SQL tulemüürid: Difference between revisions
(24 intermediate revisions by the same user not shown) | |||
Line 5: | Line 5: | ||
14.06.2015 | 14.06.2015 | ||
<br/> | <br/><br/><br/> | ||
= Loetava materjali tase = | = Loetava materjali tase = | ||
Antud materjal eeldab, et lugejal on pealiskaudsed teadmised nii andmebaaside kasutamisest, kui ka sellest kuidas nad toimivad. | Antud materjal eeldab, et lugejal on pealiskaudsed teadmised nii andmebaaside kasutamisest, kui ka sellest kuidas nad toimivad. | ||
<br/> | <br/><br/><br/> | ||
= Sissejuhatus = | = Sissejuhatus = | ||
Tänapäeva kiirelt arenevas IT maastikul on pea kõik veebilehed ja võrgurakendused seotud mingisuguste andmebaasidega, mille mahud ja päringute arvud on muutunud tohutult suurteks. Olles muutunud paljude süsteemide eraldamatuteks osadeks on tekkinud ka vajadus kaitsta neid rünnakute eest, mida muude vahenditega enam hallata ei suudeta. | Tänapäeva kiirelt arenevas IT maastikul on pea kõik veebilehed ja võrgurakendused seotud mingisuguste andmebaasidega, mille mahud ja päringute arvud on muutunud tohutult suurteks. Olles muutunud paljude süsteemide eraldamatuteks osadeks on tekkinud ka vajadus kaitsta neid rünnakute eest, mida muude vahenditega enam hallata ei suudeta. | ||
<br/> | <br/><br/><br/> | ||
= Tulemüüri definitsioon = | = Tulemüüri definitsioon = | ||
Arvutitehnikas tuntakse tulemüüri kui tarkvara või seadet mis takistab soovimatut ligipääsu mingile seadmele või rakendusele. Tüüpiliselt peetakse tulemüüri all silmas turvasüsteemi mis piirab ligipääsu määrates ära millised võrguühendused, tavaliselt IP või pordipõhiselt, lastakse ligi kaistavale rakendusele või seadmele. | Arvutitehnikas tuntakse tulemüüri kui tarkvara või seadet mis takistab soovimatut ligipääsu mingile seadmele või rakendusele. Tüüpiliselt peetakse tulemüüri all silmas turvasüsteemi mis piirab ligipääsu määrates ära millised võrguühendused, tavaliselt IP või pordipõhiselt, lastakse ligi kaistavale rakendusele või seadmele. | ||
<br/> | <br/><br/><br/> | ||
= Andmebaasi tulemüür = | = Andmebaasi tulemüür = | ||
Andmebaasi tulemüürid tegelevad lisaks IP põhiste piirangute rakendamisele ka kasutajatunnuste ja päringute sisu kontrollimisega. Kahjulikud andmed filtreeritakse välja andmebaasi panemise asemele ja otsitakse mustreid andmetes mis võivad põhjustada turvariske. Andmebaasi tulemüürid rakenduvad andmebaasi ees ja kontrollivad kõiki päringuid olenemata nende päritolust, sealhulgas ka teiste samas serveris asetsevate rakenduste poolt. | Andmebaasi tulemüürid tegelevad lisaks IP põhiste piirangute rakendamisele ka kasutajatunnuste ja päringute sisu kontrollimisega. Kahjulikud andmed filtreeritakse välja andmebaasi panemise asemele ja otsitakse mustreid andmetes mis võivad põhjustada turvariske. Andmebaasi tulemüürid rakenduvad andmebaasi ees ja kontrollivad kõiki päringuid olenemata nende päritolust, sealhulgas ka teiste samas serveris asetsevate rakenduste poolt. | ||
<br/><br/><br/> | |||
= Tulemüürid = | = Tulemüürid = | ||
== Fortinet FortiDB == | == Fortinet FortiDB == | ||
