معرفی فایروال پایگاه‌ داده

تاريخ:9 آبان 1388

احمد شیرعلی‌نیا- بخش اول این مقاله را در شماره قبل خوانید. به دلیل اهمیت موضوع و جلوگیری از گسیختگی موضوع برای خوانندگان محترم خلاصه بخش اول همراه با بخش پایانی آورده شده است. گسترش استفاده از فضای تبادل اطلاعات در كشور طی سال‌های گذشته و برقراری ارتباط از طریق وب، موجب وابستگی نهادهای مختلف اجتماعی به این پدیده شده است. از زمانی كه برخی نگرانی‌ها در خصوص تعرض به حریم خصوصی افراد و سازمان‌ها ظاهر شد، متخصصان فناوری اطلاعات جهت جلوگیری از این تهدیدات و حمایت از اطلاعات خصوصی بنگاه‌ها، افراد و دستگاه‌های مختلف تلاش‌های ارزشمندی را ساماندهی نمودند تا فضای اعتماد به تبادلات الكترونیكی دچار آسیب كمتری شود.

در این بین با وجود این‌كه راه‌كارهای امنیت شبكه رشد خوبی داشته‌اند و محصولات متنوعی نظیر فایروال، VPN، UTM و غیره ارائه می‌شوند، در راستای امنیت برنامه‌های كاربردی و سامانه‌های مدیریت پایگاه‌داده عنایت كافی در سازمان‌ها وجود ندارد. این در حالی است كه داده‌های ارزشمند سازمان در سامانه مدیریت پایگاه‌داده آن ذخیره می‌شود و افشای بسیاری از می‌تواند آثار جبران‌ناپذیری برای سازمان به همراه داشته باشد. وظیفه فایروال پایگاه‌داده (Database Firewall) حضور در عمق خط دفاع و فراهم‌آوری كنترل كامل روی دسترسی‌ها و ممیزی و تحلیل آنها قبل از دستیابی به محتویات پایگاه‌داده است.

فایروال پایگاه‌داده
در حیطه ابزارهای امنیت اطلاعات، محصولات فایروال را می‌توان یكی از عمومی‌ترین تكنولوژی‌ها در راستای امن‌سازی نام برد. البته این محصولات توان امنیتی خود را بیشتر در زمینه امن‌سازی شبكه نشان داده‌اند. ولی واقعیت این است كه فایروال‌ها تنها در مباحث امنیت شبكه مورد استفاده قرار نمی‌گیرند. تكنولوژی فایروال‌ها از زمان اولین نسل آنها یعنی حدود سال 1995 میلادی تاكنون، سیر توسعه و تحول ویژه‌ای را طی نموده است. این سیر توسعه را می‌توان در دو زمینه كلی رشد قابلیت‌ها و افزایش كاربردها دسته‌بندی نمود.

محصولات فایروال از نظر حیطه كاربرد در چهار دسته فایروال شبكه (Network Firewall)، فایروال شخصی (Personal Firewall)، فایروال برنامه كاربردی مبتنی بر وب WAF (Web Application Firewall)، و فایروال پایگاه‌داده تقسیم‌بندی می‌شوند. همان‌طور كه از نام این محصولات مشخص می‌شود، هر كدام در یك حیطه خاص كاربرد دارند. اگرچه در این بین فایروال‌های شبكه از محبوبیت بالایی در امن‌سازی برخوردارند اما بدیهی است نیازمندی به فایروال شخصی و یا مابقی فایروال‌ها را مرتفع نمی‌سازند. با توجه به محدودیت‌های موجود در فایروال‌های شبكه، بازرسی كامل محتوای ارتباطات سامانه‌های مدیریت پایگاه‌داده توسط این فایروال‌ها پشتیبانی نمی‌شود.

