白皮书

F5 BIG-IP ASM 携手 IBM InfoSphere Guardium 共同保障应用和数据库安全

Updated August 07, 2014
  • Share via AddThis

简介

从信息技术角度而言,深度防御是保护系统的最佳做法。借助分层安全方法,深度防御可以使基础架构和系统更加强健。位于网络边缘的防火墙,常部署于各网段的安全机制,即便攻击者绕过了第一层防御,那么接下来的防御手段应该可以对其进行阻止。

在 IT 领域,采用深度防御策略涉及到冗余,原因在于会将防御机制的多次迭代置于攻击者的路径中。防火墙的灵活性是关键的防御组件,但要使安全系统面面俱到,设防还必须基于上下文。具有上下文的系统会考虑到事件周围的环境或条件,从而对如何应用安全防御做出明智决策。对保护数据库而言,这点尤为重要。

利用这些原则,F5 和 IBM 延续了长期合作伙伴关系,为基于 Web 的数据库应用提供了更强大的安全性。F5 BIG-IP Application Security Manager (ASM) 和 IBM InfoSphere Guardium 之间的集成通过关联报告,可以提供更丰富的应用安全和数据库攻击 (如 SQL 注入和其他 OWASP Top 10 攻击)相关证据信息。

上下文的数据库安全

数据库是企业关键数据的主要存储库和检索机制,因此保护数据库至关重要。随着越来越多的应用流量通过网络传输,敏感数据会暴露于新的安全漏洞和攻击之下。虽说独立的技术可以防止网络或数据库攻击,但技术之间的脱节意味着其缺少相关上下文信息。企业需要端到端的 Web 应用和数据库安全解决方案,从而保护数据、客户,最终实现业务保障。

作为一种攻击方式,,SQL注入可以让攻击者将恶意代码插入字符串中,随后传递到数据库中进行执行。通常借由在用户输入字段(如密码字段)中输入 SQL 查询或命令脚本来实现。攻击者本质上是想绕过应用服务器,以便直接操纵数据库。得逞的攻击可能只导致未经授权的输入,也可能返回包含用户名、密码和其他敏感信息的整个数据库。典型的数据库安全解决方案也许可以防止此类攻击,但却不具备收集攻击者主机名、用户名、客户端 IP 和浏览器等信息的可见性。虽然典型的解决方案可以发现个别 SQL 查询属于无效状态,却无法辨别请求者身份。

端到端安全

在组合解决方案中,BIG-IP ASM 可以提供来自应用前端的安全数据,而 InfoSphere Guardium 则可以将这些数据与来自后端数据库的数据关联起来,提供当今企业维持安全性所需的报告和可见性。

另一方面,Web 应用防火墙 (WAF) 可以收集用户端信息,以便根据用户上下文进行策略决定。WAF 会监控从浏览器到 Web 应用的每一个请求和响应,并参考策略来决定是否允许操作和数据,使用用户、会话、Cookie 等信息和其他上下文数据来决定请求是否有效。WAF 的侧重点在于 HTTP 和 HTTPS 攻击,可以极为有效地拦截此类恶意流量。WAF 还可以阻止大多数通过浏览器发起、以数据库为目标的攻击。然而,考虑到在 Web 应用层检测 SQL 注入攻击的复杂性(即缺乏与 SQL 相关的上下文、对 SQL 协议的理解),WAF 并不是万无一失的 SQL 注入防御解决方案,原因在于其有可能产生误报或忽略一些攻击。

解决这一弊端的方法就是结合 F5 和 IBM 的解决方案,该解决方案融合了 Web 应用防火墙与数据库安全解决方案。F5 BIG-IP ASM 和 IBM InfoSphere Guardium 的集成,可以提供 IBM 最为擅长的数据库保护,以及内置于每个 F5 解决方案的上下文智能技术。BIG-IP ASM 提供来自应用前端的数据。InfoSphere Guardium 将这些数据与其自身来自后端数据库的数据进行关联,提供当今企业维持安全性所需的报告和可见性。

集成 BIG-IP ASM 和 InfoSphere Guardium 的优势在于对攻击的综合报告,以及在 Web 应用层设置策略(在数据库层进行协调)。借助 F5 和 IBM,企业的数据库可以受到分层、深度防御架构的保护,并得到对数据库安全事件做出明智决策所需上下文信息的支持。这种综合式的方法可以使企业快速适应不断变化的威胁,并提供满足审计和合规法规所需的日志和报告功能。

双层、端到端保护

在生产集成解决方案方面,F5 和 IBM 的合作由来已久。相关的示例有:BIG-IP ASM 长期以来一直为 IBM 的 Security AppScan(曾是 Rational 公司扫描应用漏洞的产品)提供支持。BIG-IP ASM 是一款高级 WAF,可以提供全面的网络边缘保护,防止各种基于 Web 的攻击,能够分析每个 HTTP/HTTPS 请求,并在潜在的攻击到达 Web 应用服务器之前予以阻止。IBM InfoSphere Guardium 是数据库的第一道防线,可以对网络上的数据库活动进行实时监控。基于 SQL 语法的高精度技术可以阻止未经授权的交易,从而帮助防止攻击到达数据库。InfoSphere Guardium 部署在 Web 应用服务器和数据库之间,通过分析发送到数据库的 SQL 语句意图来提供保护,防止来自网络内外部的攻击。它不依赖于识别已知安全威胁的语法,因此可以阻止从前未曾察觉的攻击。部署方式也极为简单,因为并不需要改变现有的应用或数据库。

BIG-IP ASM 和 InfoSphere Guardium 如何协同运作?

