Файрвол баз данных
Что такое Файрвол баз данных?
Файрвол баз данныхВстраиваемый шлюз или прокси, который проверяет SQL-трафик по белому списку и блокирует инъекции, злоупотребление привилегиями и несанкционированные операторы до их попадания в СУБД.
Файрвол баз данных размещается между приложениями и СУБД — в виде сетевого прокси, агента или обратного шлюза — и разбирает каждый SQL-оператор в нормализованный отпечаток, сравниваемый с обученной базовой линией или вручную составленным белым списком. Отклоняющиеся запросы (подозрительные UNION SELECT, OR 1=1, неожиданные DDL, экспорт в служебные таблицы) блокируются или помещаются в карантин. Такие продукты, как Imperva SecureSphere DBF, Oracle Database Firewall (Audit Vault and Database Firewall), DataSunrise и IBM Guardium, работают в режиме мониторинга или блокировки и интегрируются с WAF и SIEM. В отличие от DAM, который лишь наблюдает и оповещает, файрвол баз данных принудительно разрывает нарушающие сессии в реальном времени.
● Примеры
- 01
Блокировка тавтологической SQL-инъекции ("' OR 1=1 --") на прокси до её достижения MySQL.
- 02
Принудительное ограничение JDBC-пользователя приложения вызовом фиксированного набора хранимых процедур.
● Частые вопросы
Что такое Файрвол баз данных?
Встраиваемый шлюз или прокси, который проверяет SQL-трафик по белому списку и блокирует инъекции, злоупотребление привилегиями и несанкционированные операторы до их попадания в СУБД. Относится к категории Защита и операции в кибербезопасности.
Что означает Файрвол баз данных?
Встраиваемый шлюз или прокси, который проверяет SQL-трафик по белому списку и блокирует инъекции, злоупотребление привилегиями и несанкционированные операторы до их попадания в СУБД.
Как работает Файрвол баз данных?
Файрвол баз данных размещается между приложениями и СУБД — в виде сетевого прокси, агента или обратного шлюза — и разбирает каждый SQL-оператор в нормализованный отпечаток, сравниваемый с обученной базовой линией или вручную составленным белым списком. Отклоняющиеся запросы (подозрительные UNION SELECT, OR 1=1, неожиданные DDL, экспорт в служебные таблицы) блокируются или помещаются в карантин. Такие продукты, как Imperva SecureSphere DBF, Oracle Database Firewall (Audit Vault and Database Firewall), DataSunrise и IBM Guardium, работают в режиме мониторинга или блокировки и интегрируются с WAF и SIEM. В отличие от DAM, который лишь наблюдает и оповещает, файрвол баз данных принудительно разрывает нарушающие сессии в реальном времени.
Как защититься от Файрвол баз данных?
Защита от Файрвол баз данных обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Файрвол баз данных?
Распространённые альтернативные названия: DB-файрвол, SQL-файрвол.
● Связанные термины
- defense-ops№ 287
Мониторинг активности баз данных (DAM)
Класс средств защиты, который непрерывно отслеживает SQL-запросы, действия привилегированных пользователей и изменения схемы, применяя политики и выявляя злоупотребления в реальном времени.
- attacks№ 1084
SQL-инъекция
Атака внедрения кода, которая встраивает управляемый злоумышленником SQL в запрос к базе данных, позволяя читать, изменять или уничтожать данные.
- privacy№ 278
Предотвращение утечек данных (DLP)
Набор технологий и политик, которые обнаруживают и блокируют несанкционированный вывод конфиденциальных данных через рабочие станции, сети, почту и облака.