از طرفی افزایش تهدیدات مربوط به سامانه‌های مدیریت پایگاه‌داده و حساسیت بالای داده‌هایی كه در این سامانه‌ها نگهداری می‌شود، نیاز به یك سامانه خاص برای بازرسی دقیق ارتباطات DBMS را ضروری نموده است. در بین انواع فایروال‌های مذكور، فایروال پایگاه‌داده بطور خاص وظیفه حفاظت از سامانه‌های مدیریت پایگاه‌داده را برعهده دارد و با نام دروازه امنیتی پایگاه‌داده (Database security gateway) و یا ناظر عملیات پایگاه‌داده (DAM) Database Activity Monitoring نیز ارائه می‌شود.

تكنولوژی DAM برای اولین بار در گزارش مؤسسه Gartnet این‌گونه تشریح شد؛ «سامانه نظارت بر عملیات پایگاه‌داده یك تكنولوژی ویژه برای نظارت، تحلیل و كنترل عملیات DBMS است كه می‌توان برای هر نوع سامانه مدیریت پایگاه‌داده، عملیات را تشخیص و تحلیل نماید. این محصول باید دانش لازم برای درك ساختار پایگاه‌داده و ارتباطات آن را داشته باشد تا بتواند از داده‌های ذخیره شده در آن حفاظت نماید.»

تحقیقات مرتبط
تحقیقات گوناگونی در زمینه فایروال پایگاه‌داده انجام شده است كه در این‌جا به مرور مهم‌ترینشان می‌پردازیم. گروهی از محققین در دانشگاه ژیجیانگ یك مدل مرجع لایه‌بندی‌شده برای فایروال‌های پایگاه‌داده ارائه كرده‌اند. آنها فایروال را بر اساس دانش، اهداف محاسباتی و ریزدانگی كنترل به سه لایه زیر تقسیم كرده‌اند:

لایه شبكه: این لایه وظایف معمول یك فایروال شبكه را برعهده دارد. و بر اساس قراردادهای مبادلاتی و محتویات سرآیند بسته‌ها، به كنترل دسترسی‌ها پرداخته و سربار كمی بر سامانه دارد.

لایه شماتیك ( Schematic Layer): این لایه خط‌مشی امنیتی مرتبط با شمای پایگاه‌داده را اعمال می‌كند. همچنین توانایی فهم قراردادهای ارتباطی مورد استفاده DBMS را دارد و اطلاعات مرتبط با شمای پایگاه‌داده را از ترافیك بین DBMS و كارفرما استخراج كرده و به تحلیل آنها می‌پردازد. در این لایه ریزدانگی كنترل به اندازه ریزدانگی شمای پایگاه‌داده است كه شامل انواع اشیاء پایگاه‌داده، نام اشیاء و خصوصیاتشان می‌شود.

لایه معنایی (Semantic layer): این لایه خط‌مشی امنیتی مرتبط با هركدام از اقلام داده‌ای پایگاه‌داده را اعمال می‌كند. در كنار شمای پایگاه‌داده، این لایه بخشی از اطلاعات معنایی را نیز می‌داند و می‌تواند معنای ترافیك ارتباطی بین DBMS و كارگزار را تحلیل كند. این لایه می‌تواند دسترسی‌ها را برطبق مقادیر خاص صفات كنترل كند و به صورت شفاف ترافیك را تغییر دهد، اما هزینه این لایه بسیار زیاد است. اطلاعات معنایی ترافیك ورودی (مقادیر صفات) به عنوان محدودیت در بند WHERE استفاده می‌شوند و تابع تجزیه معنایی مسئول استخراج آنها از بسته‌ها می‌باشد. همچنین از منظر فایروال پایگاه‌داده، تمام اطلاعات درون بسته‌های سطح كاربرد ترافیك خروجی، اطلاعات معنایی هستند و بنابراین اعمال توابع امنیتی روی ترافیك خروجی بسیار مؤثرتر از اعمال روی ترافیك ورودی است. گروهی دیگر در دانشگاه ایالتی پنسیلوانیا یك معماری از فایروال پایگاه‌داده ارائه نموده‌اند. طبق ارائه آنها، هر فایروال پایگاه‌داده حداقل باید شامل سه مؤلفه زیر باشد:

