icon需求背景icon

随着信息化建设的不断提升,企业将面临来自威胁与漏洞管理,应用与数据安全,网络与移动安全,身份与访问管理,IoT物联网安全等5个核心领域的安全压力。 ——内容源于Gartner分析师Earl Perkins在安全与风险管理峰会(Security and Risk Management Summit)分享。

icon当前安全风险点icon
访问设备,应用和人员众多
所有人都直接接触真实数据
只有基于IP和账号的身份认证
堡垒机只能管控到用户,数据库操作依赖录屏
数据安全管理制度难以落地
授权后缺乏持续监管和动态调整
数据库漏洞无法及时更新补丁
RDS数据库服务运维侧的访问得不到有效管控
icon产品合规性icon
网络安全法
采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算。机病毒、网络攻击、网络侵入等安全风险。
等保2.0
安全运维管理要求:应及时对数据库漏洞风险隐患进行评估,并通过人工+技术工具+虚拟补丁的方式进行针对性修补。访问控制:应基于ip、MAC、客户端主机名、操作系统用户名、客户端工具名、数据库账号进行权限管控,对于具体执行语句、语句影响范围等因素对数据库协议和内容进行细粒度控制。对数据库操作控制力度:控制主体、数据库账户、应用程序、应用账户,对操作对象(表、列、存储过程名称)、SQL语句进行细粒度控制。安全计算环境: 应具备数据库访问控制能力。控制对象包括不局限于时间、ip、命令、语句影响范围等。
icon产品介绍icon

明御数据库安全网关AiGate是专业级的数据库安全防护与访问控制设备,能够对进出核心数据库的访问流量进行高效、精准的解析和访问控制,根据内置的各种漏洞攻击特征策略以及自定义策略实时的对数据库的请求进行精准处理判断,一旦引擎识别到访问请求属于违规访问或者攻击行为将实时告警阻断,让数据库的安全以可视化直观的的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应。

icon产品功能架构icon
icon产品特性icon
极高的处理性能

明御数据库安全网关(DAS-DBFW)采用领先的CPU绑定、多线程负载均衡处理技术,根据sip.sport、dip、dport、会话流量五个因子,通过多年的数据库流量分析经验积累,采用独创的数据库流量负载均衡分发算法将数据库流量非常均衡的分配到不同的CPU上,最大程度的做到了多核间的真正的并行处理,大幅提升了设备的应用层处理性能,并发4000个数据库长连接会话,单设备吞吐量高达4Gbps单台设备最高可处理每秒40000条SQL,系统延时不超过1毫秒,并进行深度检测全防护。

精准的数据库协议代理引擎

明御数据库安全网关(DAS-DBFW)研发团队通过十年数据库协议逆向分析成果经验的积累,十年磨一剑,终于成功研发了明御数据库防火墙核心的数据库协议代理引擎,协议代理准确度高达99.9999%,安恒明御数据库防火墙目前支持市场上主流的所有的数据库类型,如Oracle、Ms sQLserver、DB2、MySQL、Sybase等。

数据库整体安全直观、可视

明御数据库安全网关(DAS-DBFW)根据系统的攻击告警情况,根据告警的严重级别自动给系统进行评分,实时显示系统的安全总体状况,数据库的安全更加直观、可视、简单。

三维一体全方位数据库防护

明御数据库安全网关(DAS-DBFW)以目标数据库服务器为核心,从数据库服务器的底层系统、网络、数据库三个层面分别进行三位—体的立体防护。从根本上保证数据库服务器的底层操作系统免受攻击、网络层面实现有效的网络防护、数据库层面实现合规访问控制和攻击防护,彻底解决数据库的安全防护难题。

灵活的自定义防护规则

明御数据库安全网关(DAS-DBFW)提供细粒度的防护规则,支持根据数据库、用户名、客户端工具、源IP、主机名、SQL关键词、操作类型、返回行数、执行时长、SQL错误代码等设定规则。

合规的访问控制

明御数据库安全网关(DAS-DBFW)采用串联部署,通过实时的数据库协议代理彻底的实现了精细化的访问控制,对维护人员和业务系统的请求进行有效的访问控制,对进出核心数据库的访问流量进行高效、精准的解析和精细的访问控制,根据预设的自定义规则有效的识别各种可疑、违规的访问行为,实时放行或者阻断对应的SQL请求或者会话,有效的阻止不允许访问的,深度的检测授权的访问是否合规,从而达到数据库访问的合规。

丰富的数据库漏洞特征库

明御数据库安全网关(DAS-DBFW)结合多年数据库安全研究经验,将自研的特征库以及已公开的CVE的漏洞库形成检测策略全部内置到DAS-DBFW,内置的数据库漏洞特征库规则近千条,基本上涵盖了主流的所有的数据库。

