[Database, Security] Oracle Introduces a New Line of Defense for Databases

2011 RSA Conferenceで、データベースセキュリティソリューションの包括的なポートフォリオに新しく加わるOracle Database Firewallを発表、販売開始したことをお知らせしました。

Press Release
Oracle® Database Firewall – First Line of Defense for Databases – Now Available
http://www.oracle.com/us/corporate/press/313230

Database Security Solution
http://www.oracle.com/database/security/index.html

Oracle Database Firewallはネットワークベースのソフトウェアソリューションで、データベースへのネットワークトラフィックを監視し、 自社他社問わずDatabaseに対するSQLインジェクションやその他の攻撃を発見しブロックすることができます。

2010年のVerizon Data Breach Investigation Reportによると、データベースに対するSQLインジェクション攻撃はすべてのデータ破壊攻撃のうち89%を占めています。SQLインジェクション攻撃とは、データベースサーバからの応答をアプリケーションを通じてコントロールするテクニックです。
この攻撃はアプリケーション層とバックエンドのデータベースとの信頼を悪用します。過去に組織がSQLインジェクション攻撃に対処する唯一の方法は、アプリケーションのコード全体を徹底的に調査することとお伝えしましたが、これは非常にコストがかかり、複雑で、ほとんどの組織では無理ということが多いでしょう。

SQLインジェクション
http://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3(日本語)
http://en.wikipedia.org/wiki/SQL_injection(英語)

このOracle Database Firewallの場合、データベースの周りに防御する境界を設け、SQLインジェクション攻撃を防ぐことができます。Oracle Database Firewallは進化したSQL文法解析エンジンを使ってデータベースへのトラフィックを定義済みのポリシーでチェックします。正常なトラフィックの場合は通過させ、誤検出やビジネスの中断をしないようにします(ログを取得してコンプライアンスを遵守している証明とすることもできます)。

明示的に禁じられていたり、未知のSQL文は通過、ログ出力、警告、ブロック、もしくは事前定義したSQL文への置き換えのいずれがを実行できます。無害なステートメントを使用して未知の潜在的に有害なSQL文を置き換えることができるというのは、アプリケーションが正常に動作でき、DoS攻撃を防ぎながら、攻撃を失敗させるという点で、特に強力な機能です。

もしRSA Conferenceにいらっしゃるなら、我々のブースに立ち寄るか、Steve Moyle(Oracle Database Firewall CTO)のセッションに参加してください。今すぐもっと詳しく知りたい方は、オンデマンドのWebcastをご覧になり、リソースキットをダウンロードされることをおすすめします。

RSA Conference 2011
http://eventreg.oracle.com/webapps/events/ns/EventsDetail.jsp?p_eventId=127657

On-demand Webcast
Oracle Database Firewall: Your First Line of Defense
http://event.on24.com/r.htm?e=276567&s=1&k=584980465B77844C35242530EDEE37E7

Resource Kit
http://www.oracle.com/go/?&Src=7011681&Act=542&pcode=WWMK10035434MPP024

原文はこちら。
http://blogs.oracle.com/securityinsideout/2011/02/oracle_inroduces_a_new_line_of.html

0 件のコメント:

コメントを投稿