特約通訊員梁曉歡

近幾年,許多公司為保護(hù)自己的IT基礎(chǔ)設(shè)施所做的大部分努力主要集中在外部，即如何保護(hù)公司免遭外部入侵、黑客以及惡意攻擊。目前，公司網(wǎng)絡(luò)已經(jīng)在安全上獲得了一定的改善，獲得了更深層次的保護(hù)。但是，數(shù)據(jù)層仍是公司IT基礎(chǔ)設(shè)施的軟肋。

隨著技術(shù)的發(fā)展，現(xiàn)今大多數(shù)企業(yè)已普遍使用虛擬化技術(shù)，預(yù)計(jì)在不久的將來云計(jì)算應(yīng)用也將會(huì)在企業(yè)中普及，所以我們必須考慮一個(gè)問題，那就是在新的IT環(huán)境中如何更新我們的信息安全技術(shù)。

許多人都認(rèn)為傳統(tǒng)的計(jì)算模式需要進(jìn)行一個(gè)全新的改革。通常情況下，在技術(shù)系統(tǒng)和軟件方面，網(wǎng)絡(luò)安全模式的變革與軟件的變革是不同步的，或者說是網(wǎng)絡(luò)安全模式的變革要慢于軟件的變革，這其實(shí)是為了應(yīng)對技術(shù)變革可能會(huì)帶來的突發(fā)情況。例如，經(jīng)過長時(shí)間的觀察，防火墻供應(yīng)商了解到對應(yīng)用程序的保護(hù)已經(jīng)不能通過簡單地打開或者關(guān)閉防火墻來實(shí)現(xiàn)了。眾多企業(yè)已經(jīng)開始部署VoIP服務(wù)及其它復(fù)雜的協(xié)議，但是他們不得不為防火墻的更新而耽誤一段較長的時(shí)間，因?yàn)橹挥性诜阑饓梢猿晒Ψ治鯯IP及其它相關(guān)協(xié)議的前提下，他們的應(yīng)用程序才能在安全的環(huán)境下運(yùn)行，而這個(gè)時(shí)間可能是數(shù)年。

因此，隨著虛擬化和云計(jì)算數(shù)據(jù)中心專用服務(wù)器的更新，我們急需重新考慮現(xiàn)有的信息安全技術(shù)，特別是數(shù)據(jù)庫安全。

虛擬化和云計(jì)算下的信息安全趨勢

在過去的幾年里，信息安全所面臨的許多挑戰(zhàn)主要圍繞兩大技術(shù)的發(fā)展：高性能網(wǎng)絡(luò)和復(fù)雜的應(yīng)用。在較短的一段時(shí)間內(nèi)，我們已經(jīng)從使用SMTP、FTP、HTTP等協(xié)議的10baseT因特網(wǎng)跨越到使用SIP、RPC、SOAP以及多種網(wǎng)絡(luò)隧道協(xié)議的多千兆因特網(wǎng)。因此，一些應(yīng)用程序（特別像e-mail和網(wǎng)絡(luò)應(yīng)用程序）都面臨著許多安全性威脅，其結(jié)果是相同的應(yīng)用程序都不得不經(jīng)過多次檢查，大大影響了效率。

為了通過簡單的方案來解決兩大技術(shù)發(fā)展挑戰(zhàn)，信息安全企業(yè)推出了一系列可部署在網(wǎng)絡(luò)中某一位置的網(wǎng)絡(luò)設(shè)備，用以檢測一些違反協(xié)議的流量，如惡意代碼、病毒、垃圾郵件等。這種方案已頗受企業(yè)的青睞。甚至一些傳統(tǒng)的面向軟件的企業(yè)都了解到要運(yùn)行復(fù)雜且高性能的網(wǎng)絡(luò)，最簡單的途徑是要部署基于網(wǎng)絡(luò)的設(shè)備。企業(yè)發(fā)現(xiàn)自己必須構(gòu)建多種類型的網(wǎng)絡(luò)設(shè)備才能消除一些網(wǎng)絡(luò)安全威脅，從而達(dá)到網(wǎng)絡(luò)可擴(kuò)展性、性能以及拓?fù)浣Y(jié)構(gòu)的要求。

