معرفی فایروال پایگاه داده

تاريخ:25 مهر 1388

مقدمه: گسترش استفاده از فضای تبادل اطلاعات در كشور طی سال‌های گذشته و برقراری ارتباط از طریق وب، موجب وابستگی نهادهای مختلف اجتماعی به این پدیده شده است. از زمانی كه برخی نگرانی‌ها در خصوص تعرض به حریم خصوصی افراد و سازمان‌ها ظاهر شد، متخصصان فناوری اطلاعات جهت جلوگیری از این تهدیدات و حمایت از اطلاعات خصوصی بنگاه‌ها، افراد و دستگاه‌های مختلف تلاش‌های ارزشمندی را ساماندهی نمودند تا فضای اعتماد به تبادلات الكترونیكی دچار آسیب كمتری شود.

در این بین با وجود اینكه راه‌كارهای امنیت شبكه رشد خوبی داشته‌اند و محصولات متنوعی نظیر فایروال، VPN، UTM و غیره ارائه می‌شوند، در راستای امنیت برنامه‌های كاربردی و سامانه‌های مدیریت پایگاه ‌داده عنایت كافی در سازمان‌ها وجود ندارد. این در حالی است كه داده‌های ارزشمند سازمان در سامانه مدیریت پایگاه ‌داده آن ذخیره می‌شود و افشای آن می‌تواند آثار جبران‌ناپذیری برای سازمان به همراه داشته باشد. وظیفه فایروال پایگاه‌ داده (Database Firewall) حضور در عمق خط دفاع و فراهم‌آوری كنترل كامل روی دسترسی‌ها و ممیزی و تحلیل آنها قبل از دستیابی به محتویات پایگاه‌ داده است.

فایروال پایگاه‌ داده 
در حیطه ابزارهای امنیت اطلاعات، محصولات فایروال را می‌توان یكی از عمومی‌ترین تكنولوژی‌ها در راستای امن‌سازی نام برد. البته این محصولات توان امنیتی خود را بیشتر در زمینه امن‌سازی شبكه نشان داده‌اند. ولی واقعیت این است كه فایروال‌ها تنها در مباحث امنیت شبكه مورد استفاده قرار نمی‌گیرند. تكنولوژی فایروال‌ها از زمان اولین نسل آنها یعنی حدود سال 1995 میلادی تاكنون، سیر توسعه و تحول ویژه‌ای را طی نموده است. این سیر توسعه را می‌توان در دو زمینه كلی رشد قابلیت‌ها و افزایش كاربردها دسته‌بندی نمود. 

محصولات فایروال از نظر حیطه كاربرد در چهار دسته فایروال شبكه (Network Firewall)، فایروال شخصی (Personal Firewall)، فایروال برنامه كاربردی مبتنی بر وب (Web Application Firewall)WAF  و فایروال پایگاه‌ داده تقسیم‌بندی می‌شوند. همانطور كه از نام این محصولات مشخص می‌شود، هر كدام در یك حیطه خاص كاربرد دارند. اگرچه در این بین فایروال‌های شبكه از محبوبیت بالایی در امن‌سازی برخوردارند اما بدیهی است نیازمندی به فایروال شخصی و یا مابقی فایروال‌ها را مرتفع نمی‌سازند. با توجه به محدودیت‌های موجود در فایروال‌های شبكه، بازرسی كامل محتوای ارتباطات سامانه‌های مدیریت پایگاه داده توسط این فایروال‌ها پشتیبانی نمی‌شود.

از طرفی افزایش تهدیدات مربوط به سامانه‌های مدیریت پایگاه‌ داده و حساسیت بالای داده‌هایی كه در این سامانه‌ها نگهداری می‌شود، نیاز به یك سامانه خاص برای بازرسی دقیق ارتباطات DBMS را ضروری نموده است. در بین انواع فایروال‌های مذكور، فایروال پایگاه‌ داده به ‌طور خاص وظیفه حفاظت از سامانه‌های مدیریت پایگاه‌داده را برعهده دارد و با نام دروازه امنیتی پایگاه ‌داده (Database security gateway) و یا ناظر عملیات پایگاه ‌داده (Database Activity Monitoring) DAM نیز ارائه می‌شود. تكنولوژی DAM برای اولین بار در گزارش موسسه Gartnet اینگونه تشریح شد: «سامانه نظارت بر عملیات پایگاه ‌داده یك تكنولوژی ویژه برای نظارت، تحلیل و كنترل عملیات DBMS است كه می‌توان برای هر نوع سامانه مدیریت پایگاه داده، عملیات را تشخیص و تحلیل نماید. این محصول باید دانش لازم برای درك ساختار پایگاه‌ داده و ارتباطات آن را داشته باشد تا بتواند از داده‌های ذخیره شده در آن حفاظت نماید.» 

تحقیقات مرتبط 
تحقیقات گوناگونی در زمینه فایروال پایگاه ‌داده انجام شده است كه در اینجا به مرور مهم‌ترینشان می‌پردازیم. گروهی از محققین در دانشگاه ژیجیانگ یك مدل مرجع لایه‌بندی‌شده برای فایروال­های  پایگاه‌داده ارائه كرده‌اند. آنها فایروال را بر اساس دانش، اهداف محاسباتی و ریزدانگی كنترل به سه لایه زیر تقسیم كرده‌اند:

لایه شبكه: این لایه وظایف معمول یك فایروال شبكه را برعهده دارد. و بر اساس قراردادهای مبادلاتی و محتویات سرآیند بسته‌ها، به كنترل دسترسی‌ها پرداخته و سربار كمی بر سامانه دارد.

