数据库安全、虚拟化和云计算——现代IT领域数据保护所面临的三大关键技术挑战<br/>

数据库安全、虚拟化和云计算——现代IT领域数据保护所面临的三大关键技术挑战

2011-04-16

电脑与电信 2011年4期

特约通讯员梁晓欢

近几年,许多公司为保护自己的IT基础设施所做的大部分努力主要集中在外部，即如何保护公司免遭外部入侵、黑客以及恶意攻击。目前，公司网络已经在安全上获得了一定的改善，获得了更深层次的保护。但是，数据层仍是公司IT基础设施的软肋。

随着技术的发展，现今大多数企业已普遍使用虚拟化技术，预计在不久的将来云计算应用也将会在企业中普及，所以我们必须考虑一个问题，那就是在新的IT环境中如何更新我们的信息安全技术。

许多人都认为传统的计算模式需要进行一个全新的改革。通常情况下，在技术系统和软件方面，网络安全模式的变革与软件的变革是不同步的，或者说是网络安全模式的变革要慢于软件的变革，这其实是为了应对技术变革可能会带来的突发情况。例如，经过长时间的观察，防火墙供应商了解到对应用程序的保护已经不能通过简单地打开或者关闭防火墙来实现了。众多企业已经开始部署VoIP服务及其它复杂的协议，但是他们不得不为防火墙的更新而耽误一段较长的时间，因为只有在防火墙可以成功分析SIP及其它相关协议的前提下，他们的应用程序才能在安全的环境下运行，而这个时间可能是数年。

因此，随着虚拟化和云计算数据中心专用服务器的更新，我们急需重新考虑现有的信息安全技术，特别是数据库安全。

虚拟化和云计算下的信息安全趋势

在过去的几年里，信息安全所面临的许多挑战主要围绕两大技术的发展：高性能网络和复杂的应用。在较短的一段时间内，我们已经从使用SMTP、FTP、HTTP等协议的10baseT因特网跨越到使用SIP、RPC、SOAP以及多种网络隧道协议的多千兆因特网。因此，一些应用程序（特别像e-mail和网络应用程序）都面临着许多安全性威胁，其结果是相同的应用程序都不得不经过多次检查，大大影响了效率。

为了通过简单的方案来解决两大技术发展挑战，信息安全企业推出了一系列可部署在网络中某一位置的网络设备，用以检测一些违反协议的流量，如恶意代码、病毒、垃圾邮件等。这种方案已颇受企业的青睐。甚至一些传统的面向软件的企业都了解到要运行复杂且高性能的网络，最简单的途径是要部署基于网络的设备。企业发现自己必须构建多种类型的网络设备才能消除一些网络安全威胁，从而达到网络可扩展性、性能以及拓扑结构的要求。

在网络安全设备普及的时代，使用主机软件减轻安全威胁的解决方案遭到了摒弃。基于网络的如IDS、IPS等安全方案逐渐取缔了基于主机的安全方案，而且大部分企业也不会为操作系统增加太多简单的终端安全技术，当然这也存在一些例外，如第三方防毒软件，即使有网络设备提供这项功能，企业仍然会把防毒软件部署在主机上。对于企业来说，基于网络设备的方案只需要简单地将安全设备和交换机连接起来，简易快捷，特别适用于可用性安全资源紧缺的情况。

在过去的IT系统架构的信息安全环境中，许多公司为保护自己的IT基础设施所做的大部分努力主要集中在外部，即如何保护公司免遭外部入侵、黑客以及恶意攻击。这让企业了解到采用网络设备是一个可行的方案。然而，在当今IT系统的巨大演变中，对于多数应用，特别是那些在分布式环境中实施的应用，使用网络设备来监察网络交易还是存在较大的安全隐患的。这给企业提出了一个疑问：究竟要通过提供一个安全的网络来防止外部侵犯还是从内部消灭恶意违规事件？CERT进行的年度研究报告显示，高达50%的数据破坏由内部用户造成。FBI/CSI有关内部威胁的报告指出：三分之二被调查组织（商业和政府）的报告存在由内部破坏造成的数据损失这种情况，并且在一些组织，高达80%的数据损失由内部破坏造成。报告还显示在数据遭受破坏时，有57%的相关内部人员获权访问数据。因此，这证明了外部和网络安全措施不足以阻止此类破坏。为了避免设备管理员直接连接服务器或者应用程序使用者滥用访问权限而危及内部交易安全，现在企业开始发现采用基于主机的解决方案并结合网络设备似乎更为合适。