˻FortiDB on põhjalik andmebaasi turbe ja nõuete platvorm, mis aitab suurtel ettevõtetel ja pilve-põhistel teenusepakkujatel kaitsta omi andmebaase ja rakendusi sisemiste ja välimiste ohtude eest. Kasutades paindlikku poliiside raamistikku, FortiDB võimaldab kiirelt ja lihtsalt implementeerida sisemist IT kontrolli raamistikku andmebaasi monitoorimiseks, IT auditeerimiseks ja nõuetega vastavusse viimiseks.˼<ref>[http://www.fortinet.com/products/fortidb/ Database Security and Compliance - FortiDB]</ref> | ˻FortiDB on põhjalik andmebaasi turbe ja nõuete platvorm, mis aitab suurtel ettevõtetel ja pilve-põhistel teenusepakkujatel kaitsta omi andmebaase ja rakendusi sisemiste ja välimiste ohtude eest. Kasutades paindlikku poliiside raamistikku, FortiDB võimaldab kiirelt ja lihtsalt implementeerida sisemist IT kontrolli raamistikku andmebaasi monitoorimiseks, IT auditeerimiseks ja nõuetega vastavusse viimiseks.˼<ref>[http://www.fortinet.com/products/fortidb/ Database Security and Compliance - FortiDB]</ref> | ||
<br/> | <br/><br/> | ||
== GreenSQL Database Firewall == | == GreenSQL Database Firewall == | ||
˻GreenSQLi andmebaasi tulemüür võimaldab administraatoritel seada vaatamis ja värskendamis õiguseid igale andmebaasile, tabelile ja tulbale eraldi. Andmebaasi, tabeli ja tulba tasemel pääsukontroll võib olla seotud erinevate kasutajate, IP-de ja lausa kellaaegadega. Rollipõhise pääsukontrolliga saab GreenSQL kaitsta privaatseid andmeid lihtsalt ja võimaldab erinevate regulatsioonidega vastavuse nagu PCI-DSS ja HIPAA˼<ref>[http://www.greensql.com/prevent-information-theft-greensql-database-firewall-software Prevent information theft with GreenSQL Database Firewall Software.]</ref> | ˻GreenSQLi andmebaasi tulemüür võimaldab administraatoritel seada vaatamis ja värskendamis õiguseid igale andmebaasile, tabelile ja tulbale eraldi. Andmebaasi, tabeli ja tulba tasemel pääsukontroll võib olla seotud erinevate kasutajate, IP-de ja lausa kellaaegadega. Rollipõhise pääsukontrolliga saab GreenSQL kaitsta privaatseid andmeid lihtsalt ja võimaldab erinevate regulatsioonidega vastavuse nagu PCI-DSS ja HIPAA˼<ref>[http://www.greensql.com/prevent-information-theft-greensql-database-firewall-software Prevent information theft with GreenSQL Database Firewall Software.]</ref> | ||
<br/> | <br/><br/> | ||
== Imperva Database Firewall == | == Imperva Database Firewall == | ||
˻Imperva SecureSphere andmebaasi tulemüür kaitseb sinu andmeid reaalajas monitoorides kogu andmeliiklust, leides ja parandades uuendamata andmebaaside serverid ja blokeerides kõrgematasemelised rünnakud. SecureSphere andmebaasi tulemüür aitab sul vältida sissemurdmisi andmebaasi kaitstes sind rünnakute, andmevarguste ja andmekao eest.˼<ref>[http://www.imperva.com/Products/DatabaseFirewall Imperva Database Firewall: Unrivaled Database Protection]</ref> | ˻Imperva SecureSphere andmebaasi tulemüür kaitseb sinu andmeid reaalajas monitoorides kogu andmeliiklust, leides ja parandades uuendamata andmebaaside serverid ja blokeerides kõrgematasemelised rünnakud. SecureSphere andmebaasi tulemüür aitab sul vältida sissemurdmisi andmebaasi kaitstes sind rünnakute, andmevarguste ja andmekao eest.˼<ref>[http://www.imperva.com/Products/DatabaseFirewall Imperva Database Firewall: Unrivaled Database Protection]</ref> | ||
<br/> | <br/><br/> | ||
== MySQL Enterprise Firewall == | == MySQL Enterprise Firewall == | ||