在網(wǎng)絡(luò)安全設(shè)備普及的時(shí)代，使用主機(jī)軟件減輕安全威脅的解決方案遭到了摒棄?；诰W(wǎng)絡(luò)的如IDS、IPS等安全方案逐漸取締了基于主機(jī)的安全方案，而且大部分企業(yè)也不會(huì)為操作系統(tǒng)增加太多簡單的終端安全技術(shù)，當(dāng)然這也存在一些例外，如第三方防毒軟件，即使有網(wǎng)絡(luò)設(shè)備提供這項(xiàng)功能，企業(yè)仍然會(huì)把防毒軟件部署在主機(jī)上。對于企業(yè)來說，基于網(wǎng)絡(luò)設(shè)備的方案只需要簡單地將安全設(shè)備和交換機(jī)連接起來，簡易快捷，特別適用于可用性安全資源緊缺的情況。

在過去的IT系統(tǒng)架構(gòu)的信息安全環(huán)境中，許多公司為保護(hù)自己的IT基礎(chǔ)設(shè)施所做的大部分努力主要集中在外部，即如何保護(hù)公司免遭外部入侵、黑客以及惡意攻擊。這讓企業(yè)了解到采用網(wǎng)絡(luò)設(shè)備是一個(gè)可行的方案。然而，在當(dāng)今IT系統(tǒng)的巨大演變中，對于多數(shù)應(yīng)用，特別是那些在分布式環(huán)境中實(shí)施的應(yīng)用，使用網(wǎng)絡(luò)設(shè)備來監(jiān)察網(wǎng)絡(luò)交易還是存在較大的安全隱患的。這給企業(yè)提出了一個(gè)疑問：究竟要通過提供一個(gè)安全的網(wǎng)絡(luò)來防止外部侵犯還是從內(nèi)部消滅惡意違規(guī)事件？CERT進(jìn)行的年度研究報(bào)告顯示，高達(dá)50%的數(shù)據(jù)破壞由內(nèi)部用戶造成。FBI/CSI有關(guān)內(nèi)部威脅的報(bào)告指出：三分之二被調(diào)查組織（商業(yè)和政府）的報(bào)告存在由內(nèi)部破壞造成的數(shù)據(jù)損失這種情況，并且在一些組織，高達(dá)80%的數(shù)據(jù)損失由內(nèi)部破壞造成。報(bào)告還顯示在數(shù)據(jù)遭受破壞時(shí)，有57%的相關(guān)內(nèi)部人員獲權(quán)訪問數(shù)據(jù)。因此，這證明了外部和網(wǎng)絡(luò)安全措施不足以阻止此類破壞。為了避免設(shè)備管理員直接連接服務(wù)器或者應(yīng)用程序使用者濫用訪問權(quán)限而危及內(nèi)部交易安全，現(xiàn)在企業(yè)開始發(fā)現(xiàn)采用基于主機(jī)的解決方案并結(jié)合網(wǎng)絡(luò)設(shè)備似乎更為合適。

除了企業(yè)對內(nèi)部安全性問題的關(guān)注度不斷增加，不少企業(yè)應(yīng)用也都在配置了虛擬機(jī)的環(huán)境下運(yùn)行，云計(jì)算技術(shù)應(yīng)用也延伸到企業(yè)當(dāng)中，這些變化徹底改變了以往實(shí)施基于網(wǎng)絡(luò)設(shè)備解決方案的條件假設(shè)。從安全性的角度來考慮，會(huì)有更多的挑戰(zhàn)出現(xiàn)，如數(shù)據(jù)庫具有移動(dòng)性，可動(dòng)態(tài)地出現(xiàn)在進(jìn)程的一個(gè)新的地方，從而對網(wǎng)絡(luò)的處理性能產(chǎn)生新的要求。而這些新的架構(gòu)也會(huì)帶來新的問題，那就是當(dāng)交易不再在網(wǎng)絡(luò)中產(chǎn)生，網(wǎng)絡(luò)設(shè)備是否繼續(xù)更新，或者當(dāng)網(wǎng)絡(luò)從局域網(wǎng)向廣域網(wǎng)轉(zhuǎn)變后，原先的網(wǎng)絡(luò)監(jiān)測方法是否仍然有效。

