資料庫防火牆整合資料稽核(Data Auditing)、資料安全(Data Security)、資料遮罩(Data Masking),三大面向功能。
透過事前的資料稽核,事中的資料即時防護以及事後的資料模糊輸出,提供全方位的資料庫安全防護,將企業機密資料外洩的可能性降至最低。可與第三方的資安管理(SIEM)系統整合。支援業界常見資料庫類型:MySQL、MsSQL、Oracle、IBM DB2、MariaDB。
即時追蹤所有的使用者行為及資料庫的修改異動。有助於發現任何資料外洩的潛在可能性,迅速找到問題的根源,並評估其損害及成本損失。
紀錄使用者行為、資料庫查詢及結果。保存資料庫使用者、user sessions、查詢代碼等。稽核結果將儲存至內建或外部的資料庫,並可導出至像是SIEM第三方資料管理系統。與SIEM系統搭配使用,資料稽核將有助於了解資料庫使用者的行為概況
保障資料安全,資料庫防火牆攔阻流量,針對未經授權的存取和SQL injection進一步分析。根據安全政策:記錄使用者查詢及結果、阻擋SQL攻擊或是模糊資料輸出。
偵測到未經授權的存取或SQL injection攻擊時,當下可直接以資料庫錯誤的方式阻擋查詢,或者直接禁止可疑使用者存取。威脅解除後,以email或即時訊息通知管理者。
資料管理系統。與SIEM系統搭配使用,資料稽核將有助於了解資料庫使用者的行為概況
資料遮罩主要用於第三方人員(例如外包廠商)需要存取資料庫時,馬賽克模糊部分資料,避免被他人得知完整的資料。
當資料庫防火牆偵測到一個資料庫查詢之後,從資料庫輸出敏感資料的時候,利用隨機資料、特殊符號或是看似真實的資料來遮掩。為各種可能的情況/需求,例如信用卡卡號、電子信箱、日期等,提供專用的遮掩方式。
在偵測模式中,資料庫防火牆DAF透過鏡射方式擷取流量封包,於私底下進行資料稽核。此模式中,不須重新配置資料庫伺服器 (如圖一)
資料庫防火牆DAF會被設置在客戶端以及資料庫伺服器之間,避免使用者直接存取資料庫。客戶僅能透過連結DAF,才能存取資料庫。在此模式中,資料庫防火牆DAF可進行資料遮罩(data masking)&資料稽核(data auditing) (如圖二)
將資料庫的特定資料遮蔽起來,確保敏感資料能夠被看似逼真的資料所取代,可避免敏感資料暴露在這些作業的過程中,降低資料外洩風險。過往個人資料處理不夠審慎,導致資料外洩,受到不必要打擾。例如收到廣告信、促銷產品或服務的簡訊或電話,甚至被詐騙欺騙。