數據庫安全、虛擬化和云計算——現代IT領域數據保護所面臨的三大關鍵技術挑戰

特約通訊員梁曉歡

近幾年,許多公司為保護自己的IT基礎設施所做的大部分努力主要集中在外部，即如何保護公司免遭外部入侵、黑客以及惡意攻擊。目前，公司網絡已經在安全上獲得了一定的改善，獲得了更深層次的保護。但是，數據層仍是公司IT基礎設施的軟肋。

隨著技術的發展，現今大多數企業已普遍使用虛擬化技術，預計在不久的將來云計算應用也將會在企業中普及，所以我們必須考慮一個問題，那就是在新的IT環境中如何更新我們的信息安全技術。

許多人都認為傳統的計算模式需要進行一個全新的改革。通常情況下，在技術系統和軟件方面，網絡安全模式的變革與軟件的變革是不同步的，或者說是網絡安全模式的變革要慢于軟件的變革，這其實是為了應對技術變革可能會帶來的突發情況。例如，經過長時間的觀察，防火墻供應商了解到對應用程序的保護已經不能通過簡單地打開或者關閉防火墻來實現了。眾多企業已經開始部署VoIP服務及其它復雜的協議，但是他們不得不為防火墻的更新而耽誤一段較長的時間，因為只有在防火墻可以成功分析SIP及其它相關協議的前提下，他們的應用程序才能在安全的環境下運行，而這個時間可能是數年。

因此，隨著虛擬化和云計算數據中心專用服務器的更新，我們急需重新考慮現有的信息安全技術，特別是數據庫安全。

虛擬化和云計算下的信息安全趨勢

在過去的幾年里，信息安全所面臨的許多挑戰主要圍繞兩大技術的發展：高性能網絡和復雜的應用。在較短的一段時間內，我們已經從使用SMTP、FTP、HTTP等協議的10baseT因特網跨越到使用SIP、RPC、SOAP以及多種網絡隧道協議的多千兆因特網。因此，一些應用程序（特別像e-mail和網絡應用程序）都面臨著許多安全性威脅，其結果是相同的應用程序都不得不經過多次檢查，大大影響了效率。

為了通過簡單的方案來解決兩大技術發展挑戰，信息安全企業推出了一系列可部署在網絡中某一位置的網絡設備，用以檢測一些違反協議的流量，如惡意代碼、病毒、垃圾郵件等。這種方案已頗受企業的青睞。甚至一些傳統的面向軟件的企業都了解到要運行復雜且高性能的網絡，最簡單的途徑是要部署基于網絡的設備。企業發現自己必須構建多種類型的網絡設備才能消除一些網絡安全威脅，從而達到網絡可擴展性、性能以及拓撲結構的要求。

在網絡安全設備普及的時代，使用主機軟件減輕安全威脅的解決方案遭到了摒棄。基于網絡的如IDS、IPS等安全方案逐漸取締了基于主機的安全方案，而且大部分企業也不會為操作系統增加太多簡單的終端安全技術，當然這也存在一些例外，如第三方防毒軟件，即使有網絡設備提供這項功能，企業仍然會把防毒軟件部署在主機上。對于企業來說，基于網絡設備的方案只需要簡單地將安全設備和交換機連接起來，簡易快捷，特別適用于可用性安全資源緊缺的情況。

在過去的IT系統架構的信息安全環境中，許多公司為保護自己的IT基礎設施所做的大部分努力主要集中在外部，即如何保護公司免遭外部入侵、黑客以及惡意攻擊。這讓企業了解到采用網絡設備是一個可行的方案。然而，在當今IT系統的巨大演變中，對于多數應用，特別是那些在分布式環境中實施的應用，使用網絡設備來監察網絡交易還是存在較大的安全隱患的。這給企業提出了一個疑問：究竟要通過提供一個安全的網絡來防止外部侵犯還是從內部消滅惡意違規事件？CERT進行的年度研究報告顯示，高達50%的數據破壞由內部用戶造成。FBI/CSI有關內部威脅的報告指出：三分之二被調查組織（商業和政府）的報告存在由內部破壞造成的數據損失這種情況，并且在一些組織，高達80%的數據損失由內部破壞造成。報告還顯示在數據遭受破壞時，有57%的相關內部人員獲權訪問數據。因此，這證明了外部和網絡安全措施不足以阻止此類破壞。為了避免設備管理員直接連接服務器或者應用程序使用者濫用訪問權限而危及內部交易安全，現在企業開始發現采用基于主機的解決方案并結合網絡設備似乎更為合適。

除了企業對內部安全性問題的關注度不斷增加，不少企業應用也都在配置了虛擬機的環境下運行，云計算技術應用也延伸到企業當中，這些變化徹底改變了以往實施基于網絡設備解決方案的條件假設。從安全性的角度來考慮，會有更多的挑戰出現，如數據庫具有移動性，可動態地出現在進程的一個新的地方，從而對網絡的處理性能產生新的要求。而這些新的架構也會帶來新的問題，那就是當交易不再在網絡中產生，網絡設備是否繼續更新，或者當網絡從局域網向廣域網轉變后，原先的網絡監測方法是否仍然有效。