數(shù)據(jù)庫活動(dòng)監(jiān)測和攻擊防護(hù)分析

近年來雖然網(wǎng)絡(luò)外部的安全保護(hù)已經(jīng)得到很大的提高，但是一些敏感數(shù)據(jù)仍然遭到侵犯，因此企業(yè)已經(jīng)開始尋求一種全新的內(nèi)部基礎(chǔ)設(shè)備保護(hù)層。目前，公司網(wǎng)絡(luò)已經(jīng)在安全上獲得了一定的改善，獲得了更深層次的保護(hù)。但是，數(shù)據(jù)層仍是公司IT基礎(chǔ)設(shè)施的軟肋。數(shù)據(jù)庫中包含很多敏感且寶貴的數(shù)據(jù)：例如有關(guān)客戶、事務(wù)、財(cái)務(wù)業(yè)績以及人力資源的信息。盡管如此，數(shù)據(jù)庫仍是公司受保護(hù)最少的領(lǐng)域之一。在以往，數(shù)據(jù)庫在大多數(shù)情況下是沒有得到監(jiān)察和保護(hù)的。雖然外部和網(wǎng)絡(luò)安全措施對某些攻擊類型起到了防御作用，有不少的基于網(wǎng)絡(luò)設(shè)備可以被用來檢測數(shù)據(jù)庫網(wǎng)絡(luò)協(xié)議，并在通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫時(shí)進(jìn)行審查和保護(hù)。但是此類基于網(wǎng)絡(luò)的設(shè)備只監(jiān)控網(wǎng)絡(luò)，它們無法監(jiān)視本地?cái)?shù)據(jù)庫活動(dòng)。

由于數(shù)據(jù)庫管理系統(tǒng)較為復(fù)雜（其對硬件和運(yùn)行平臺(tái)的要求在不斷增加），因此隨著功能的擴(kuò)充，它會(huì)在安全性方面會(huì)出現(xiàn)漏洞，這類漏洞會(huì)不斷被用戶、道德黑客，也可能不幸被非道德黑客發(fā)現(xiàn)。有一些攻擊類型就是利用數(shù)據(jù)庫特有的漏洞進(jìn)行攻擊的，如SQL注入、緩沖區(qū)溢出攻擊以及其它瞬時(shí)攻擊可以完全穿透Web防火墻、應(yīng)用程序防火墻以及入侵檢測系統(tǒng)(IDS)，為數(shù)據(jù)盜竊、擅自修改或破壞數(shù)據(jù)、侵犯隱私及個(gè)人身份信息創(chuàng)造機(jī)會(huì)。雖然DBMS供應(yīng)商會(huì)盡力修復(fù)這些漏洞，但是修復(fù)過程平均要花幾個(gè)月，有時(shí)甚至幾年，這段時(shí)間為黑客利用漏洞破壞數(shù)據(jù)庫提供了機(jī)會(huì)。

隨著大量的潛在性損害出現(xiàn)在數(shù)據(jù)庫上，企業(yè)開始就清楚地認(rèn)識(shí)到必須充分地了解他們的數(shù)據(jù)庫，并對其進(jìn)行全面的監(jiān)察。此外，如前所述，越來越多的人正逐漸認(rèn)識(shí)到“內(nèi)部威脅”以及由特權(quán)訪問用戶造成的威脅是造成大量數(shù)據(jù)破壞的原因。

針對外部與內(nèi)部的安全威脅，需要采用既可以應(yīng)對數(shù)據(jù)庫特有威脅又可以應(yīng)付內(nèi)部威脅的解決方案。設(shè)備供應(yīng)商不得不把一些本地的代理端口加入到他們的解決方案中，這樣就形成了一個(gè)基于網(wǎng)絡(luò)和基于主機(jī)并存的混合解決方案。在大多數(shù)情況下，代理會(huì)將產(chǎn)生于主機(jī)上的交易詳情發(fā)送到網(wǎng)絡(luò)設(shè)備器進(jìn)行分析。然而這種混合解決方案是不理想的，因?yàn)楫?dāng)交易詳情返回到網(wǎng)絡(luò)設(shè)備器時(shí)，數(shù)據(jù)庫已經(jīng)接納了這些數(shù)據(jù)，即使發(fā)現(xiàn)了一些違規(guī)的現(xiàn)象，也不能即時(shí)地阻止。但只要能增強(qiáng)網(wǎng)絡(luò)應(yīng)用程序的可視性，一些企業(yè)還是樂意地冒險(xiǎn)的。