تخمینگر صحت (Integrity estimator)؛ برای تعیین مدل صحت و تخمین صحت داده هنگام حمله
مدیر فایروال؛ برای مدیریت رقابت بین امنیت و كارایی

مدیر خط‌مشی دسترسی (Access Policy Manager)؛ برای تشكیل مجموعه قواعد دسترسی و خط‌مشی امنیتی این گروه در مقاله دیگری به تبیین اهداف ایجاد دروازه‌‌های امنیتی پایگاه‌داده شامل پیش‌بینی خرابی داده‌ها و نیز جلوگیری از انتشار آنها پرداخته‌اند و برخی اقدامات لازم در جهت رسیدن به این اهداف را برشمرده‌اند.

در این مقاله استفاده از سامانه تشخیص نفوذ (Intrusion Detection System) به عنوان اولین اقدام معرفی شده است. اقدام دیگر اداره شكست (Failure Handling) می‌باشد كه اتمیك بودن پایگاه‌داده را تضمین می‌كند و به‌دنبال محافظت از صحت (Integrity) داده‌های ذخیره شده در پایگاه‌داده است. روش‌هایی همچون استفاده از نقطه وارسی (Checkpoint) برای بازگرداندن كل پایگاه‌داده به یك نقطه زمانی معین از این دسته می‌باشند (اگرچه برخی از تراكنش‌های پاك نیز همراه تراكنش‌های مخرب از بین می‌روند).

روش دیگر ترمیم حمله (Attack recovery) است كه اهدافی متفاوت از اداره شكست را دنبال می‌كند و بر روی تراكنش‌های مخربی كه اجرا شده‌اند تمركز دارد. بزرگترین ایراد این روش‌ لزوم توقف خدمت‌ پایگاه‌داده در طول اصلاح است. گروهی دیگر از محققین در مقاله‌ای چگونگی كار با پرس‌وجوها در فایروال پایگاه‌داده بررسی نموده‌اند. آنها چهار مؤلفه اصلی فایروال پایگاه‌داده را اعتبارسنج پرس‌وجو، مولد پرس‌وجو، مبدل پرس‌وجو و صافی پرس‌وجو برشمرده‌اند. براساس مدل آنها، اعتبارسنج پرس‌وجو بررسی می‌كند كه آیا پرس‌وجوی ارسال شده توسط برنامه با توجه به شِمای پایگاه‌داده معتبر است یا خیر.

این مؤلفه یك تجزیه‌گر برای بررسی تطابق پرس‌وجو با SQL استاندارد را در خود دارد. مولّد پرس‌وجو درخواست‌ها به پایگاه‌داده را به شكل فراخوانی API دریافت كرده و عبارات پرس‌وجوی مناسب شِمای پایگاه‌داده را از آن تولید و به مبدل پرس‌وجو می‌فرستد. مبدل پرس‌وجو وظیفه تبدیل یك پرس‌وجو روی شِمای انتزاعی (Abstract-schema) به یك پرس‌وجوی معادل حاوی نام اشیا داخل شِمای منطقی (Logical-schema) را برعهده می‌گیرد. صافی پرس‌وجو مهم‌ترین مولفه فایروال است كه عملیاتی همچون اِلحاق یك مسند (Predicate) به پرس‌وجو و تنها ارائه ستون‌های مجاز برای كاربر جاری را فراهم می‌آورد. صافی برای این موضوع از خط‌مشی امنیتی كه توسط مدیر امنیتی سرپرستی می‌شود استفاده می‌كند. در ضمن این مؤلفه وظیفه تصفیه به هر دو صورت سطری و ستونی را برعهده می‌گیرد.

قابلیت‌های فایروال پایگاه ‌داده
محرمانگی، صحت، و دسترس‌پذیری را به عنوان اصلی‌ترین اهداف در مقوله امنیت برمی‌شمرند. محرمانگی در زمینه افشای غیرمجاز اطلاعات، صحت درباره تغییر غیرمجاز اطلاعات یا فرآیندها، و دسترس‌پذیری در مورد منع نادرست دسترسی به اطلاعات بحث می‌كند. پایگاه‌داده نیازمند استفاده از قابلیت‌هایی برای دستیابی به این اهداف امنیتی می‌باشد كه در این قسمت به برخی از آنها اشاره می‌شود.

