Преглед
Правилната работа на базата данни е от изключително важно значение за ръководителите на предприятия, собствениците на приложения и корпоративните IT екипи. Животът на организацията буквално е записан в сървърите за бази данни. Като оставим настрана възможността за надеждно изпълнение на корпоративните приложения или коректното завършване на клиентските транзакции, базата от данни съхранява "снимка" на самото предприятие. Един от количествено измеримите индикатори на риска за пробив в данните на корпорацията, извършваната операции, или изтичане на поверителни данни, е броят на съществуващите в техническата инфраструктура уязвими места. Съществува взаимовръзка между броя на уязвимите места, броя на неоткритите уязвими места и рискът за предприятието от успешното стартиране на зловредни програми, целящи компрометиране на системата за управление на базите от данни. Абсолютно ясно е, че колкото повече уязвими места съществуват, толкова по-вероятно е атаката да бъде успешна.
Имайки предвид това, ESG обработи данните за CVE (Common Vulnerability and Exposures (Често срещани възможности за уязвимост и излагане на риск)) от Националната база данни за уязвимост, за да сравни уязвимостта на защитата на търговските предложения за бази данни на Microsoft, Oracle и достъпният за разработка на кода MySQL. Oracle, която обикновено взема много присърце защитата на продуктите си, показва голям брой уязвими места в защитата през последните няколко тримесечия. Microsoft, от своя страна, дълго търси собствен път в подсигуряването на защита - от открито обявяване на дефектите до пълно преобразуване на инженеринговия процес със SDL (Security Development Lifecycle (Жизнен цикъл за разработка на сигурност и защита)). Microsoft SQL Server 2005 заслужава особено внимание, тъй като това е първото издание на продукт, което Microsoft разработва с използване на SDL.
Фигура 1: Брой уязвими места и места изложени на рискове, 2003-2006
Източник: Извадка от Националната база данни за регистриране на уязвими и рискови места в софтуерните продукти, ноември 2006 г.
ESG избра да сравни редица поддържани от NIST (Национален институт за наука и технологии) записи за CVE данни, тъй като те представляват най-добрият, независим източник на информация за откритите от клиентите, изследователите и търговците проблеми, който не са пречупени през призмата на новоиздадените поправки или бюлетини за защитата от производителите.
Записите в CVE показват тенденция към увеличение от 2003 г насам, поради по-голямата сложност на продуктите, по-големите и мащабни решения, в които те се използват, както и активната роля на NIST за събиране на информация за дефектите и съобщаването им на клиентите. Заслужава да бъде отбелязано разнообразието на подадените в СVE записи по отношение на системите за управление на бази от данни на различни производители.
| • |
Microsoft SQL Server след стартиране на програмата SDL, има регистрирани само 2 записа в CVЕ за 2006 г. Тази тенденция се поддържа дори при увеличаване на обема на продадените продукти |
| • |
MySQL, системата за управление на бази от данни със свободна разработка на кода (open-source database), има досега 59 записа в CVE за 2006 г. 2Резултатът за Oracle Database Server скочи на 70 подадени записа за 2006 г. в CVE.3 |
| • |
ESG не включва IBM DB2 и Sybase, тъй като разискванията относно защитата са фокусирани около Microsoft, Oracle и потенциалът на подходите към системите за свободна разработка на кода. За пълнота на информацията IBM DB2 има 4 записа в CVE през 2006 г., а Sybase - 7. |
Резултатите на Oracle през последните две години отчитат извършената работа за фиксиране на пропуските в сигурността и привеждане на нивото уязвимите места в съответствие с конкурентните продукти на IBM, Microsoft, MySQL и Sybase. Въпреки, че може да коментираме пълнотата и задълбочеността на програмата за разкриване на уязвими места на Oracle, вероятно ще измине доста време преди инженерите на Oracle да стигнат до основните причини за високата степен на уязвимост и да приложат корективни процедури при разработката на продукта. ESG вярва, че в този процес не са възможни преки или лесни пътища.