相比單純基于網(wǎng)絡(luò)的解決方案，混合解決方案會(huì)引入一些復(fù)雜的實(shí)施需求，如代理的安裝需要更改內(nèi)核等級、重啟系統(tǒng)等。而且，混合解決方案在處理時(shí)還會(huì)遺漏一些產(chǎn)生于數(shù)據(jù)庫本身的細(xì)微錯(cuò)誤，如在存儲(chǔ)過程、觸發(fā)過程或者可視化過程產(chǎn)生的錯(cuò)誤。而且，更重要的是在虛擬化環(huán)境或者云計(jì)算環(huán)境下，這些方案不能解決一些關(guān)鍵性的問題：

挑戰(zhàn)一：虛擬機(jī)之間交易的可視化

隨著虛擬技術(shù)的應(yīng)用，一些應(yīng)用程序和數(shù)據(jù)庫已經(jīng)支持在虛擬服務(wù)器或者云計(jì)算環(huán)境下運(yùn)行了，同時(shí)一些更加復(fù)雜的問題也隨之產(chǎn)生。過去，一個(gè)應(yīng)用程序通常會(huì)配備在一個(gè)或多個(gè)服務(wù)器上，而數(shù)據(jù)庫則會(huì)安裝在擴(kuò)展的網(wǎng)絡(luò)服務(wù)器上。實(shí)行虛擬化的好處之一是它能夠共享資源，在虛擬化的環(huán)境下，應(yīng)用程序和數(shù)據(jù)庫可以遷移到虛擬機(jī)上，在許多情況下，可以在同一物理服務(wù)器上同時(shí)運(yùn)行。如圖所示，客戶可以直接連接兩臺(tái)虛擬機(jī)，通過CRM（客戶關(guān)系管理）應(yīng)用程序直接在同一臺(tái)物理服務(wù)器存儲(chǔ)客戶的交易信息，在這種情況下，應(yīng)用程序和數(shù)據(jù)庫之間幾乎沒有直接的通信記錄，而網(wǎng)絡(luò)監(jiān)察設(shè)備也不能監(jiān)察到交易的詳情。

針對這種情況可以采取什么解決方案呢？顯然，最好的解決方案是對交易信息進(jìn)行更深入的安全檢測，這種方案要依靠虛擬設(shè)備，具體是通過把軟件安裝在虛擬服務(wù)器上，虛擬機(jī)就可以運(yùn)行以往要用專用設(shè)備才能運(yùn)行的軟件。而以虛擬機(jī)為過渡體，服務(wù)器就能對程序進(jìn)行重新設(shè)計(jì)并分析詳情。但是這個(gè)方法有兩個(gè)嚴(yán)重的缺點(diǎn)：那就是性能的高需求和構(gòu)架的復(fù)雜化。

虛擬設(shè)備的性能問題是它缺乏專用設(shè)備的一些性能，專用設(shè)備能夠在后臺(tái)迅速處理大量的通信數(shù)據(jù)（如可以通過使用專用網(wǎng)卡、專用軟件或者通過對軟件的優(yōu)化而充分利用專用硬件來實(shí)現(xiàn)）。當(dāng)軟件在虛擬設(shè)備上運(yùn)行時(shí)，相比其在專用設(shè)備上運(yùn)行，其自身的一些性能將會(huì)受到影響，例如數(shù)據(jù)庫的連接速度會(huì)變慢，或甚至?xí)G失一些交易數(shù)據(jù)。