除了企业对内部安全性问题的关注度不断增加，不少企业应用也都在配置了虚拟机的环境下运行，云计算技术应用也延伸到企业当中，这些变化彻底改变了以往实施基于网络设备解决方案的条件假设。从安全性的角度来考虑，会有更多的挑战出现，如数据库具有移动性，可动态地出现在进程的一个新的地方，从而对网络的处理性能产生新的要求。而这些新的架构也会带来新的问题，那就是当交易不再在网络中产生，网络设备是否继续更新，或者当网络从局域网向广域网转变后，原先的网络监测方法是否仍然有效。

数据库活动监测和攻击防护分析

近年来虽然网络外部的安全保护已经得到很大的提高，但是一些敏感数据仍然遭到侵犯，因此企业已经开始寻求一种全新的内部基础设备保护层。目前，公司网络已经在安全上获得了一定的改善，获得了更深层次的保护。但是，数据层仍是公司IT基础设施的软肋。数据库中包含很多敏感且宝贵的数据：例如有关客户、事务、财务业绩以及人力资源的信息。尽管如此，数据库仍是公司受保护最少的领域之一。在以往，数据库在大多数情况下是没有得到监察和保护的。虽然外部和网络安全措施对某些攻击类型起到了防御作用，有不少的基于网络设备可以被用来检测数据库网络协议，并在通过网络访问数据库时进行审查和保护。但是此类基于网络的设备只监控网络，它们无法监视本地数据库活动。

由于数据库管理系统较为复杂（其对硬件和运行平台的要求在不断增加），因此随着功能的扩充，它会在安全性方面会出现漏洞，这类漏洞会不断被用户、道德黑客，也可能不幸被非道德黑客发现。有一些攻击类型就是利用数据库特有的漏洞进行攻击的，如SQL注入、缓冲区溢出攻击以及其它瞬时攻击可以完全穿透Web防火墙、应用程序防火墙以及入侵检测系统(IDS)，为数据盗窃、擅自修改或破坏数据、侵犯隐私及个人身份信息创造机会。虽然DBMS供应商会尽力修复这些漏洞，但是修复过程平均要花几个月，有时甚至几年，这段时间为黑客利用漏洞破坏数据库提供了机会。

随着大量的潜在性损害出现在数据库上，企业开始就清楚地认识到必须充分地了解他们的数据库，并对其进行全面的监察。此外，如前所述，越来越多的人正逐渐认识到“内部威胁”以及由特权访问用户造成的威胁是造成大量数据破坏的原因。

针对外部与内部的安全威胁，需要采用既可以应对数据库特有威胁又可以应付内部威胁的解决方案。设备供应商不得不把一些本地的代理端口加入到他们的解决方案中，这样就形成了一个基于网络和基于主机并存的混合解决方案。在大多数情况下，代理会将产生于主机上的交易详情发送到网络设备器进行分析。然而这种混合解决方案是不理想的，因为当交易详情返回到网络设备器时，数据库已经接纳了这些数据，即使发现了一些违规的现象，也不能即时地阻止。但只要能增强网络应用程序的可视性，一些企业还是乐意地冒险的。

相比单纯基于网络的解决方案，混合解决方案会引入一些复杂的实施需求，如代理的安装需要更改内核等级、重启系统等。而且，混合解决方案在处理时还会遗漏一些产生于数据库本身的细微错误，如在存储过程、触发过程或者可视化过程产生的错误。而且，更重要的是在虚拟化环境或者云计算环境下，这些方案不能解决一些关键性的问题：

挑战一：虚拟机之间交易的可视化

随着虚拟技术的应用，一些应用程序和数据库已经支持在虚拟服务器或者云计算环境下运行了，同时一些更加复杂的问题也随之产生。过去，一个应用程序通常会配备在一个或多个服务器上，而数据库则会安装在扩展的网络服务器上。实行虚拟化的好处之一是它能够共享资源，在虚拟化的环境下，应用程序和数据库可以迁移到虚拟机上，在许多情况下，可以在同一物理服务器上同时运行。如图所示，客户可以直接连接两台虚拟机，通过CRM（客户关系管理）应用程序直接在同一台物理服务器存储客户的交易信息，在这种情况下，应用程序和数据库之间几乎没有直接的通信记录，而网络监察设备也不能监察到交易的详情。

针对这种情况可以采取什么解决方案呢？显然，最好的解决方案是对交易信息进行更深入的安全检测，这种方案要依靠虚拟设备，具体是通过把软件安装在虚拟服务器上，虚拟机就可以运行以往要用专用设备才能运行的软件。而以虚拟机为过渡体，服务器就能对程序进行重新设计并分析详情。但是这个方法有两个严重的缺点：那就是性能的高需求和构架的复杂化。