˻MySQL Enterprise Firewall takistab küberrünnakuid kasutades reaalajakaitset andmebaasispetsiifiliste rünnakute nagu SQL süstimise vastu. MySQL Enterprise Firewall monitoorib ja blokeerib autoriseerimata tegevusi andmebaasis ilma tarkvara muutmata.˼<ref>[http://www.mysql.com/products/enterprise/firewall.html MySQL Enterprise Firewall]</ref> | ˻MySQL Enterprise Firewall takistab küberrünnakuid kasutades reaalajakaitset andmebaasispetsiifiliste rünnakute nagu SQL süstimise vastu. MySQL Enterprise Firewall monitoorib ja blokeerib autoriseerimata tegevusi andmebaasis ilma tarkvara muutmata.˼<ref>[http://www.mysql.com/products/enterprise/firewall.html MySQL Enterprise Firewall]</ref> | ||
<br/> | <br/><br/> | ||
== Oracle Database Firewall == | == Oracle Database Firewall == | ||
˻Oracle andmebaasi tulemüür on reaalaja süsteem, mis pakub nii lubamis kui ka keelamis nimistut, poliiside nimistut, arukat häirete süsteemi ja väga väikse administratiivse kuluga monitooringut. Oracle tulemüür on andmebaasist eraldiseisva juhtimise ja seadistamisega. Eraldiseisev turve vähendab riske ja võimaldab kiiresti kohaneda muutuvate tingimuste ja regulatsioonidega.˼<ref>[http://www.oracle.com/technetwork/database/focus-areas/security/ovw-oracle-database-firewall-1447166.pdf Oracle Database Firewall]</ref> | ˻Oracle andmebaasi tulemüür on reaalaja süsteem, mis pakub nii lubamis kui ka keelamis nimistut, poliiside nimistut, arukat häirete süsteemi ja väga väikse administratiivse kuluga monitooringut. Oracle tulemüür on andmebaasist eraldiseisva juhtimise ja seadistamisega. Eraldiseisev turve vähendab riske ja võimaldab kiiresti kohaneda muutuvate tingimuste ja regulatsioonidega.˼<ref>[http://www.oracle.com/technetwork/database/focus-areas/security/ovw-oracle-database-firewall-1447166.pdf Oracle Database Firewall]</ref> | ||
<br/> | <br/><br/> | ||
== SQLassie == | == SQLassie == | ||
˻SQLassie on tasuta MySQL andmebaaside tulemüür mis takistab SQL süstimise rünnakute läbiviimist päringute läbiviimisel. SQLassie kasutab | ˻SQLassie on tasuta MySQL andmebaaside tulemüür mis takistab SQL süstimise rünnakute läbiviimist päringute läbiviimisel. SQLassie kasutab Bayesiani meetrikut, et tuvastada päringu rünnakuks olemise tõenäosust. Selline lahendus vähendab valetulemuste tekkimist võrreldes muude sarnaste süsteemidega.˼<ref>[http://www.sqlassie.org/ SQLassie - Effective Database Security]</ref> | ||
<br/> | <br/><br/><br/> | ||
= Võrdlus = | = Võrdlus = | ||
{| border="1" style="border-collapse:collapse;" | {| border="1" style="border-collapse:collapse;" | ||
! scope="col" | | ! scope="col" | | ||
Line 55: | Line 48: | ||
|- | |- | ||
! scope="row" | Hind | ! scope="row" | Hind | ||
| | |Tasuline | ||
|Tasuta | |Tasuta 14 päeva | ||
| | |Tasuline | ||
|Enterprise andmebaasiga<br/>tasuta kaasas | |Enterprise andmebaasiga<br/>tasuta kaasas | ||
|Andmebaasiga<br/>tasuta kaasas | |Andmebaasiga<br/>tasuta kaasas | ||
Line 71: | Line 64: | ||
|- | |- | ||
! scope="row" | Toetatud andmebaasid | ! scope="row" | Toetatud andmebaasid | ||
| | |OracleSQL, MySQL, Sybase ASE,<br/> Microsoft SQL, IBM DB2 | ||
| | |MySQL, Microsoft SQL, Amazon AWS,<br/> Google Cloud, SoftLayer, Microsoft Azure | ||
|OracleSQL, MySQL, SAP Sybase,<br/> Microsoft SQL, IBM DB2, PostgreSQL | |OracleSQL, MySQL, SAP Sybase,<br/> Microsoft SQL, IBM DB2, PostgreSQL | ||
|MySQL Enterprise | |MySQL Enterprise | ||
Line 79: | Line 72: | ||
|- | |- | ||
! scope="row" | Reaalajas andmebaasi<br/> monitoorimine | ! scope="row" | Reaalajas andmebaasi<br/> monitoorimine | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|N | |N | ||
Line 87: | Line 80: | ||
|- | |- | ||