挑戰(zhàn)二：動(dòng)態(tài)系統(tǒng)環(huán)境

企業(yè)往往會(huì)計(jì)劃開辟一個(gè)路徑使得訪問數(shù)據(jù)庫時(shí)必須經(jīng)過虛擬設(shè)備，而不是在虛擬服務(wù)器上創(chuàng)建一個(gè)動(dòng)態(tài)的環(huán)境，這也使得系統(tǒng)構(gòu)架更加復(fù)雜。這個(gè)復(fù)雜的問題同樣存在于標(biāo)準(zhǔn)的非虛擬網(wǎng)絡(luò)當(dāng)中。對于大多數(shù)的企業(yè)網(wǎng)絡(luò)而言，它們都不能通過定點(diǎn)一個(gè)位置來監(jiān)察數(shù)據(jù)庫中的交易詳情，因此企業(yè)面臨著三個(gè)選擇：重新設(shè)計(jì)他們的網(wǎng)絡(luò)、使用多種安全設(shè)備或者只保護(hù)部分?jǐn)?shù)據(jù)。

如果說虛擬安全設(shè)備對于運(yùn)行在虛擬機(jī)上的一般企業(yè)網(wǎng)絡(luò)而言還不是一個(gè)理想的解決方案，那么它想要應(yīng)用于動(dòng)態(tài)的、主機(jī)頻繁切換的云網(wǎng)絡(luò)中更是不可能的。

挑戰(zhàn)三：廣域網(wǎng)性能

在云計(jì)算部署中，特別是在地理位置分散的私有云部署中，網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)延時(shí)等情況都制約著云計(jì)算的效率。云計(jì)算的一個(gè)重大功能就是在保持?jǐn)?shù)據(jù)通信的同時(shí)無需復(fù)雜的數(shù)據(jù)庫服務(wù)器操作。因此避免了以往要花費(fèi)時(shí)間和精力將交易的數(shù)據(jù)發(fā)送到專用服務(wù)器上而造成網(wǎng)絡(luò)癱瘓，同時(shí)也防止了一些惡意侵入現(xiàn)象。

為了提高效率，代理端口必須具有保護(hù)和預(yù)警能力。這會(huì)確保網(wǎng)絡(luò)不會(huì)成為應(yīng)用的制約因素。對于云計(jì)算或者是分布式數(shù)據(jù)中心等遠(yuǎn)程管理模式而言，還要確保系統(tǒng)能夠支持廣域網(wǎng)的拓?fù)浣Y(jié)構(gòu)。為了避免一些敏感數(shù)據(jù)暴露，應(yīng)該對管理控制臺(tái)和傳感器之間的通信進(jìn)行加密、壓縮，這樣就能實(shí)現(xiàn)策略的有效更新和警報(bào)的有效傳送。任何需要經(jīng)過脫機(jī)處理數(shù)據(jù)庫事務(wù)來確定是否違規(guī)的方案都不能對外來攻擊進(jìn)行有效的保護(hù)。

基于分布式主機(jī)軟件的解決方案

唯一可以確保數(shù)據(jù)庫在虛擬機(jī)或者云環(huán)境下安全運(yùn)行而又不犧牲新系統(tǒng)構(gòu)架強(qiáng)大優(yōu)點(diǎn)的方法就是采用基于軟件的解決方案來共享虛擬機(jī)與云計(jì)算的靈活性。目前面臨的挑戰(zhàn)是要建立一個(gè)全新的基于主機(jī)的解決方案而不要受到傳統(tǒng)的基于主機(jī)的解決方案的缺點(diǎn)的影響。即是要解決侵入防護(hù)問題、性能問題和適應(yīng)新運(yùn)行環(huán)境的問題。

新一代的基于主機(jī)的解決方案不能采用基于內(nèi)核的方案或其它存在風(fēng)險(xiǎn)的方法，因?yàn)樗鼈兌紩?huì)給部署和管理帶來障礙。這種解決方案必須是輕量級的，占用用戶少量的軟件空間，可以輕易地安裝在有需要的虛擬機(jī)上，而且能同時(shí)在同一主機(jī)的所有數(shù)據(jù)庫中運(yùn)行。這就意味著加入一個(gè)安全層不需要改變系統(tǒng)構(gòu)架，也不需要依賴虛擬化技術(shù)。此外，虛擬機(jī)在運(yùn)行你的數(shù)據(jù)庫的同時(shí)是可以根據(jù)實(shí)際情況而自動(dòng)平衡配置的，不需要通過管理控制臺(tái)進(jìn)行人工控制。