لایه شماتیك (Schematic Layer): این لایه خط‌مشی امنیتی مرتبط با شمای پایگاه‌داده را اعمال می‌كند. همچنین توانایی فهم قراردادهای ارتباطی مورد استفاده DBMS را دارد و اطلاعات مرتبط با شمای پایگاه‌ داده را از ترافیك بین DBMS و كارفرما (Client) استخراج كرده و به تحلیل آنها می‌پردازد. در این لایه ریزدانگی كنترل به اندازه ریزدانگی شمای پایگاه‌ داده است كه شامل انواع اشیاء پایگاه ‌داده، نام اشیاء و خصوصیاتشان می‌شود. 

لایه معنایی (Semantic layer): این لایه خط‌مشی امنیتی مرتبط با هركدام از اقلام داده‌ای پایگاه‌ داده را اعمال می‌كند. در كنار شمای پایگاه‌ داده، این لایه بخشی از اطلاعات معنایی را نیز می‌داند و می‌تواند معنای ترافیك ارتباطی بین DBMS و كارگزار را تحلیل كند. این لایه می‌تواند دسترسی‌ها را بر طبق مقادیر خاص صفات (Attribute) كنترل كند و به صورت شفاف (Transparently) ترافیك را تغییر دهد، اما هزینه این لایه بسیار زیاد است. اطلاعات معنایی ترافیك ورودی (مقادیر صفات) به عنوان محدودیت در بند WHERE استفاده می‌شوند و تابع تجزیه معنایی (Semantic Parsing Function) مسئول استخراج آنها از بسته‌ها می‌باشد. همچنین از منظر فایروال پایگاه‌ داده، تمام اطلاعات درون بسته‌های سطح كاربرد ترافیك خروجی، اطلاعات معنای هستند و بنابراین اعمال توابع امنیتی روی ترافیك خروجی بسیار مؤثرتر از اعمال روی ترافیك ورودی است. گروهی دیگر در دانشگاه ایالتی پنسیلوانیا یك معماری از فایروال پایگاه‌داده ارائه نموده‌اند.

طبق ارائه آنها، هر فایروال پایگاه‌داده حداقل باید شامل سه مولفه زیر باشد:

تخمین‌گر صحت (Integrity estimator) برای تعیین مدل صحت و تخمین صحت داده هنگام حمله.

مدیر فایروال (Firewall manager): برای مدیریت رقابت بین امنیت و كارآیی

مدیر خط‌مشی دسترسی (Access Policy Manager): برای تشكیل مجموعه قواعد دسترسی و خط‌مشی امنیتی این گروه در مقاله دیگری به تبیین اهداف ایجاد دروازه‌‌های امنیتی پایگاه‌داده  شامل پیش‌بینی خرابی داده‌ها و نیز جلوگیری از انتشار آنها پرداخته‌اند و برخی اقدامات لازم در جهت رسیدن به این اهداف را برشمرده­اند. 

در این مقاله استفاده از سامانه تشخیص نفوذ (Intrusion Detection System) به عنوان اولین اقدام معرفی شده است. اقدام دیگر اداره شكست (Failure Handling) می‌باشد كه اتمیك بودن پایگاه‌ داده را تضمین می‌كند و به‌ دنبال محافظت از صحت (Integrity) داده‌های ذخیره شده در پایگاه داده است.  روش‌هایی همچون استفاده از نقطه وارسی (Checkpoint) برای بازگرداندن كل پایگاه‌ داده به یك نقطه زمانی معین از این دسته می‌باشند (اگرچه برخی از تراكنش‌های پاك نیز همراه تراكنش‌های مخرب از بین می‌روند.)

روش دیگر ترمیم حمله (Attack recovery) است كه اهدافی متفاوت از اداره شكست را دنبال می‌كند و بر روی تراكنش‌های مخربی كه اجرا شده‌اند تمركز دارد. بزرگترین ایراد این روش‌ لزوم توقف خدمت‌ پایگاه‌ داده در طول اصلاح است. گروهی دیگر از محققین در مقاله­ای چگونگی كار با پرس‌وجوها در فایروال پایگاه‌داده را بررسی نموده‌اند. آنها چهار مولفه اصلی فایروال پایگاه‌ داده را اعتبارسنج پرس‌وجو (Query Validator)، مولد پرس‌وجو (Query Generator)، مبدل پرس‌وجو (Query Transformer) و صافی پرس‌وجو (Query Filter) برشمرده‌اند. براساس مدل آنها، اعتبارسنج پرس‌وجو بررسی می‌كند كه آیا پرس‌وجوی ارسال شده توسط برنامه با توجه به شِمای پایگاه ‌داده معتبر است یا خیر.

این مولفه یك تجزیه‌گر (Parser) برای بررسی تطابق پرس‌وجو با SQL استاندارد را در خود دارد. مولد پرس‌وجو درخواست‌ها به پایگاه‌داده را به شكل فراخوانی API دریافت كرده و عبارات پرس‌وجوی مناسب شِمای پایگاه‌ داده را از آن تولید و به مبدل پرس‌وجو می‌فرستد. مبدل پرس‌وجو وظیفه تبدیل یك پرس‌وجو روی شِمای انتزاعی (Abstract-schema) به یك پرس‌وجوی معادل حاوی نام اشیا داخل شِمای منطقی (Logical-schema) را برعهده می‌گیرد.

صافی پرس‌وجو مهمترین مولفه فایروال است كه عملیاتی همچون الحاق یك مسند (Predicate) به پرس‌وجو و تنها ارائه ستون‌های مجاز برای كاربر جاری را فراهم می‌آورد. صافی برای این موضوع از خط‌مشی امنیتی كه توسط مدیر امنیتی سرپرستی می‌شود استفاده می‌كند. در ضمن این مولفه وظیفه تصفیه به هر دو صورت سطری و ستونی را برعهده می‌گیرد.