Pare-feu de base de donnees
Qu'est-ce que Pare-feu de base de donnees ?
Pare-feu de base de donneesEquipement ou proxy en ligne qui inspecte le trafic SQL au regard d'une politique de liste blanche et bloque les injections, l'abus de privileges et les instructions non autorisees avant qu'elles n'atteignent la base.
Un pare-feu de base de donnees s'intercale entre les applications et le moteur — en proxy reseau, agent ou passerelle inverse — et analyse chaque requete SQL en empreinte normalisee, comparee a une ligne de base apprise ou a une liste blanche manuelle. Les instructions deviantes (UNION SELECT suspect, OR 1=1, DDL inattendu, exports vers des tables tampons) sont bloquees ou mises en quarantaine. Des produits comme Imperva SecureSphere DBF, Oracle Database Firewall (Audit Vault and Database Firewall), DataSunrise et IBM Guardium fonctionnent en mode surveillance ou blocage et s'integrent au WAF et au SIEM. Contrairement au DAM qui observe et alerte, le pare-feu de base de donnees applique la politique en coupant les sessions fautives en ligne.
● Exemples
- 01
Bloquer au niveau du proxy une injection SQL par tautologie ("' OR 1=1 --") avant qu'elle n'atteigne MySQL.
- 02
Forcer un utilisateur JDBC applicatif a n'appeler qu'un jeu fixe de procedures stockees.
● Questions fréquentes
Qu'est-ce que Pare-feu de base de donnees ?
Equipement ou proxy en ligne qui inspecte le trafic SQL au regard d'une politique de liste blanche et bloque les injections, l'abus de privileges et les instructions non autorisees avant qu'elles n'atteignent la base. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Pare-feu de base de donnees ?
Equipement ou proxy en ligne qui inspecte le trafic SQL au regard d'une politique de liste blanche et bloque les injections, l'abus de privileges et les instructions non autorisees avant qu'elles n'atteignent la base.
Comment fonctionne Pare-feu de base de donnees ?
Un pare-feu de base de donnees s'intercale entre les applications et le moteur — en proxy reseau, agent ou passerelle inverse — et analyse chaque requete SQL en empreinte normalisee, comparee a une ligne de base apprise ou a une liste blanche manuelle. Les instructions deviantes (UNION SELECT suspect, OR 1=1, DDL inattendu, exports vers des tables tampons) sont bloquees ou mises en quarantaine. Des produits comme Imperva SecureSphere DBF, Oracle Database Firewall (Audit Vault and Database Firewall), DataSunrise et IBM Guardium fonctionnent en mode surveillance ou blocage et s'integrent au WAF et au SIEM. Contrairement au DAM qui observe et alerte, le pare-feu de base de donnees applique la politique en coupant les sessions fautives en ligne.
Comment se défendre contre Pare-feu de base de donnees ?
Les défenses contre Pare-feu de base de donnees combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Pare-feu de base de donnees ?
Noms alternatifs courants : pare-feu BDD, firewall SQL.
● Termes liés
- defense-ops№ 287
Surveillance d'activite des bases de donnees (DAM)
Controle de securite qui observe en continu les requetes, les actions des utilisateurs privilegies et les modifications de schema pour appliquer des politiques et detecter les abus en temps reel.
- attacks№ 1084
Injection SQL
Attaque par injection de code qui insère du SQL contrôlé par l'attaquant dans une requête de base de données, permettant de lire, modifier ou détruire des données.
- privacy№ 278
Prévention des pertes de données (DLP)
Ensemble de technologies et de politiques qui détectent et bloquent l'exfiltration non autorisée de données sensibles sur les postes, le réseau, la messagerie et le cloud.