ORACLE DATABASE FIREWALL

ORACLE DATABASE FIREWALL
Oracle Database Firewall (DBFW) представляет собой программный комплекс мониторинга,
аудита и контроля доступа к информации, обрабатываемой в базах данных Oracle и
сторонних поставщиков.
Его использование позволяет исключить возможность выполнения неавторизованных или
нетипичных запросов и команд управления базами данных. В отличие продуктов
сторонних поставщиков в разработке DBFW не применяются методики реверсивного
инжиниринга, направленные на изучение и использование проприетарного программного
обеспечения (в частности SQL*Net), потенциально приводящие к нарушению работы
СУБД. В решении Oracle реализована собственная высокоточная, основанная на полном
представлении о структуре, составе предаваемых данных и грамматическом анализе SQL
выражений, технология, позволяющая контролировать и блокировать, при
необходимости, запросы и команды, передаваемые по сети, прежде чем они поступят на
исполнение в базы данных.
Для применения DBFW не потребуется вносить изменения в существующую
инфраструктуру БД и приложений. Кроме того, он легок в установке и настройке.
Обеспечение безопасности и соответствие нормативным требованиям
Современные сетевые экраны (брандмауэры) играют важную роль в обеспечении
надежной защиты информационных ресурсов организаций от неавторизованного
внешнего доступа. Однако продолжают развиваться и становятся все более изощренными,
использующими малейшие бреши защиты, методы проведения атак на информационные
ресурсы. В этой связи вопросы защиты информационных ресурсов от внешних атак
остаются актуальными. Для предотвращения негативных последствий реализации угроз
организациям требуется решение, обладающее не только функциональность
брандмауэра, но и учитывающее специфику защиты баз данных. Oracle Database Firewall
предназначен для обеспечения такой защиты. Он позволяет в режиме реального времени
проводить мониторинг трафика и запрещать неавторизованный доступ к базам данных,
исключать возможность реализации SQL инъекций, направленных на использование
уязвимостей в системе защиты,
запрещает другую подозрительную активность
пользователей.
Новое поколение средств сетевой защиты баз данных
Перед тем как передать поступившие SQL запросы в базу данных Oracle Database Firewall
проверяет их грамматическую структуру. В зависимости от результатов такой проверки по
отношению к SQL выполняются действия, соответствующие принятой политике
безопасности (разрешить выполнение; блокировать; разрешить и провести регистрацию;
сформировать предупреждение; выполнить подмену содержания). Это достигается за счет
применения современной технологии проведения проверок и распознания угроз. Будучи
технологией нового поколения, она обеспечивает высокую точность получаемых оценок
по сравнению с существующими способами, реализующими проверки на основе
шаблонов, заблаговременно подготовленных для известных угроз безопасности и, как
следствие, снижается уровень «ложных срабатываний» системы защиты.
В итоге DBFW обеспечивает высокий уровень достоверности при распознании атак,
использующих как известные, так и новые (угрозы «нулевого дня») способы
формирования нетипичных запросов, и блокирует их прежде, чем те поступят в базу
данных.
Гибкая политика безопасности
Oracle Database Firewall поддерживает различные режимы создания политик
безопасности. Т.н. режим «белый лист» описывает подмножество разрешенных к
исполнению SQL выражений. Описание такого подмножества может быть получено как
непосредственно в ходе анализа поступающих запросов, так и с использованием уже
имеющихся, ранее подготовленных и импортированных, описаний.
В режиме «черный лист» используется список, содержащий названия схем, таблиц, имена
пользователей или непосредственно перечень запрещенных SQL выражений. В случае
если поступившее SQL выражение будет в этом списке или содержать перечисленные в
нем элементы, то оно будет заблокировано системой защиты и в базу данных не поступит.
Для каждого из режимов дополнительно могут быть описаны исключения, за счет которых
возможна еще большая гибкость в описании требований политики безопасности. Кроме
того, имеется возможность учета дополнительных атрибутов: категория SQL выражения,
время суток, название приложения, имя пользователя приложения, сетевой адрес.
Обширный арсенал настроек в сочетании с углубленным грамматическим анализом SQL
выражений, обеспечивает эффективную защиту баз данных от нежелательных запросов и
несанкционированных действий.
Предупреждения о нарушениях политик, отчеты и аудит
Oracle Database Firewall содержит более 100 предустановленных (встроенных) отчетов,
которые могут быть легко настроены в соответствии с требованиями как международных
нормативных актов, так и в соответствии с требованиями политик информационной
безопасности организации. Возможность формирования в реальном масштабе времени
предупреждений о нарушениях установленных политик помогает организовать систему
оперативного реагирования на события информационной безопасности. Для обеспечения
защиты конфиденциальных данных, содержащихся в текстах регистрируемых SQL
выражений, предусмотрена возможность их маскирования перед записью данных аудита.
Схемы развертывания
В зависимости от решаемых задач могут быть использованы следующие схемы
развертывания Oracle Database Firewall:
 мониторинг - (In-line)
 мониторинг и блокирование - (In-line)
 только мониторинг – (out-of-band)
Для повышения надежности обработки данных предусматривается возможность
реализации схемы параллельной установки DBFW (High availability mode, HA).
Мониторинг для удаленных серверов баз данных может проводиться, при необходимости,
с использованием специализированных агентов.
В системе защиты баз данных с помощью DBFW особое место занимает управляющий
сервер (Firewall Management Server), который предназначен для консолидации данных
аудита от установленных в сети DBFW, централизованного управления системой и
подготовки отчетов.
Oracle Database Firewall легко интегрируется с существующими средствами обеспечения
безопасности баз данных Oracle, включая решения по обеспечению контроля над
привилегированными пользователями, прозрачного преобразования конфиденциальных
данных для их защиты на физических носителях информации, а также со средствами
встроенного аудита.