虚拟补丁防护

随着用户加强数据库安全建设,越来越多的数据库安全漏洞也会被数据库安全研究者所发现,漏洞一但公开,数据库厂商并不能在第一时间对漏洞进行修复并发布升级补丁,即使厂商发布了对应的漏洞升级补丁用户并不敢第—时间对数据库进行升级,安恒数据库安全团队结合客户的这种实际使用需求,独创数据库虚拟补丁技术,通过控制数据库的请求参数、类型和个数在一定层面防御黑客利用已公开的数据库安全漏洞攻击数据库,对数据库的安全漏洞起到一定的的防御作用,极大的保护了未升级漏洞补丁的数据库服务器,极大降低了用户数据篡改和泄露的可能。

场景化防护

数据库涵盖了方方面面的数据,如对数据库展开基础防御,则很难达到防御的效果。基础防御涉及到配置工作量大,很难全面防御,针对这种情况,则需要对重点数据、相关场景进行场景式防御。如:SQL注入防护、敏感数据保护防护、拖库攻击防护、撞库攻击防护,通过建立不同的攻击场景,从而及时发现以及阻断各种攻击行为。

icon产品亮点功能icon
多维度身份认证和精细化权限控制
支持基于ip、MAC、客户端主机名、操作系统用户名、客户端工具名、数据库账号六个维度身份识别、分级批量管理。并可结合AiSort对分级分类后的数据进行命令阻断、会话阻断、数据脱敏等多种操作管控。
动态脱敏
对识别的敏感数据进行动态脱敏,内置多种脱敏算法,保障数据“可用不可见”,防止数据泄露。
漏洞防护
通过虚拟补丁和数据库安全规则对数据库提供双重防护。
运维审批
通过运维审批流程化、工单化,执行完成后权限立即自动回收,有效避免权限扩散与高危误操作。
icon产品功能介绍icon
icon产品功能—数据资产管理icon
数据资产管理

多台数据库资产统一管理,配置账号后提供可自动获取元数据功能

数据资产防护

支持入侵检测模式和入侵防护模式,初步保障数据库安全

数据资产梳理和分级分类

AiGate可结合AiSort,获取AiSort的数据库和分级后的信息

icon产品功能—精细化身份识别和访问控制icon
icon产品功能—精细化身份识别和访问控制icon
icon产品功能—多维度安全规则icon

AiGate数据安全网关提供灵活且细粒度的自定义防护规则,支持根据客户端、服务端、具体操作行为、操作结果等设定规则。

icon产品功能—多维度安全规则icon

AiGate数据安全网关内置的多种常见的数据攻击规则,针对多种攻击场景提供有效防护。可有效减少数据破坏,数据勒索,数据窃取,数据误操作等带来的数据风险。

icon产品功能—动态脱敏icon
主要安全问题
运维侧人员访问敏感数据 能接触到开发敏感数据的人员多,组成复杂,管理难度大,存在敏感数据泄露风险。
icon产品功能—动态脱敏icon

AiGate提供对Oracle、MySQL、 PostgreSQL等数据库中敏感数据的动态脱敏功能,有效避免或降低数据泄露的风险。

icon动态脱敏—请求方向语句改写技术icon
icon动态脱敏—脱敏算法icon

AiGate内置多种简单高效的脱敏算法。支持遮蔽脱敏、随机脱敏、替换脱敏算法。能够结合AiSort对访问敏感数据的行为和敏感数据结果进行动态脱敏。

遮蔽脱敏

对敏感数据的全部或部分内容采用“*” 等特殊常量字符进行遮蔽,把部分信息内容遮盖。

随机脱敏

将数据进行随机映射,每次随机值会变化。将内容相近的随机内容进行随机替换。

替换脱敏

将数据映射成唯一值,每次映射不改变。将原数据结构相同的数据进行替换,对相同的原数据,脱敏后数据也相同。

icon产品功能—运维审批icon

AiGate为了避免运维过程中的操作不透明以及高危操作带来的数据库安全风险,同时也为了保障运维人员对部分数据操作的安全性和实际应用的灵活性,当运维人员必须进行某些危险性操作或者访问敏感数据时,需要提交临时授权工单,由安全管理员进行逐级审批后方可进行操作。

icon产品功能—运维审批icon
icon产品功能—虚拟补丁icon

针对数据库漏洞与日俱增,大量的漏洞面临修复不及时或者怕影响业务不敢修复的现象,AiGate内置了470+的虚拟补丁,AiGate通过虚拟补丁和数据库安全规则对数据库提供双重防护。检测基于数据库漏洞的攻击:检测告警漏洞攻击行为;支持470+个漏洞的检测规则;覆盖20种漏洞,如缓冲区溢出、权限提升、游标注入等。

icon产品功能—虚拟补丁icon
icon场景一:运维侧的数据安全风险icon
运维人员误操作
运维管理人员或第三方维护人员由于操作失误,造成数据被破坏,影响业务运行。
运维人员高危操作
跳板机只能完成对网络隔离或数据库准入的初级控制,无法对数据库实例、表级、字段级、数据级的防护,无法做事中阻断和拦截,因而无法阻止高危操作的发生。
 