! scope="row" | Andmete kontroll peale edastamist | ! scope="row" | Andmete kontroll peale edastamist | ||
| | |N | ||
| | |N | ||
|N | |N | ||
|N | |N | ||
Line 95: | Line 88: | ||
|- | |- | ||
! scope="row" | Andmete kontroll enne edastust | ! scope="row" | Andmete kontroll enne edastust | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|Y | |Y | ||
Line 103: | Line 96: | ||
|- | |- | ||
! scope="row" | Potensiaalse ohu<br/> blokeerimine | ! scope="row" | Potensiaalse ohu<br/> blokeerimine | ||
| | |Y | ||
| | |N | ||
|Y | |Y | ||
|Y | |Y | ||
Line 111: | Line 104: | ||
|- | |- | ||
! scope="row" | Mitme andmebaasi turvamine | ! scope="row" | Mitme andmebaasi turvamine | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|N | |N | ||
Line 119: | Line 112: | ||
|- | |- | ||
! scope="row" | Andmebaasi turvamine<br/>teiselt serverilt | ! scope="row" | Andmebaasi turvamine<br/>teiselt serverilt | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|N | |N | ||
Line 127: | Line 120: | ||
|- | |- | ||
! scope="row" | Lubavad poliisid | ! scope="row" | Lubavad poliisid | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|Y | |Y | ||
Line 135: | Line 128: | ||
|- | |- | ||
! scope="row" | tõkestavad poliisid | ! scope="row" | tõkestavad poliisid | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|Y | |Y | ||
Line 143: | Line 136: | ||
|- | |- | ||
! scope="row" | Kasutusmustrite õppimine | ! scope="row" | Kasutusmustrite õppimine | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|Y | |Y | ||
Line 151: | Line 144: | ||
|- | |- | ||
! scope="row" | Automaatne aruannete loomine | ! scope="row" | Automaatne aruannete loomine | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|N | |N | ||
Line 159: | Line 152: | ||
|- | |- | ||
! scope="row" | Päringute loggimine | ! scope="row" | Päringute loggimine | ||
| | |Y | ||
| | |Y | ||
|Y | |Y | ||
|Y | |Y | ||
Line 167: | Line 160: | ||
|} | |} | ||
<br/> | <br/> | ||
Andmebaaside kaitseks on võimalik soetada väga kalleid ja keerulisi platvorme, mis on täiesti eraldi seadmetena Andmebaasiserveri ees. Sellised lahendused tegelevad peale päringute kontrollimise ka andmemuudatuste salvestamisega, tagamaks võimaluse andmeid taastada eelnevasse olukorda. Dünaamiliselt luuakse kasutajapõhised käitumisprofiilid mille alusel hinnatakse kas päringud on õiged või on tegemist rünnakutega. | |||
Tulemüürid ja nende funktsioonid on küllaltki sarnased, aga mängu tulevad erinevate arendajate rõhuasetused. Sarnaselt mängib suurt rolli kas tegemist on tasuta või tasulise tarkvaraga, GreenSQL turbest võib leida tasuta variante, aga nende tugi on lõpetatud. SQLassie on tasuta turve, aga tema funktsionaalsus piirdub enamjaolt päringute kontrolliga. | |||
Lihtsama andmebaasi turvamiseks, mis ei ole üles seatud ärilisel eesmärgil, piisab SQLassie laadsest tulemüürist ja rõhku tuleb panna veebirakenduse turvalisusele. Ilma terviklahenduseta (Antiviirus/Malware, Võrgu tulemüür jne.) saab andmed kätte muul viisil palju lihtsamalt ja andmebaasi tulemüüri olemasolu ei taga automaatselt andmete turvet. | |||
<br/><br/> | |||
==Viited== | ==Viited== | ||
<references/> | <references/> |
Latest revision as of 18:19, 15 June 2015
Autor
Autor: Siim Pääro
Grupp: AK31
14.06.2015
Loetava materjali tase
Antud materjal eeldab, et lugejal on pealiskaudsed teadmised nii andmebaaside kasutamisest, kui ka sellest kuidas nad toimivad.
