپرستي مي شود استفاده مي کند. در ضمن اين مولفه وظيفه تصفيه به هر دو صورت سطري و ستوني را بر عهده مي گيرد.
قابليت فايروال پايگاه داده
کنترل دسترسي: کنترل دسترسي در دو سطح شماي پايگاه داده روي ترافيک ورودي و مقادير داده اي (معنايي) روي ترافيک خروجي مي تواند انجام شود و محدوديت ها را به شکل عدم دسترسي ،رمزگذاري يا تارسازي داده ها اعمال نمود. اين نوع از کنترل دسترسي ايراداتي را نيز به همراه دارد که ازآن جمله مي توان به لزوم اطلاع فايروال از ساختار پايگاه داده (وابستگي به دانش) و نيز عدم شفافيت فايروال از ديد کاربر در زمان اعمال توابعي همچون نگاشت (عدم شفافيت )اشاره کرد.
مميزي و نظارت: مميزي و نظارت مستمر براي رعايت استانداردهاي امنيت پايگاه داده بسيار مهم و ضروري به نظر مي رسد با جستجوي سوء استفاده هاي شناخته شده و يا فعاليت هاي غيرعادي از الگوي رفتاري ايجاد شده مي توان به تحليل ترافيک و جلوگيري از نفوذ به پايگاه داده پرداخت.
رمزنگاري؛ رمزنگاري نيز يکي ديگر از ابزارهاي شناخته شده براي تأمين امنيت است که در صورت استفاده بجا، مي تواند بسيار موثر واقع شود.
ارزيابي آسيب پذيري ها، تلاش براي يافتن آسيب پذيري هايي است که مي توانند در نفوذ به پايگاه داده مورد استفاده واقع شوند. سرپرست پايگاه داده ابزارهاي پويش آسيب پذيري را به منظور کشف پيکربندي هاي ناصحيح همراه با آسيب پذيري هاي شناخته شده اجرا مي کند. نتايج اين پويش ها مي تواند در محکم سازي پايگاه داده به منظور مقابله با تهديدات مورد استفاده واقع شود.
ترميم سوانح؛ وجود برنامه اي براي بازيابي سوانح در طول وقوع يک حادثه امنيتي يا هرحادثه ديگري که موجب قطع خدمت رساني پايگاه داده شود، براي يک پايگاه داده قابل اعتماد بسيار ضروري است .حفظ صحت با استفاده از روش هاي اداره شکست و يا ترميم حمله انجام مي شود که از بزرگ ترين معايب شيوه هاي موجود مي توان به توقف خدمت در حين اصلاح و يا حذف برخي تراکنش هاي پاک اشاره نمود.
کاربردهاي اصلي فايروال پايگاه داده
نظارت برعملکرد کاربران مجاز در پايگاه داده :ثبت تمامي دسترسي هاي کاربران براي پيگيري و مميزي رخدادها در سامانه مديريت پايگاه داده ضروري
است. بايد توجه داشت که کاربراني نظيرDBA و root مي توانند امکانات سامانه مديريت پايگاه داده را براي ثبت رخدادها غيرفعال نمايند. بنابراين اطمينان کامل به تدابير نظارتي DBMS کفايت نمي کند.
تشخيص و جلوگيري از حملات: با توجه به قابليت تحليل کامل ارتباطات پايگاه داده در فايروال هاي پايگاه داده، تشخيص و جلوگيري از حملات در اين محصولات با دقت بهتري از سامانه هاي IPS تحت شبکه انجام مي شود.
مديريت مرکزي: با استقرار يک فايروال پايگاه داده مي توان چندين سامانه مديريت پايگاه داده را بازرسي نمود. بنابراين مدير شبکه مي تواند مديريت سامانه هاي مديريت پايگاه داده را به صورت متمرکز و مستقل از هرکارگزار انجام دهد. بديهي است اين امکان تعريف سياست هاي امنيتي را براي سامانه هاي مديريت پايگاه داده ساده تر نموده و امکان ردگيري مخاطرات را افزايش مي دهد.
روش هاي استقرار محصول
استقرار به صورت INline در شبکه
قرارگيري محصول به صورت Inline منجر به افزايش ميزان بازرسي شده و مدير شبکه از اعمال سياست هاي امنيتي تعريف شده در فايروال پايگاه داده اطمينان کامل خواهد داشت. از طرف ديگر نکته مهم در اينگونه استقرار اين است که محصول در شبکه به عنوان Single point of Failure محسوب مي شود و درصورت هرگونه اختلال در کار فايروال پايگاه داده ارتباطات قطع خواهد شد.
استقرار به عنوان ناظر شبکه
استقرار روي کارگزار
محصولات جاري
SQL Gaurd
Gardium(.com بطور تخصصي در زمينه امنيت پايگاه داده فعاليت مي کند. اين شرکت در گزارشات تحليل به عنوان بهترين توليد کننده محصولات امنيت پايگاه داده معرفي شده است . باتوجه به مستندات موجود محصولات امنيت پايگاه داده اين شرکت در بيش از 350 مرکز داده درحال استفاده است.
محصول امنيت پايگاه داده شرکت Gardium با عنوان SQL Guard ارائه مي شود که از قابليت هاي مهم اين محصول براي استقرار درشبکه مي توان به امکان نصب به صورت Inline و Offline در شبکه، امکان ترکيب با LDAP و Kerberos براي تشخيص هويت کاربران ،پشتيباني از SNMP ،SMTP و Syslog براي يکپارچگي با تجهيزات ديگر و پشتيباني از RSA SecurID براي تشخيص هويت قوي اشاره نمود.
secureSphere
DB INSIGHT SG
GreenSQL
اين فايروال در هر دو مدل امنيت مثبت و امنيت منفي قابل اجراست. محصول GreenSQL در مدل امنيت مثبت با استفاده از ليست سفيد و مد يادگيري، و در مدل امنيت منفي با استفاده از شناسايي الگو و تحليل اکتشاقي به مقابله با تهاجمات مي پردازد.
جمع بندي
منبع:نشريه دنياي کامپيوتر و ارتباطات شماره 83