 
第三方人员权限过大
能够接触到生产系统或生产数据的运维管理人员、第三方维护人员,可能会违规进行数据导出操作,造成数据泄露。
敏感数据暴漏
一旦有人通过跳板机登录内网后,企业的核心生产数据、敏感信息数据、重要业务系统数据便会完全暴露。很可能发生批量敏感数据泄露、no where全表更新等恶意运维操作,损失将难以估量且不可逆。
icon场景二:精细化的访问控制icon

【背景】:数据库系统只提供了IP和账号两个维度的身份认证,数据库的访问控制也只能做到是基于数据库对象进行。 【挑战】:传统的数据库防火墙认证完成后就可以对有权限的数据库对象进行操作。

彻底杜绝非法越权访问
精细化的访问控制是AiGate数据库防火墙核心功能中的基础,系统多角度身份识别结合AiSort数据分类分级,全面的对数据库日常维护的各种账号复用、盗用、合法权限滥用等越权违规行为实行精准控制,避免非法越权访问导致的数据安全风险,保证数据库的安全合规访问,极大降低了维护层面各种人员的风险威胁。
icon场景三:动态脱敏icon

【背景】:数据库需要常态化运维和优化,包括:备份、修改表的结构、增加索引、创建库表、查看数据等众多繁琐任务。 【挑战】:数据库运维能够直接接触到(不必要的)大量的敏感数据。

敏感数据“可用不可见”
内置各种脱敏算法,可根据实际业务场景配置动态脱敏功能,保障再操作敏感数据过程中,对敏感数据的返回结果进行实时的动态脱敏,保障不影响业务的同时,降低数据泄露风险。
icon场景四:虚拟补丁icon

【背景】:国家信息安全漏洞共享平台上可查的数据库系统漏洞数量多达2410多个,仅2020年就新增了262个;随着数据库种类的不断增多,数据库的漏洞必将与日俱增。 【挑战】:大量的数据库漏洞面临修复不及时或者怕影响业务不修复的现象。

给数据库穿上“防弹衣”
AiGate内置各种漏洞攻击策略,当数据库存在漏洞没法升级的时候,黑客将很容易渗透到你的数据库并提权窃取篡改数据,如果加了一层虚拟补丁防护,瞬间防御指数提高数十倍,通过虚拟补丁功能,在危险请求进入数据库之前进行拦截。
icon场景五:运维审批icon
icon旁路部署--反向代理icon

通过用户和应用服务器访问数据安全网关设备的代理IP和代理端口来访问数据库。

icon串连部署icon

脱胎于WAF能力,具备超强稳定性,可直接将AiGate串连在用户网络中,用户不感知数据安全网关,不改变用户访问数据库方式。

icon案例--某互联网金融企业icon
项目故事背景

某从事金融管理事业的金融科技企业的纽交所上市企业,业务领域涉及支付、网贷、众筹、智能保险等。为更好的实现各类分散业务数据的整合与综合利用,以及更精细化管理数据,并防止敏感数据泄露,构建了为生产区数据库和共享开发区的测试库系统提供数据库安全防护、支撑服务。

用户痛点总结

可访问数据库的运维人员和第三方外包人员较多,仅根据账号和IP无法精细化管控,数据库访问存在安全威胁。 数据库中的部分高敏感数据,不适合对运维人员直接暴露。 敏感数据类型较多,不同的类型有不同的敏感级别,在对外提供业务时需要标注,人工核实无从下手。 希望内置多种场景安全数据访问规则,方便使用和上手; 数据库种类多,许多数据库不适合升级,但是对暴漏的数据库漏洞需要有合适方案防护。

带来价值

AiGate数据安全网关,通过多维度身份管控,可配置精细化的访问权限规则,保障数据库访问安全。 可自定义敏感数据,并根据具体的数据库访问操作进行动态脱敏,保障敏感数据安全。 结合AiSort数据分级分类,对多类型数据进行进一步梳理,减少人工投入。 AiGate内置多种安全规则,有效避免危险操作,防止SQL注入等安全攻击,并支持升级规则,实时保障数据库安全。 通过虚拟补丁技术,将已知的CVE漏洞进行安全防护,可以在不升级原数据库的情况下,保障低版本数据库安全。

产品推荐 查看更多>>
    数据库透明加密系统【DBS-TDE】

    数据库透明加密系统【DBS-TDE】数据库加密系统是在传统边界控制逐渐失效环境下的补充安全措施,成为敏感数据泄露的最后一道防线。

    高可用

    安全防护

    珞安工控入侵检测系统

    珞安工控入侵检测系统是面向企业内部生产网络进行威胁检测、分析的产品,可应用于工业控制网络环境,通过对工业控制系统中的工控语言进行专项解读,形成特有的工控网络检测策略,实现对各工业控制系统的有效威胁检测。

    安全防护

    安全可靠

    功能完备

    数据库安全审计系统【DBS-DAS】

    数据库审计系统是以安全事件为中心,以全面审计和精确审计为基础,通过贯穿于安全事件处理生命周期的全面管理为手段构建的一套系统,能够全面降低安全风险,全面精确地将安全事件清晰地记录在审计系统内部。

    安全可靠

    高效稳定