自2015年8月至9月,數(shù)據(jù)庫安全專業(yè)提供商安華金和與第三方社區(qū)合作,共同面向廣大IT從業(yè)人員進行數(shù)據(jù)庫防火墻市場認知度調研,期望真實獲取來自用戶的反饋,把握客戶需求和體驗,從而進行數(shù)據(jù)庫防火墻產品的研發(fā)與改進。通過對400個有效樣本進行分析,總結歸納《數(shù)據(jù)庫防火墻技術市場調研報告》分享大家。
本次調研群體分布于全國各地,有意思的是,對于安全漏洞高發(fā)地區(qū)排名前三位的北京、上海、廣東,本次調查反饋用戶數(shù)量排名前三位的也對應到這三個地區(qū)。而在行業(yè)分布上,比較廣泛。參與調研用戶的角色,主要是網(wǎng)管/運維/系統(tǒng)管理員,軟件工程師/程序員,DBA/數(shù)據(jù)庫管理與開發(fā)人員。
根據(jù)調查結果顯示, 400個有效樣本反饋用戶對數(shù)據(jù)庫防火墻一經(jīng)有一定認知,同時認為數(shù)據(jù)庫防火墻應該是應用防火墻的有效補充,對數(shù)據(jù)庫防火墻的作用還是給予肯定的。以下分別從不同維度展開說明:
75%以上的調研對象對數(shù)據(jù)庫防火墻有認知
數(shù)據(jù)顯示,75%以上調研人群表示對數(shù)據(jù)庫防火墻偶爾知道,而真正使用過的僅為10%
圖 1.1 調研對象對數(shù)據(jù)庫防火墻的認知
國產數(shù)據(jù)庫防火墻品牌認知度低于國際品牌
在現(xiàn)有Oracle、McAfee、Imperva及安華金和等國內外數(shù)據(jù)庫防火墻品牌選項中,58%調查對象更熟悉Oracle,安華金和僅次于McAfee排名第三位,占比14%。這個數(shù)據(jù)顯示,國產化的產品應用任重而道遠。
圖 1.2 數(shù)據(jù)庫防火墻品牌調研結果
用戶對十大數(shù)據(jù)庫防火墻價值認知
從數(shù)據(jù)庫防火墻產品的價值體現(xiàn)中,用戶認知度最高的還是防SQL注入、獨立于數(shù)據(jù)庫提供細粒度的訪問控制、針對數(shù)據(jù)庫漏洞行為進行主動攔截和阻斷。
圖 1.3 數(shù)據(jù)庫防火墻功能認知排序
用戶對數(shù)據(jù)庫防火墻部署的選擇
對于數(shù)據(jù)庫防火墻部署在應用側、運維側還是數(shù)據(jù)庫前段,用戶有不同的理解。61%的用戶認為應該部署在應用側,防止外部黑客的數(shù)據(jù)庫入侵行為;23%用戶則認為數(shù)據(jù)庫防火墻應該部署在數(shù)據(jù)庫的前端,對所有的數(shù)據(jù)庫訪問行為進行控制;16%的用戶認為產品應該部署在維護側,對內外部運維人員的數(shù)據(jù)庫操作進行細粒度控制。
數(shù)據(jù)庫防火墻部署在不同的位置,防護的重點有所不同,如果部署在數(shù)據(jù)庫前端,既能實現(xiàn)來自外部人員的攻擊,又能防止內部人員的誤操作。如果數(shù)據(jù)庫防火墻部署在運維側,主要對內部人員誤操作、批量刪除或是批量下載數(shù)據(jù)進行防護。如果數(shù)據(jù)庫防火墻部署在應用側,防御重點在于基于數(shù)據(jù)庫協(xié)議,針對SQL語法/詞法進行精確協(xié)議解析,從而防止外部對數(shù)據(jù)庫漏洞的攻擊和SQL注入。
如果防火墻部署在應用側,用戶對旁路、網(wǎng)關、代理、網(wǎng)橋這四類部署模式的態(tài)度也不同。其中旁路部署占比52%,從一定程度上反映出,串聯(lián)部署防火墻,用戶還是有所顧慮。
圖 1.4 數(shù)據(jù)庫防火墻應用側部署模式調研結果
70%用戶希望數(shù)據(jù)庫防火墻提供對數(shù)據(jù)庫主動防御的同時,對數(shù)據(jù)庫性能的影響降至最低