虚拟设备的性能问题是它缺乏专用设备的一些性能，专用设备能够在后台迅速处理大量的通信数据（如可以通过使用专用网卡、专用软件或者通过对软件的优化而充分利用专用硬件来实现）。当软件在虚拟设备上运行时，相比其在专用设备上运行，其自身的一些性能将会受到影响，例如数据库的连接速度会变慢，或甚至会丢失一些交易数据。

挑战二：动态系统环境

企业往往会计划开辟一个路径使得访问数据库时必须经过虚拟设备，而不是在虚拟服务器上创建一个动态的环境，这也使得系统构架更加复杂。这个复杂的问题同样存在于标准的非虚拟网络当中。对于大多数的企业网络而言，它们都不能通过定点一个位置来监察数据库中的交易详情，因此企业面临着三个选择：重新设计他们的网络、使用多种安全设备或者只保护部分数据。

如果说虚拟安全设备对于运行在虚拟机上的一般企业网络而言还不是一个理想的解决方案，那么它想要应用于动态的、主机频繁切换的云网络中更是不可能的。

挑战三：广域网性能

在云计算部署中，特别是在地理位置分散的私有云部署中，网络带宽不足、网络延时等情况都制约着云计算的效率。云计算的一个重大功能就是在保持数据通信的同时无需复杂的数据库服务器操作。因此避免了以往要花费时间和精力将交易的数据发送到专用服务器上而造成网络瘫痪，同时也防止了一些恶意侵入现象。

为了提高效率，代理端口必须具有保护和预警能力。这会确保网络不会成为应用的制约因素。对于云计算或者是分布式数据中心等远程管理模式而言，还要确保系统能够支持广域网的拓扑结构。为了避免一些敏感数据暴露，应该对管理控制台和传感器之间的通信进行加密、压缩，这样就能实现策略的有效更新和警报的有效传送。任何需要经过脱机处理数据库事务来确定是否违规的方案都不能对外来攻击进行有效的保护。

基于分布式主机软件的解决方案

唯一可以确保数据库在虚拟机或者云环境下安全运行而又不牺牲新系统构架强大优点的方法就是采用基于软件的解决方案来共享虚拟机与云计算的灵活性。目前面临的挑战是要建立一个全新的基于主机的解决方案而不要受到传统的基于主机的解决方案的缺点的影响。即是要解决侵入防护问题、性能问题和适应新运行环境的问题。

新一代的基于主机的解决方案不能采用基于内核的方案或其它存在风险的方法，因为它们都会给部署和管理带来障碍。这种解决方案必须是轻量级的，占用用户少量的软件空间，可以轻易地安装在有需要的虚拟机上，而且能同时在同一主机的所有数据库中运行。这就意味着加入一个安全层不需要改变系统构架，也不需要依赖虚拟化技术。此外，虚拟机在运行你的数据库的同时是可以根据实际情况而自动平衡配置的，不需要通过管理控制台进行人工控制。

Sentrigo公司的解决方案是通过使用基于软件的传感器以及一个能够与数据库安装在同一虚拟机上的轻量级插件来解决诸如此类的数据库安全问题。传感器是一个在数据库主服务器上安装并监视所有活动的软件代理设备。它会创建一个新的进程用以监控出现在内存中的数据库交易信息，满足了所有的安全性需求，不需要较高的数据库性能和复杂的网络构架就能正常地运行。此外，在监控内存的同时它也防护了所有的恶意攻击。无论是来源于网络，还是来源于本地管理人员，甚至是来源于数据库本身的侵害，Sentrigo都能迅速地监察到并即时采取行动。

Sentrigo的解决方案基于已定义的策略规则，可对可疑活动进行报警，并在需要时阻止其发生。策略规则应用到了SQL语句种类、数据库对象、一天的时间或一月的某天，以及所使用特定用户配置文件和应用程序。操作在满足规则的条件时进行，使得将事件写入日志、发送警告到SIM/SEM系统、通过e-mail或SMS、或中止一个用户会话来阻止恶意活动变得非常简单。系统带有预定义规则，能够防御利用数据库漏洞的已知攻击。

传感器是轻量级的，它具有必要的逻辑性能去辨别数据库交易的合法性，在监控且防止攻击的同时也能在常规服务器上审计数据库交易事务。方案中的管理控制台会从所有的传感器中收集信息，所以新传感器的设置只需确定管理控制台的位置。不管数据库是安装在虚拟机上，还是直接安装在物理服务器上，还是安装在云环境中，只要在相同的环境中安装传感器，并接入到管理控制台，企业就能尽情采用这个集监控与反侵害功能于一身，且不会受到底层网络和服务器影响的系统。