Резултатите на Microsoft са твърде добри и следователно могат да послужат за модел на другите производители на бази данни. ESG очаква тенденциите в CVE да се запазят и през 2007 г., когато промените в подходите за разработка на Oracle и MySQL ще започнат да дават повече резултати по отношение защитата на софтуера при внедряването му от клиентите.
Кои действия на Microsoft могат да послужат като пример за индустрията?
ESG намира, че Microsoft са направили значителни инвестиции в подобряване на защитата и целостта на предлаганите от тях продукти. Резултатите от тези инвестиции за впечатляващи, както можете да видите от Фигура 1. ESG вярва, че останалите производители на бази данни могат само да спечелят от опита на Microsoft и да се поучат от най-добрите практики за разработка на тази фирма.
Когато създаваме WCF клиент, първо ни е необходимо описание на крайната точка, която искаме да достъпим. Описанието може да бъде използвано за генериране на типизирано прокси. WCF предоставя инструмент наречен SvcUtil.exe за автоматизиране на този процес. Като резултат можем да пишем код като използваме типизираното прокси за да достъпим услугата. Типизираното прокси изпраща съответното съобщение до желаната крайна точка.
Договор на услуга и поведение при разпределение
Дефинирането на договор на услуга в .NET става чрез традиционните интерфейси в C#. Може да използвате всеки един интерфейс, като начална точка, също както е показано тук:
| • |
Сигурността и възможностите за защита трябва да бъдат включени в ядрото на продукта. Това не са елементи, които могат да бъдат прескочени в системите обслужващи критичната оперативна среда на корпорацията. Сигурността трябва да бъде измерима цел от Ден първи на внедряване и използване на продукта. Microsoft полага всички усилия да открие дефектите, преди те да бъдат вградени в конструкциите и програмния код използвайки задължително обучение по защита на инженерния състав, съвместни проверки на програмния код, подписване на прегледите на защитата и строго следене за разрешаването на откритите дефекти. Този комплексен подход по време на разработката на продукта осигурява увереност, че знанието за досегашните дефекти не е загубено а води до подобрение - новия код ако не напълно сигурен то задължително е по-сигурен от предходния. |
| • |
Намаляване на атакуемата повърхност (surface). Активният интерфейс осигурява входни точки за атаките на зловредния софтуер, най-често през слабите места в обработката на входни параметри. Намаляването на атакуемите повърхности осигурява софтуерни продукти, които Microsoft и техните клиенти могат допълнително да защитят по лесен начин. Въпреки че е удобно всички програмни функции да бъдат активирани по подразбиране, добрите практики за защита диктуват подхода за активирането им допълнително като опции. Продуктите на Microsoft ще бъдат доставяни в защитени конфигурации, при които клиентът изрично трябва да активира желана от него функция. |
| • |
Проверка на възможните начините за повреда на системата преди клиентите да ги открият. Този подход надхвърля традиционните функции за проверка на качеството (QA) използвайки моделиране на заплахите, последвано от серия тестове за приближеност (Fuzz Tests) При моделирането на заплахите участват най-квалифицираните инженери, които съсредоточават вниманието си върху връзките в дизайна и архитектурата, за откриване на сценариите за заплаха и начините на тяхното преодоляване. Тестовете за приближеност автоматизират тестването за проникване през атакуема повърхнина с изопачени параметри, за да открият слабите места. |
Подходът на Microsoft цели да внедри сигурността и защитата като неразделна част от процеса на разработка на всеки продукт. Заедно с възможността за използване на инструменти за автоматизиране откриването на уязвими места, като забранени подпрограми или практики на незащитено програмиране, истинската стойност е създаване на съзнание, осигуряване на обучение и повишаване на отговорността на екипите в цялата организация. Това е огромна инвестиция по отношение на ресурсите, която отне години, преди да достигне практически внедряването на системите при клиентите.
