数据库安全防护产品部署方式分析

一、背景概述

随着大数据和云计算技术的迅速发展，政府、企业都开始将自己的应用迁移到云环境，数据开始大集中。随之而来的是近几年数据泄漏事件频发，数据安全问题逐渐引起了国家的重视，即将施行的《网络安全法》中对数据安全做出了明确要求，进一步完善了个人信息保护的相关规则。

北京中安星云软件技术有限公司作为国内领先的数据库安全产品和解决方案提供商，可以为用户提供领先的数据库安全产品、方案、服务，为用户数据安全保驾护航！

数据库安全产品现在常见的有数据库监控扫描、数据库安全审计、数据库防火墙和数据库透明加密。 这四种产品大都是硬件产品，如何去部署对于用户来说是一个必须要考虑的问题。以下将对数据安全安全防护产品的部署方式做简单介绍，希望可以帮助用户更好的了解数据库安全产品，更快的提高数据库安全防护水平。

二、部署方式及工作原理

中安星云数据库安全产品部署架构方面通常分为旁路部署和在线部署（透明部署，透明代理部署）两种主流部署方式。部署位置需根据不同产品部署方式和数据库位置来决定。

2.1旁路部署

旁路部署模式分为端口镜像部署和IP部署两种方式，端口镜像部署模式是旁路镜像的方式部署在应用程序和数据库服务器之间的交换机上，通过镜像数据库访问流量对数据库操作行为进行审计、告警等措施而达到防护数据库的目的，如：数据库安全审计产品。

IP地址旁路部署是将安全设备部署在网络当中的任何节点，只需要与数据库之间路由可达即可，需要给安全设备配置当前网段IP地址，如：数据库透明加密和数据库监控扫描产品。

采用旁路方式接入网络，无需改动用户网络结构和配置，不会造成用户网络单点故障。下面以中安星云数据库安全审计和数据库透明加密产品、数据库监控扫描产品部署为例说明：

数据库审计产品，通常采用端口镜像旁路部署模式：

旁路镜像部署

数据库透明加密产品和数据库监控扫描产品，采用旁路IP模式部署：

旁路IP部署

2.2在线部署

在线部署模式分为透明部署和透明代理部署，下面以中安星云数据库防火墙产品部署为例，介绍两种部署方式

数据库防火墙产品在线透明部署模式：

工作原理：在线透明部署工作原理是，当客户端或应用程序对数据库服务器有连接请求时，数据库防火墙不对数据包进行任何改变，无需更改IP地址，仅按照访问控制策略对数据库访问行为进行过滤，同时具有软硬件Bypass功能，保障网络的高可用性。

在线透明部署

数据库防火墙透明代理部署模式：

工作原理：透明代理部署模式(也称代理模式)工作原理是，当客户端或应用程序对数据库服务器有连接请求时，TCP连接请求会被数据库防火墙截取和监控。数据库防火墙代理了客户端和数据库服务器之间的会话，并基于桥模式进行转发，在数据库防火墙转发数据时将源IP替换为数据库防火墙的桥IP。从客户端的角度看，客户端仍然是直接访问服务器，感知不到数据库防火墙的存，因而称之为透明代理模式，又称之为透明桥模式。

透明代理部署通常路由可达即可，可旁路部署，不改变网络结构，但需要给数据库防火墙分配与数据库、客户端能够通信的IP地址和路由信息。

透明代理部署

三、优劣势对比

3.1旁路部署模式

旁路部署模式不需要对网络进行改动，它仅对数据库访问行为进行分析和告警记录，并不会对恶意的访问等进行拦截和阻断，适合数据库安全扫描、加密和审计产品，用于对数据库进行弱口令检测、漏洞扫描、加密以及对数据库操作等行为进行审计、告警，同时这种部署工作模式，对原有网络不会有任何影响。

3.2在线部署模式

在线透明部署模式对网络的改动小。另外通过数据库防火墙硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是数据库防火墙自身功能失效。缺点是网络的所有流量(数据库相关的和不相关)都经过数据库防火墙，对数据库防火墙处理性能有很大的考验。

在线透明代理这种部署模式需要增加IP地址，要设置该设备管理IP、桥IP以及对应的路由。工作在代理模式时，能够只对数据库相关的数据进行代理转发和过滤，对其他流量无影响，但是此部署模式存在很大的单点故障，当设备出现问题，会造成业务中断。