PolarDB的Proxy提供了SQL防火墙功能,该功能通过设置黑白名单规则来识别需要放行和拦截的SQL语句。本文主要介绍SQL防火墙功能相关内容。

背景信息

在实际应用场景中,如果数据库被攻击者撞库成功,攻击者可能会通过批量拖库的方式获取所有信息。除此之外,在日常运维操作中,如果执行的SQL语句中缺少where条件,且执行的语句为DELETE语句时,会发生误删除数据库中的表的意外事件。

为了在意外发生之前拦截这类高危操作,Proxy提供了一种SQL拦截能力,通过设置黑名单规则和白名单规则两种规则类型来识别需要拦截和放行的SQL语句 。

前提条件

PolarDB数据库代理版本需为2.5.1或以上。如何查看和升级当前数据库代理版本,请参见版本升级

使用限制

  • 开启SQL防火墙功能后,Proxy会在您当前的集群创建一个数据库database:proxy_auditing和两张表,其中,sql_list表用于保存黑白名单规则中的参数化SQL语句,org_sql_list表用于保存黑名单规则中具体的SQL语句。且每张表最多保存500,000条SQL语句。
  • 第一次创建新规则时,只对新建立的连接生效。修改规则后,5s后可以对之前的连接生效。
  • 使用指定模式创建的黑白名单SQL语句,在创建时不会被拦截,创建成功后才会进行拦截。
  • 暂不支持对同一账号和Endpoint同时启用黑名单和白名单两个功能。
  • 不支持Multi-Statement。所有的Multi-Statement都会被拦截。
  • Proxy无法解析的SQL语句,会被记录到防火墙审计日志中,但不进行拦截。例如,含有错误语法的SQL语句SELECT
  • 使用指定模式创建的黑白名单SQL语句,即使对应的黑白名单规则都被禁用或被删除,其在数据库表中的SQL语句还是会被保留。如果对应的黑白名单再次被启用,同账号的规则还是会生效。如果您想彻底删除黑白名单,可通过超级账号连接到对应集群的主节点上删除对应的SQL语句。
  • 黑白名单功能只能拦截普通sql command(3),或者prepare command(22);其它command不会被拦截。例如,通过MySQL命令行连接集群后,use db;这条SQL语句会被命令行工具转为COM_INIT_DB(1)命令,该命令不会被拦截。

性能影响

  • 启用黑名单规则后,会产生一定的性能开销(10%以内)。
  • 启用白名单规则后,且不产生报警日志的情况下,会产生一定的性能开销(10%左右)。
  • 如果执行的所有SQL语句全部产生报警日志,在正常的业务情况下,请求速率会下降20% ~ 30%。但是,正常情况下不会发生所有SQL均触发报警日志的情况,而是偶尔会有SQL语句触发报警日志。所以在正常的业务情况下,开启黑白名单功能对客户的请求速率都不会有明显的影响。

功能简介

  • 黑名单规则:您可以通过配置黑名单规则的方式,来拦截指定类型或具体的SQL语句,当执行符合黑名单规则的SQL语句时,Proxy会对符合规则的SQL语句进行拦截。具体请参见设置黑名单规则
  • 白名单规则:该功能的核心思想是使用业务SQL训练得出SQL白名单列表。开启防护模式之后,只有白名单中的SQL可以得到放行。具体请参见设置白名单规则