數據庫活動監測和攻擊防護分析

近年來雖然網絡外部的安全保護已經得到很大的提高，但是一些敏感數據仍然遭到侵犯，因此企業已經開始尋求一種全新的內部基礎設備保護層。目前，公司網絡已經在安全上獲得了一定的改善，獲得了更深層次的保護。但是，數據層仍是公司IT基礎設施的軟肋。數據庫中包含很多敏感且寶貴的數據：例如有關客戶、事務、財務業績以及人力資源的信息。盡管如此，數據庫仍是公司受保護最少的領域之一。在以往，數據庫在大多數情況下是沒有得到監察和保護的。雖然外部和網絡安全措施對某些攻擊類型起到了防御作用，有不少的基于網絡設備可以被用來檢測數據庫網絡協議，并在通過網絡訪問數據庫時進行審查和保護。但是此類基于網絡的設備只監控網絡，它們無法監視本地數據庫活動。

由于數據庫管理系統較為復雜（其對硬件和運行平臺的要求在不斷增加），因此隨著功能的擴充，它會在安全性方面會出現漏洞，這類漏洞會不斷被用戶、道德黑客，也可能不幸被非道德黑客發現。有一些攻擊類型就是利用數據庫特有的漏洞進行攻擊的，如SQL注入、緩沖區溢出攻擊以及其它瞬時攻擊可以完全穿透Web防火墻、應用程序防火墻以及入侵檢測系統(IDS)，為數據盜竊、擅自修改或破壞數據、侵犯隱私及個人身份信息創造機會。雖然DBMS供應商會盡力修復這些漏洞，但是修復過程平均要花幾個月，有時甚至幾年，這段時間為黑客利用漏洞破壞數據庫提供了機會。

隨著大量的潛在性損害出現在數據庫上，企業開始就清楚地認識到必須充分地了解他們的數據庫，并對其進行全面的監察。此外，如前所述，越來越多的人正逐漸認識到“內部威脅”以及由特權訪問用戶造成的威脅是造成大量數據破壞的原因。

針對外部與內部的安全威脅，需要采用既可以應對數據庫特有威脅又可以應付內部威脅的解決方案。設備供應商不得不把一些本地的代理端口加入到他們的解決方案中，這樣就形成了一個基于網絡和基于主機并存的混合解決方案。在大多數情況下，代理會將產生于主機上的交易詳情發送到網絡設備器進行分析。然而這種混合解決方案是不理想的，因為當交易詳情返回到網絡設備器時，數據庫已經接納了這些數據，即使發現了一些違規的現象，也不能即時地阻止。但只要能增強網絡應用程序的可視性，一些企業還是樂意地冒險的。

相比單純基于網絡的解決方案，混合解決方案會引入一些復雜的實施需求，如代理的安裝需要更改內核等級、重啟系統等。而且，混合解決方案在處理時還會遺漏一些產生于數據庫本身的細微錯誤，如在存儲過程、觸發過程或者可視化過程產生的錯誤。而且，更重要的是在虛擬化環境或者云計算環境下，這些方案不能解決一些關鍵性的問題：

挑戰一：虛擬機之間交易的可視化

隨著虛擬技術的應用，一些應用程序和數據庫已經支持在虛擬服務器或者云計算環境下運行了，同時一些更加復雜的問題也隨之產生。過去，一個應用程序通常會配備在一個或多個服務器上，而數據庫則會安裝在擴展的網絡服務器上。實行虛擬化的好處之一是它能夠共享資源，在虛擬化的環境下，應用程序和數據庫可以遷移到虛擬機上，在許多情況下，可以在同一物理服務器上同時運行。如圖所示，客戶可以直接連接兩臺虛擬機，通過CRM（客戶關系管理）應用程序直接在同一臺物理服務器存儲客戶的交易信息，在這種情況下，應用程序和數據庫之間幾乎沒有直接的通信記錄，而網絡監察設備也不能監察到交易的詳情。

針對這種情況可以采取什么解決方案呢？顯然，最好的解決方案是對交易信息進行更深入的安全檢測，這種方案要依靠虛擬設備，具體是通過把軟件安裝在虛擬服務器上，虛擬機就可以運行以往要用專用設備才能運行的軟件。而以虛擬機為過渡體，服務器就能對程序進行重新設計并分析詳情。但是這個方法有兩個嚴重的缺點：那就是性能的高需求和構架的復雜化。

虛擬設備的性能問題是它缺乏專用設備的一些性能，專用設備能夠在后臺迅速處理大量的通信數據（如可以通過使用專用網卡、專用軟件或者通過對軟件的優化而充分利用專用硬件來實現）。當軟件在虛擬設備上運行時，相比其在專用設備上運行，其自身的一些性能將會受到影響，例如數據庫的連接速度會變慢，或甚至會丟失一些交易數據。