通過調研,我們試著探尋用戶采購數(shù)據(jù)庫防火墻時的需求,以期對數(shù)據(jù)庫防火墻的賣點進行匯總排序。結果顯示,70%被調查對象希望通過采購數(shù)據(jù)庫防火墻,進行強大而周密的策略防護方案,通過設置多種策略關聯(lián)對數(shù)據(jù)庫實現(xiàn)周密的防護。同時,高防護的過程中要求對數(shù)據(jù)庫性能影響降到最低。依次排在次要位置的需求分別是:(1)希望采購數(shù)據(jù)庫防火墻提供精準的數(shù)據(jù)庫防護能力,避免錯誤攔截和攻擊漏洞;(2)最新最全面的虛擬補丁功能,防護因數(shù)據(jù)庫漏洞和sql注入導致的數(shù)據(jù)庫惡意攻擊;(3)彌補市場上極光掃描器等設備對安全漏洞報告的缺失。
在數(shù)據(jù)庫防火墻的擴展性上,加密通訊需求占60%
在數(shù)據(jù)庫防火墻的擴展性上,60%用戶普遍認為,數(shù)據(jù)庫防火墻可以考慮提供SSL這樣的加密通道,以保持客戶端與數(shù)據(jù)庫的加密通訊;其次,23%用戶認為數(shù)據(jù)庫防火墻應當考慮對通過SSH、Telnet進行的遠程運維中的SQL操作也進行安全控制和審計;17%用戶認為數(shù)據(jù)庫防火墻可以考慮融入一些傳統(tǒng)防火墻的功能,比如IP和端口控制。
客戶通常會將數(shù)據(jù)庫防火墻與現(xiàn)有市場上其他安全產品比如WAF、堡壘機、網(wǎng)閘、網(wǎng)絡防火墻等進行比較。用戶對比后的理解和看法如下:
1、數(shù)據(jù)庫防火墻與WAF對比
數(shù)據(jù)庫防火墻與WAF之間的差異性,是用戶經(jīng)常會問到的一個問題。 59%的用戶對此有明確認知,WAF主要防御對web應用系統(tǒng)的攻擊,但黑客具備繞過WAF攻擊數(shù)據(jù)庫服務器的能力,通過數(shù)據(jù)庫防火墻可以增加安全防線,能夠準確的找到兩個產品的側重點。只有7%的用戶認為應用端只需部署WAF,即可防止住惡意的攻擊。
2、數(shù)據(jù)庫防火墻與堡壘機對比
該問題,從用戶的反饋結果來看,答案的階梯性很明顯,66%的用戶認為堡壘機無法代替數(shù)據(jù)庫防火墻,壘機對于數(shù)據(jù)庫操作無法進行細粒度控制,無法根據(jù)影響行數(shù)或操作的危害特征進行運維側管控;而防火墻可以滿足以上特性。仍有10%用戶認為運維側部署堡壘機已經(jīng)足夠,即可防止住運維側的數(shù)據(jù)泄露或篡改工作。
3、數(shù)據(jù)庫防火墻與網(wǎng)閘對比
大部分用戶對數(shù)據(jù)庫防火墻與網(wǎng)閘的功能比較清晰, 90%以上的用戶能夠明確區(qū)別兩者的作用,認同外網(wǎng)部署應用服務器,內網(wǎng)部署數(shù)據(jù)庫,在內外網(wǎng)之間部署數(shù)據(jù)庫防火墻;數(shù)據(jù)庫防火墻屏蔽掉其他通訊協(xié)議,保證數(shù)據(jù)庫通訊協(xié)議的安全性;通過這種方式既可以起到內外網(wǎng)的隔離,又能達到實施成本和工程復雜度的降低?,F(xiàn)實應用中,網(wǎng)閘是可以讓數(shù)據(jù)庫協(xié)議穿透的,但網(wǎng)閘無對數(shù)據(jù)庫漏洞攻擊的防御能力;通過數(shù)據(jù)庫防火墻可以提升防御能力。僅有9%用戶認為通過網(wǎng)閘完全實現(xiàn)了內外網(wǎng)或不同密級網(wǎng)之間的隔離,不需要數(shù)據(jù)庫防火墻。
4、數(shù)據(jù)庫防火墻與網(wǎng)絡防火墻對比
數(shù)據(jù)結果顯示,目前市場上單一認為只需要數(shù)據(jù)庫防火墻或網(wǎng)絡防火墻的認知已經(jīng)逐步被趨勢所替代,94%的用戶已經(jīng)清晰認識到網(wǎng)絡防火墻是TCP/IP層的防火墻,數(shù)據(jù)庫防火墻是應用層防火墻;相互補充,不可互為替代;由于數(shù)據(jù)庫通訊協(xié)議的復雜性,下一代防火墻無法防止隱藏在合法協(xié)議中的數(shù)據(jù)庫攻擊,仍然需要數(shù)據(jù)庫防火墻來保障數(shù)據(jù)庫安全。