كنترل دسترسی؛ كنترل دسترسی در دو سطح شِمای پایگاه‌داده روی ترافیك ورودی و مقادیر داده‌ای (معنایی) روی ترافیك خروجی می‌تواند انجام شود و محدودیت‌ها را به شكل عدم دسترسی، رمزگذاری یا تارسازی داده‌ها اِعمال نمود. این نوع از كنترل دسترسی ایراداتی را نیز به همراه دارد كه از آن جمله می‌توان به لزوم اطلاع فایروال از ساختار پایگاه‌داده (وابستگی به دانش) و نیز عدم شفافیت فایروال از دید كاربر در زمان اِعمال توابعی همچون نگاشت (عدم شفافیت) اشاره كرد.

ممیزی و نظارت؛ ممیزی و نظارت مستمر برای رعایت استانداردهای امنیت پایگاه‌داده بسیار مهم و ضروری به نظر می‌رسد. با جستجوی سوءاستفاده‌های شناخته شده و یا فعالیت‌های غیرعادی از الگوی رفتاری ایجاد شده می‌توان به تحلیل ترافیك و جلوگیری از نفوذ به پایگاه‌داده پرداخت.

رمزنگاری؛ رمزنگاری نیز یكی دیگر از ابزارهای شناخته شده برای تأمین امنیت است كه در صورت استفاده بجا، می‌تواند بسیار مؤثر واقع شود. ارزیابی آسیب‌پذیری‌ها، تلاش برای یافتن آسیب‌پذیری‌هایی است كه می‌توانند در نفوذ به پایگاه‌داده مورد استفاده واقع شوند. سرپرست پایگاه‌داده ابزارهای پویش آسیب‌پذیری را به منظور كشف پیكربندی‌های ناصحیح همراه با آسیب‌پذیری‌های شناخته‌شده، اجرا می‌كند. نتایج این پویش‌ها می‌تواند در محكم‌سازی پایگاه‌داده به منظور مقابله با تهدیدات مورد استفاده واقع شود.

ترمیم سوانح؛ وجود برنامه‌ای برای بازیابی سوانح در طول وقوع یك حادثه امنیتی یا هر حادثه دیگری كه موجب قطع خدمت‌رسانی پایگاه‌داده شود، برای یك پایگاه‌داده قابل اعتماد بسیار ضروری است. حفظ صحت با استفاده از روش‌های اداره شكست و یا ترمیم حمله انجام می‌شود كه از بزرگ‌ترین معایب شیوه‌های موجود می‌توان به توقف خدمت در حین اصلاح و یا حذف برخی تراكنش‌های پاك اشاره نمود.
كاربردهای اصلی فایروال پایگاه‌داده
فایروال پایگاه‌داده می‌تواند به‌عنوان ابزار امنیتی برای حفاظت سامانه‌های مدیریت پایگاه‌داده نقش داشته باشد. برای این منظور برخی از مهم‌ترین كاربردی‌هایی كه این محصول برای یك سازمان خواهد داشت، در ادامه آورده می‌شود.

نظارت بر عملكرد كاربران مجاز در پایگاه‌داده: ثبت تمامی دسترسی‌های كاربران برای پیگیری و ممیزی رخدادها در سامانه مدیریت پایگاه‌داده ضروری است. باید توجه داشت كه كاربرانی نظیر DBA و root می‌توانند امكانات سامانه مدیریت پایگاه‌داده را برای ثبت رخدادها غیرفعال نمایند. بنابراین اطمینان كامل به تدابیر نظارتی DBMS كفایت نمی‌كند.

