Реализация монитора безопасности СУБД MySQL в DBF/DAM- системах
Предлагается прототип механизма, реализующего политику мандатного управления доступом типа multilevel security (MLS) и type enforcement (TE) на основе разработанной ранее формальной ДП-модели, а также механизм сокрытия структуры базы данных на основе метода переписывания запросов. Прототип реализован в виде DBF/DAM-модуля - для MySQL-proxy, функционирующей между клиентом и сервером системы управления базами данных (СУБД) MySQL как прокси-сервер. При реализации модели безопасности предложен и использован подход, при котором функции в коде соответствуют де-юре правилам формальной ДП-модели.
Implementation of RDBMS MySQL security monitor in DBF/DAM systems.pdf В настоящее время активно развивается подход на основе DBF/DAM-технологий, заключающийся в реализации специализированного прокси-сервера, обепечивающего базовое управление доступом, защиту от основных атак и мониторинг СУБД. Такие системы получили название Database Firewall (DBF) или Database Activity Monitoring (DAM) [1]. Все основные DBF/DAM-системы, к которым можно отнести, например, Oracle Database Firewall, GreenSQL, McAfee DAM, Imperva SecureSphere, ориентированы, как правило, на обнаружение подозрительной активности пользователя и предотвращение возможных атак. При этом механизмам управления доступом уделяется недостаточно внимания, так как предполагается, что они уже реализованы на уровне самой СУБД. В связи с этим реализация современных научно обоснованных механизмов управления доступом на урове DBF/DAM-систем, несомненно, является перспективным направлением и позволяет решить следующие проблемы реализации политик управления доступом в изначально дискреционных СУБД: - необходимость изменять исходный код защищаемой СУБД; - реализацию механизма управления доступом для всех СУБД, поддерживающих язык SQL; - необходимость изменять существующую инфраструктуру СУБД; - уменьшение «поверхности атак» на защищаемую СУБД. Предлагается прототип механизма управления доступом, реализующий политики мандатного управления доступом типа MLS и TE на основе разработанной ранее формальной ДП-модели [2] в виде DBF/DAM-модуля - для MySQL-proxy, а также механизм сокрытия структуры БД на основе метода переписывания запросов. При реализации ДП-модели в коде используется подход, заключающийся в разделении кода на две части: функции управления доступом, соответствующие де-юре правилам преобразования ДП-модели и реализующие логику политик безопасности, и функции адаптации, необходимые для взаимодействия элементов СУБД с элементами механизмов управления доступом. Основой прототипа является система MySQL-proxy [3]. Данная система функционирует между клиентом и сервером СУБД MySQL, предназначена для балансировки нагрузки, обработки запросов, проходящих как от клиента к серверу, так и от сервера к клиенту, реализует механизм аварийного переключения. Для обработки запросов MySQL-proxy использует встроенный язык Lua [4]. Реализован модуль на языке Lua для MySQL-proxy, выполняющий следующие функции: 1) присвоение сущностям (базам данных, таблицам и столбцам) меток безопасности, а также их хранение; 2) синтаксический анализ запроса с целью идентификации всех сущностей; 3) принятие решения о продолжении обработки запроса или его прекращении на основе меток безопасности и мандатной политики управления доступом; 4) сокрытие внутренней структуры БД.
Ключевые слова
компьютерная безопасность,
управление доступом,
реализация моделей безопасности,
DBF/DAM-системы,
СУБД MySQL,
MySQL-proxy,
computer security,
access control implementation,
DBF/DAM systems,
RDBMS MySQL,
MySQL-proxyАвторы
Ткаченко Николай Олегович | Томский государственный университет | аспирант | n.o.tkachenko@gmail.com |
Всего: 1
Ссылки
Database Activity Monitoring / Database Firewall. http://www.provision.ro/threat-management/database-security/database-activity-monitoring-database-firewall# pagei-1| pagep-1|
Колегов Д. Н., Ткаченко Н. О., Чернов Д. В. Разработка и реализация мандатных механизмов управления доступом в СУБД MySQL //Прикладная дискретная математика. Приложение. 2013. №6. С. 62-67.
Hinz S., DuBois P., and Stephens J. MySQL 5.7 Reference Manual. http://dev.mysql.com/ doc/refman/5.7/en/mysql-proxy.html
Ierusalimschy R., Henrique de Figueiredo L., and Celes W. The Programming Language Lua. Lua 5.2 Reference Manual. http://lua.org/manual/5.2/