Sentrigo公司的解決方案是通過使用基于軟件的傳感器以及一個(gè)能夠與數(shù)據(jù)庫安裝在同一虛擬機(jī)上的輕量級插件來解決諸如此類的數(shù)據(jù)庫安全問題。傳感器是一個(gè)在數(shù)據(jù)庫主服務(wù)器上安裝并監(jiān)視所有活動(dòng)的軟件代理設(shè)備。它會(huì)創(chuàng)建一個(gè)新的進(jìn)程用以監(jiān)控出現(xiàn)在內(nèi)存中的數(shù)據(jù)庫交易信息，滿足了所有的安全性需求，不需要較高的數(shù)據(jù)庫性能和復(fù)雜的網(wǎng)絡(luò)構(gòu)架就能正常地運(yùn)行。此外，在監(jiān)控內(nèi)存的同時(shí)它也防護(hù)了所有的惡意攻擊。無論是來源于網(wǎng)絡(luò)，還是來源于本地管理人員，甚至是來源于數(shù)據(jù)庫本身的侵害，Sentrigo都能迅速地監(jiān)察到并即時(shí)采取行動(dòng)。

Sentrigo的解決方案基于已定義的策略規(guī)則，可對可疑活動(dòng)進(jìn)行報(bào)警，并在需要時(shí)阻止其發(fā)生。策略規(guī)則應(yīng)用到了SQL語句種類、數(shù)據(jù)庫對象、一天的時(shí)間或一月的某天，以及所使用特定用戶配置文件和應(yīng)用程序。操作在滿足規(guī)則的條件時(shí)進(jìn)行，使得將事件寫入日志、發(fā)送警告到SIM/SEM系統(tǒng)、通過e-mail或SMS、或中止一個(gè)用戶會(huì)話來阻止惡意活動(dòng)變得非常簡單。系統(tǒng)帶有預(yù)定義規(guī)則，能夠防御利用數(shù)據(jù)庫漏洞的已知攻擊。

傳感器是輕量級的，它具有必要的邏輯性能去辨別數(shù)據(jù)庫交易的合法性，在監(jiān)控且防止攻擊的同時(shí)也能在常規(guī)服務(wù)器上審計(jì)數(shù)據(jù)庫交易事務(wù)。方案中的管理控制臺(tái)會(huì)從所有的傳感器中收集信息，所以新傳感器的設(shè)置只需確定管理控制臺(tái)的位置。不管數(shù)據(jù)庫是安裝在虛擬機(jī)上，還是直接安裝在物理服務(wù)器上，還是安裝在云環(huán)境中，只要在相同的環(huán)境中安裝傳感器，并接入到管理控制臺(tái)，企業(yè)就能盡情采用這個(gè)集監(jiān)控與反侵害功能于一身，且不會(huì)受到底層網(wǎng)絡(luò)和服務(wù)器影響的系統(tǒng)。

Sentrigo——已為虛擬化和云計(jì)算準(zhǔn)備就緒

許多企業(yè)已經(jīng)發(fā)現(xiàn)虛擬化和云計(jì)算所帶來的好處而逐步向其靠攏，而確保充分的數(shù)據(jù)安全所產(chǎn)生的復(fù)雜問題又成為了一大阻礙因素。但技術(shù)的浪潮是無法阻擋的。

通過部署基于內(nèi)存的分布式數(shù)據(jù)監(jiān)控解決方案，企業(yè)會(huì)發(fā)現(xiàn)這些新興的計(jì)算模型不僅能夠保護(hù)敏感信息，而且還能和專用的數(shù)據(jù)服務(wù)器一樣提供相同的構(gòu)架去確保數(shù)據(jù)的安全。而Sentrigo公司已擁有了這項(xiàng)技術(shù)，能夠迅速地融入到虛擬化和云計(jì)算的潮流中去。

參考資料：http://www.sentrigo.com/