تشخیص و جلوگیری از حملات: با توجه به قابلیت تحلیل كامل ارتباطات پایگاه‌داده در فایروال‌های پایگاه‌داده، تشخیص و جلوگیری از حملات در این محصولات با دقت بهتری از سامانه‌های IPS تحت شبكه انجام می‌شود.

مدیریت مركزی: با استقرار یك فایروال پایگاه‌داده می‌توان چندین سامانه مدیریت پایگاه‌داده را بازرسی نمود. بنابراین مدیر شبكه می‌تواند مدیریت سامانه‌های مدیریت پایگاه‌داده را به‌صورت متمركز و مستقل از هر كارگزار انجام دهد. بدیهی است این امكان، تعریف سیاست‌های امنیتی را برای سامانه‌های مدیریت پایگاه‌داده ساده‌تر نموده و امكان ردگیری مخاطرات را افزایش می‌دهد.

روش‌های استقرار محصول
نحوه استقرار فایروال پایگاه‌داده توصیف‌كننده چگونگی اعمال بازرسی و همچنین میزان بازرسی می‌باشد. بطور كلی برای استقرار فایروال پایگاه‌داده در یك سازمان چندین راهكارهای وجود دارد كه در ادامه این بخش شرح داده می‌شوند.

استقرار به‌صورت Inline در شبكه
در این روش فایروال پایگاه‌داده در شبكه و قبل از DBMS قرار می‌گیرد، به‌نحوی كه بتواند تمامی ترافیك ارسالی شبكه به پایگاه‌داده را دریافت و بازرسی نماید. در صورتی كه در شبكه سازمان ناحیه‌ای برای قرارگیری كارگزاران پایگاه‌داده وجود داشته باشد، می‌توان فایروال پایگاه‌داده را در لبه این ناحیه قرار داد. قرارگیری محصول به‌صورت Inline منجر به افزایش میزان بازرسی شده و مدیر شبكه از اعمال سیاست‌های امنیتی تعریف شده در فایروال پایگاه‌داده اطمینان كامل خواهد داشت. از طرف دیگر نكته مهم در این‌گونه استقرار این است كه محصول در شبكه به‌عنوان Single Point of Failure محسوب می‌شود و در صورت هرگونه اختلال در كار فایروال پایگاه‌داده، ارتباطات قطع خواهد شد. 

استقرار به‌عنوان ناظر شبكه
در این روش می‌توان محصول را به‌صورت كاملاً شفاف در شبكه قرار داد. برای این منظور استفاده از Monitor Port در سوییچ‌ها معمول‌ترین روش است. از مهم‌ترین مزایای این روش می‌توان شفافیت كامل، نصب و استقرار سریع، عدم خرابی در پیكربندی شبكه و عدم افزایش تجهیزات Inline را نام برد. با وجود سادگی این روش، مهم‌ترین مشكل در این روش عدم اطمینان برای اعمال سیاست‌های امنیتی مدیریت است. باید توجه داشت كه در شرایط نظارت ممكن است محصول نتواند عملیات بلاك نمودن ترافیك مشكوك را به عنوان یك سیاست امنیتی اعمال نماید.

استقرار روی كارگزار
یكی از نكات مهم در نظارت بر عملیات سامانه‌های مدیریت پایگاه‌داده، بازرسی عملیاتی است كه از طریق كنسول مدیریت و بطور محلی اجرا می‌شوند. بدیهی است در این شرایط عملیات روی شبكه ارسال نمی‌شود و محصولی كه ارتباطات شبكه را بازرسی می‌كند، نمی‌تواند عملیات مربوطه را نیز نظارت نماید. یك راه‌حل مناسب برای رفع مشكل مذكور، نصب عامل‌هایی (Agents) روی سامانه مدیریت پایگاه‌داده است كه وظیفه جمع‌آوری داده‌ها و ارسال به سمت فایروال پایگاه‌داده را برعهده خواهند داشت. این عامل‌ها توسط تولید‌كنندگان فایروال پایگاه‌داده و بطور خاص برای هر سامانه مدیریت پایگاه‌داده ارائه می‌شوند.