BIG-IP ASM 和 IBM InfoSphere Guardium 可以协调运作,报告违规行为,防止数据泄露,并为审计人员提供合规性所需的治理。

协调运作,检测和报告违规行为

当检测到对数据的威胁时,组合解决方案会对威胁进行监控、发出警告或予以阻止,用户的身份会在 BIG-IP ASM 和 InfoSphere Guardium 之间共享。在发生恶意 SQL 注入的情况,InfoSphere Guardium 会立即阻止注入,并记录该操作,但无法确定试图入侵者的身份。BIG-IP ASM 会收集用户名、客户端、浏览器、会话信息、时间、Cookie、URL、SQL 语句等信息。IBM 报告引擎随后将 BIG-IP ASM 数据与自身数据进行关联,并生成一份报告,说明存在企图违规的情况,并提供确定发动者身份的关键数据。触发的警报和附带的详细报告可立即体现威胁的类型和严重程度。

通过 BIG-IP ASM 和 IBM InfoSphere Guardium 两个信息源,产生的关联数据得以更加详尽,可以让策略的创建更加准确、更加细化。有了这一级别的详细信息,就可以实时隔离恶意或遭入侵的用户,强制其进行重新身份验证,或阻止其访问应用。借由 F5 和 IBM 解决方案,可以预防、转移来自同一用户的后续攻击或使其失效。

F5 BIG-IP ASM 和 IBM InfoSphere Guardium 可以对安全事件进行关联和报告。
图 1:F5 BIG-IP ASM 和 IBM InfoSphere Guardium 可以对安全事件进行关联和报告。

协力防止数据泄露

在信息遭到入侵的罕见情况,BIG-IP ASM 会在响应中解决这一问题。BIG-IP ASM 中的数据脱敏功能会在敏感数据传递给用户时进行自动清除,防止发生任何数据泄露。

例如,如果恶意用户绕过系统,从数据库生成对信用卡信息请求,BIG-IP ASM 将阻止该请求,或者以星号代替信用卡号,对输出信息予以清除。

共同报告,致力合规性

当与 IBM InfoSphere Guardium 的报告工具一起使用时,BIG-IP ASM 的数据泄露预防和违规检测功能可以利于获得或保持法规合规性。报告和审计是当今许多法规的首要标准(包括支付卡行业 (PCI)、健康保险便携性和责任法案 (HIPAA)、萨班斯-奥克斯利法案 (SOX) 的标准)。此解决方案有助于确保公司拥有最详细的合规信息。

最后,此解决方案最显著的一个益处在于可以保护任何基于 SQL 的数据库,包括 IBM DB2、MySQL、PostgreSQL、Hadoop、Netezza、Oracle 数据库、Microsoft SQL Server 和 Sybase 数据库。

BIG-IP ASM 可以保护 Web 流量,IBM InfoSphere Guardium 则可以保护数据库流量。BIG-IP ASM 会将用户登录信息传递给 InfoSphere Guardium。如果发生 SQL 注入,BIG-IP ASM 会将攻击的所有上下文信息发送到 InfoSphere Guardium。这时,根据会话和 BIG-IP ASM 会话 Cookie,便可以在报告中将用户身份与攻击相关联。

最后,此解决方案最显著的一个益处在于可以保护任何基于 SQL 的数据库,包括 IBM DB2、MySQL、PostgreSQL、Hadoop、Netezza、Oracle 数据库、Microsoft SQL Server 和 Sybase 数据库。

结论

F5 BIG-IP ASM 和 IBM InfoSphere Guardium 的集成可以增强基于 Web 的数据库应用安全。两者结合的解决方案可以为企业提供分层保护(安全专业人员公认的最佳实践),以及在试图攻击时就采取何种行动做出智能决策所需的上下文信息。解决方案之间的集成可以为 F5 客户提供完善的 SQL 注入保护,为 IBM 数据库客户提供关联报告,从而获得更详尽的 SQL 注入攻击证据信息。

F5 和 IBM 合作携手开的解决方案可以帮助企业构建符合其业务需求的敏捷 IT 基础架构。借由 F5 和 IBM 的技术支持,企业的敏感数据库信息将永保安全、可用且可快速交付的状态。