SQL Server 2005 прилага SDL
Microsoft избра да използва SQL Server като първи продукт, към който да приложи своя SDL процес, започвайки от SQL Server 2000 SP3, издаден през 2003 г и продължи със SQL Server 2005. Измерените в съответствие със записите в CVE резултати са впечатляващи, в сравнение с най-големите конкуренти на Microsoft - Oracle и MySQL. Докато Oracle и MySQL показват стабилно нарастване на регистрираните дефекти от година на година, Microsoft SQL Server поддържа номинална честота на срещане от 1 или 2 записа в CVE годишно.
| • |
Защитен по дизайн. SQL Server претърпя много промени, за да направи защитата и сигурността основен елемент на системата за управление на бази от данни. SQL Server приложи някои от резултатите от упражненията по моделиране на заплахите, като например снижаване на риска от неконтролиран или нежелан достъп от записани процедури на ресурси от различни бази чрез изискване изрично администратора да позволи верига на собственост между базите (cross database ownership chaining) или с подписване на кода с използване на сертификати. С прилагането на модела на гранулирано доверие, добре написаните приложения имат възможност да избегнат въвеждане на потребителски имена и пароли в програмния код. |
| • |
Защитени по подразбиране. В съответствие с принципа за намаляване на атакуемите повърхнини много от подразбиращите се опции в SQL Server са деактивирани. Клиенти, инсталиращи SQL Server, започват със инсталиране на защитена конфигурация, в която необходимите услуги трябва да бъдат изрично активирани. Например клиентите трябва да активират функции, които са изключени по подразбиране, като изпълнение на cmd/ActiveX scripts, външни записани процедури (xp_) и услугите dbmail и SQL браузър. Шансът за осъществяване на атака посредством отворена по невнимание външна връзка се намалява значително. |
| • |
Защитени при внедряване. Microsoft прилага в SQL Server функции, правещи го по-лесно защитим продукт. ESG намира, че използването на системата за автентикация, сертификати и симетрични/асиметрични ключове, йерархичната система за сигурност, са особено полезни при управление на позволенията на потребителите към обектите в базата от данни. Всъщност потребителите се нуждаят от специфични привилегии, дори за да могат да видят метаданни, върху които нямат права за собственост. |
Заключителни бележки
Цифрите на CVE не лъжат. Забележителните резултати от вложенията на Microsoft за създаване на по-защитен софтуер в SQL Server 2005 са предмет на обществено достояние. ESG разговаря с клиенти, които са стандартизирали особено важните за мисията им приложения на Microsoft SQL Server във връзка със свързаните със сигурността и защитата резултати. Естеството на подобренията в защитата и сигурността, а именно фундаменталните промени в начина на разработване, създаване и тестване на софтуера дават преимущества, които Microsoft би трябвало да поддържа с правилна експлоатация. ESG счита, че Microsoft има години преднина пред Oracle и MySQL по отношение производството на надеждни и защитени продукти за бази данни.
Всички имена на търговски марки са собственост на съответните фирми. Информацията в това издание е получена от източници, считани от ESG за надеждни, но не се гарантира от ESG. Изданието може да включва мнения на ESG, които биха могли да се променят. Изданието е защитено с авторски права на The Enterprise Strategy Group, Inc и е може да бъде използвано само от абонати или лица, които са го закупили директно от ESG. Всяко репродуциране или преразпределение на изданието, като цяло или на части, независимо по какъв начин - като хартиено копие, в електронен формат или по друг начин, от лица, които нямат пълномощия за получаването му, без изричното съгласие на The Enterprise Strategy Group, Inc ще бъде считано за нарушение на закона за авторските права на Съединените Щати и ще бъде обект на преследване по отношение нарушение на гражданските права и, ако е приложимо, на криминално преследване. В случай на въпроси, се консултирайте с отдела за връзки с обществеността на ESG на тел. (508)482-0188.