挑戰二：動態系統環境

企業往往會計劃開辟一個路徑使得訪問數據庫時必須經過虛擬設備，而不是在虛擬服務器上創建一個動態的環境，這也使得系統構架更加復雜。這個復雜的問題同樣存在于標準的非虛擬網絡當中。對于大多數的企業網絡而言，它們都不能通過定點一個位置來監察數據庫中的交易詳情，因此企業面臨著三個選擇：重新設計他們的網絡、使用多種安全設備或者只保護部分數據。

如果說虛擬安全設備對于運行在虛擬機上的一般企業網絡而言還不是一個理想的解決方案，那么它想要應用于動態的、主機頻繁切換的云網絡中更是不可能的。

挑戰三：廣域網性能

在云計算部署中，特別是在地理位置分散的私有云部署中，網絡帶寬不足、網絡延時等情況都制約著云計算的效率。云計算的一個重大功能就是在保持數據通信的同時無需復雜的數據庫服務器操作。因此避免了以往要花費時間和精力將交易的數據發送到專用服務器上而造成網絡癱瘓，同時也防止了一些惡意侵入現象。

為了提高效率，代理端口必須具有保護和預警能力。這會確保網絡不會成為應用的制約因素。對于云計算或者是分布式數據中心等遠程管理模式而言，還要確保系統能夠支持廣域網的拓撲結構。為了避免一些敏感數據暴露，應該對管理控制臺和傳感器之間的通信進行加密、壓縮，這樣就能實現策略的有效更新和警報的有效傳送。任何需要經過脫機處理數據庫事務來確定是否違規的方案都不能對外來攻擊進行有效的保護。

基于分布式主機軟件的解決方案

唯一可以確保數據庫在虛擬機或者云環境下安全運行而又不犧牲新系統構架強大優點的方法就是采用基于軟件的解決方案來共享虛擬機與云計算的靈活性。目前面臨的挑戰是要建立一個全新的基于主機的解決方案而不要受到傳統的基于主機的解決方案的缺點的影響。即是要解決侵入防護問題、性能問題和適應新運行環境的問題。

新一代的基于主機的解決方案不能采用基于內核的方案或其它存在風險的方法，因為它們都會給部署和管理帶來障礙。這種解決方案必須是輕量級的，占用用戶少量的軟件空間，可以輕易地安裝在有需要的虛擬機上，而且能同時在同一主機的所有數據庫中運行。這就意味著加入一個安全層不需要改變系統構架，也不需要依賴虛擬化技術。此外，虛擬機在運行你的數據庫的同時是可以根據實際情況而自動平衡配置的，不需要通過管理控制臺進行人工控制。

Sentrigo公司的解決方案是通過使用基于軟件的傳感器以及一個能夠與數據庫安裝在同一虛擬機上的輕量級插件來解決諸如此類的數據庫安全問題。傳感器是一個在數據庫主服務器上安裝并監視所有活動的軟件代理設備。它會創建一個新的進程用以監控出現在內存中的數據庫交易信息，滿足了所有的安全性需求，不需要較高的數據庫性能和復雜的網絡構架就能正常地運行。此外，在監控內存的同時它也防護了所有的惡意攻擊。無論是來源于網絡，還是來源于本地管理人員，甚至是來源于數據庫本身的侵害，Sentrigo都能迅速地監察到并即時采取行動。

Sentrigo的解決方案基于已定義的策略規則，可對可疑活動進行報警，并在需要時阻止其發生。策略規則應用到了SQL語句種類、數據庫對象、一天的時間或一月的某天，以及所使用特定用戶配置文件和應用程序。操作在滿足規則的條件時進行，使得將事件寫入日志、發送警告到SIM/SEM系統、通過e-mail或SMS、或中止一個用戶會話來阻止惡意活動變得非常簡單。系統帶有預定義規則，能夠防御利用數據庫漏洞的已知攻擊。

傳感器是輕量級的，它具有必要的邏輯性能去辨別數據庫交易的合法性，在監控且防止攻擊的同時也能在常規服務器上審計數據庫交易事務。方案中的管理控制臺會從所有的傳感器中收集信息，所以新傳感器的設置只需確定管理控制臺的位置。不管數據庫是安裝在虛擬機上，還是直接安裝在物理服務器上，還是安裝在云環境中，只要在相同的環境中安裝傳感器，并接入到管理控制臺，企業就能盡情采用這個集監控與反侵害功能于一身，且不會受到底層網絡和服務器影響的系統。

Sentrigo——已為虛擬化和云計算準備就緒

許多企業已經發現虛擬化和云計算所帶來的好處而逐步向其靠攏，而確保充分的數據安全所產生的復雜問題又成為了一大阻礙因素。但技術的浪潮是無法阻擋的。

通過部署基于內存的分布式數據監控解決方案，企業會發現這些新興的計算模型不僅能夠保護敏感信息，而且還能和專用的數據服務器一樣提供相同的構架去確保數據的安全。而Sentrigo公司已擁有了這項技術，能夠迅速地融入到虛擬化和云計算的潮流中去。

參考資料：http://www.sentrigo.com/