Sissejuhatus
Tänapäeva kiirelt arenevas IT maastikul on pea kõik veebilehed ja võrgurakendused seotud mingisuguste andmebaasidega, mille mahud ja päringute arvud on muutunud tohutult suurteks. Olles muutunud paljude süsteemide eraldamatuteks osadeks on tekkinud ka vajadus kaitsta neid rünnakute eest, mida muude vahenditega enam hallata ei suudeta.
Tulemüüri definitsioon
Arvutitehnikas tuntakse tulemüüri kui tarkvara või seadet mis takistab soovimatut ligipääsu mingile seadmele või rakendusele. Tüüpiliselt peetakse tulemüüri all silmas turvasüsteemi mis piirab ligipääsu määrates ära millised võrguühendused, tavaliselt IP või pordipõhiselt, lastakse ligi kaistavale rakendusele või seadmele.
Andmebaasi tulemüür
Andmebaasi tulemüürid tegelevad lisaks IP põhiste piirangute rakendamisele ka kasutajatunnuste ja päringute sisu kontrollimisega. Kahjulikud andmed filtreeritakse välja andmebaasi panemise asemele ja otsitakse mustreid andmetes mis võivad põhjustada turvariske. Andmebaasi tulemüürid rakenduvad andmebaasi ees ja kontrollivad kõiki päringuid olenemata nende päritolust, sealhulgas ka teiste samas serveris asetsevate rakenduste poolt.
Tulemüürid
Fortinet FortiDB
˻FortiDB on põhjalik andmebaasi turbe ja nõuete platvorm, mis aitab suurtel ettevõtetel ja pilve-põhistel teenusepakkujatel kaitsta omi andmebaase ja rakendusi sisemiste ja välimiste ohtude eest. Kasutades paindlikku poliiside raamistikku, FortiDB võimaldab kiirelt ja lihtsalt implementeerida sisemist IT kontrolli raamistikku andmebaasi monitoorimiseks, IT auditeerimiseks ja nõuetega vastavusse viimiseks.˼[1]
GreenSQL Database Firewall
˻GreenSQLi andmebaasi tulemüür võimaldab administraatoritel seada vaatamis ja värskendamis õiguseid igale andmebaasile, tabelile ja tulbale eraldi. Andmebaasi, tabeli ja tulba tasemel pääsukontroll võib olla seotud erinevate kasutajate, IP-de ja lausa kellaaegadega. Rollipõhise pääsukontrolliga saab GreenSQL kaitsta privaatseid andmeid lihtsalt ja võimaldab erinevate regulatsioonidega vastavuse nagu PCI-DSS ja HIPAA˼[2]
Imperva Database Firewall
˻Imperva SecureSphere andmebaasi tulemüür kaitseb sinu andmeid reaalajas monitoorides kogu andmeliiklust, leides ja parandades uuendamata andmebaaside serverid ja blokeerides kõrgematasemelised rünnakud. SecureSphere andmebaasi tulemüür aitab sul vältida sissemurdmisi andmebaasi kaitstes sind rünnakute, andmevarguste ja andmekao eest.˼[3]
MySQL Enterprise Firewall
˻MySQL Enterprise Firewall takistab küberrünnakuid kasutades reaalajakaitset andmebaasispetsiifiliste rünnakute nagu SQL süstimise vastu. MySQL Enterprise Firewall monitoorib ja blokeerib autoriseerimata tegevusi andmebaasis ilma tarkvara muutmata.˼[4]
Oracle Database Firewall