محصولات جاری
شركت Forrester در گزارشی محصولات و شركت‌های تولیدكننده فایروال پایگاه‌داده را توسط 116 معیار مورد ارزیابی قرار داده است. در این گزارش محصولات شركت‌های Gardium و Impreva به‌عنوان محصولات برتر اعلان شده‌اند. باید توجه داشت كه این محصولات همگی با نام فایروال پایگاه‌داده ارائه نشده‌اند و نام‌هایی نظیر دروازه امنیتی پایگاه‌داده و DAM برای این محصولات استفاده شده است.

SQL Gaurd
شركت(Gardium (http://www.guardium .com بطور تخصصی در زمینه امنیت پایگاه‌داده فعالیت می‌كند. این شركت در گزارشات تحلیل به عنوان بهترین تولیدكننده محصولات امنیت پایگاه‌داده معرفی شده است. با توجه به مستندات موجود، محصولات امنیت پایگاه‌داده این شركت در بیش از 350 مركز داده در حال استفاده است. محصول امنیت پایگاه‌داده شركت Gardium با عنوان SQL Guard ارائه می‌شود كه از قابلیت‌های مهم این محصول برای استقرار در شبكه می‌توان به امكان نصب به‌صورت Inline و Offline در شبكه، امكان تركیب با LDAP و Kerberos برای تشخیص هویت كاربران، پشتیبانی از SNMP ،SMTP و Syslog برای یكپارچگی با تجهیزات دیگر، و پشتیانی از RSA SecurID برای تشخیص هویت قوی اشاره نمود.

SecureSphere
شركت Imperva)  http://www.imperva.com) یكی از تولیدكنندگان محصولات امنیتی است كه تمركز آن روی امنیت برنامه‌های كاربردی و پایگاه‌داده است. از قابلیت‌های اصلی محصولات SecureSphere پشتیبانی از تعداد زیادی از سامانه‌های مدیریت پایگاه‌داده است. محصولات SecureSphere قابلیت حفاظت در برابر حملاتی نظیر Privilege Abuse ، Data Theft و Data Destruction را دارا می‌باشند.

DB INSIGHT SG
این محصول براساس مدل امنیتی مثبت (لیست سفید) تولید شده و توانایی تولید خودكار خط‌مشی‌ها از طریق یادگیری پرس‌وجوهای SQL را داراست. سخت‌افزار این محصول بدون نیاز به تغییر در ساختار شبكه، قابل نصب است. این فایروال، وظایفی از قبیل نظارت بر پرس‌وجوهای رسیده، ثبت و بررسی اطلاعات مربوط به ارتباطات و پردازش‌های انجام شده و نیز نظارت قانونی بر فعالیت‌های تجاری را بر عهده می‌گیرد.

GreenSQL
محصول GreenSQL) http://www.greensql.net/) با عنوان فایروال پایگاه‌داده، همانند یك پراكسی عمل می‌كند و منطق آن بر اساس ارزیابی دستورات SQL و دستورات راهبری پایگاه‌داده (همچون CREATE و DROP) با استفاده از یك ماتریس امتیازبندی مخاطرات است. محصول GreenSQL، با استفاده از تكنیك شناسایی الگو (امضا) و الگوریتم‌های اكتشافی (Heuristic) (محاسبه مخاطره) در مُدهای شبیه‌سازی، یادگیری و محافظت فعال (انسداد) به مقابله با تهاجمات می‌پردازد. این فایروال در هر دو مدل امنیت مثبت و امنیت منفی قابل اجراست. محصول GreenSQL در مدل امنیت مثبت با استفاده از لیست سفید و مُد یادگیری، و در مدل امنیت منفی با استفاده از شناسایی الگو و تحلیل اكتشافی به مقابله با تهاجمات می‌پردازد.

جمع‌بندی
در این مستند محصول فایروال پایگاه‌داده معرفی شد. همچنین چندین محصول تجاری و یك محصول متن باز برای ارائه فایروال پایگاه‌داده شرح داده شد.