˻Oracle andmebaasi tulemüür on reaalaja süsteem, mis pakub nii lubamis kui ka keelamis nimistut, poliiside nimistut, arukat häirete süsteemi ja väga väikse administratiivse kuluga monitooringut. Oracle tulemüür on andmebaasist eraldiseisva juhtimise ja seadistamisega. Eraldiseisev turve vähendab riske ja võimaldab kiiresti kohaneda muutuvate tingimuste ja regulatsioonidega.˼[5]
SQLassie
˻SQLassie on tasuta MySQL andmebaaside tulemüür mis takistab SQL süstimise rünnakute läbiviimist päringute läbiviimisel. SQLassie kasutab Bayesiani meetrikut, et tuvastada päringu rünnakuks olemise tõenäosust. Selline lahendus vähendab valetulemuste tekkimist võrreldes muude sarnaste süsteemidega.˼[6]
Võrdlus
Fortinet FortiDB | GreenSQL DB FW | Imperva DB FW | MySQL Ent FW | Oracle DB FW | SQLassie | |
---|---|---|---|---|---|---|
Hind | Tasuline | Tasuta 14 päeva | Tasuline | Enterprise andmebaasiga tasuta kaasas |
Andmebaasiga tasuta kaasas |
Tasuta |
Vorm | Seadmed + Tarkvara | Tarkvara | Seadmed + Tarkvara | Tarkvara | Tarkvara | Tarkvara |
Toetatud andmebaasid | OracleSQL, MySQL, Sybase ASE, Microsoft SQL, IBM DB2 |
MySQL, Microsoft SQL, Amazon AWS, Google Cloud, SoftLayer, Microsoft Azure |
OracleSQL, MySQL, SAP Sybase, Microsoft SQL, IBM DB2, PostgreSQL |
MySQL Enterprise | OracleSQL, MySQL, Sybase ASE, Microsoft SQL, IBM DB2 |
MySQL |
Reaalajas andmebaasi monitoorimine |
Y | Y | Y | N | Y | N |
Andmete kontroll peale edastamist | N | N | N | N | Y | Y |
Andmete kontroll enne edastust | Y | Y | Y | Y | Y | Y |
Potensiaalse ohu blokeerimine |
Y | N | Y | Y | Y | N |
Mitme andmebaasi turvamine | Y | Y | Y | N | Y | N |
Andmebaasi turvamine teiselt serverilt |
Y | Y | Y | N | Y | N |
Lubavad poliisid | Y | Y | Y | Y | Y | N |
tõkestavad poliisid | Y | Y | Y | Y | Y | N |
Kasutusmustrite õppimine | Y | Y | Y | Y | Y | N |
Automaatne aruannete loomine | Y | Y | Y | N | Y | Y |
Päringute loggimine | Y | Y | Y | Y | Y | Y |
Andmebaaside kaitseks on võimalik soetada väga kalleid ja keerulisi platvorme, mis on täiesti eraldi seadmetena Andmebaasiserveri ees. Sellised lahendused tegelevad peale päringute kontrollimise ka andmemuudatuste salvestamisega, tagamaks võimaluse andmeid taastada eelnevasse olukorda. Dünaamiliselt luuakse kasutajapõhised käitumisprofiilid mille alusel hinnatakse kas päringud on õiged või on tegemist rünnakutega.
Tulemüürid ja nende funktsioonid on küllaltki sarnased, aga mängu tulevad erinevate arendajate rõhuasetused. Sarnaselt mängib suurt rolli kas tegemist on tasuta või tasulise tarkvaraga, GreenSQL turbest võib leida tasuta variante, aga nende tugi on lõpetatud. SQLassie on tasuta turve, aga tema funktsionaalsus piirdub enamjaolt päringute kontrolliga.
Lihtsama andmebaasi turvamiseks, mis ei ole üles seatud ärilisel eesmärgil, piisab SQLassie laadsest tulemüürist ja rõhku tuleb panna veebirakenduse turvalisusele. Ilma terviklahenduseta (Antiviirus/Malware, Võrgu tulemüür jne.) saab andmed kätte muul viisil palju lihtsamalt ja andmebaasi tulemüüri olemasolu ei taga automaatselt andmete turvet.