NoSQL數(shù)據(jù)庫是否意味著缺乏安全性?
NoSQL薄弱的安全性會給企業(yè)帶來負(fù)面影響
�。Imperva公司創(chuàng)始人兼CTO Amichai Shulman如是說。在新的一年中���,無疑會有更多企業(yè)開始或籌劃部署NoSQL。方案落實后就會逐漸發(fā)現(xiàn)種種安全問題�����,因此早做準(zhǔn)備才是正確的選擇���。
作為傳統(tǒng)關(guān)系型數(shù)據(jù)庫的替代方案���,NoSQL在查詢中并不使用SQL語言,而且允許用戶隨時變更數(shù)據(jù)屬性�����。此類數(shù)據(jù)庫以擴展性良好著稱,并能夠在需要大量應(yīng)用程序與數(shù)據(jù)庫本身進行實時交互的交易處理任務(wù)中發(fā)揮性能優(yōu)勢�,Couchbase創(chuàng)始人兼產(chǎn)品部門高級副總裁James Phillips解釋稱:NoSQL以交易業(yè)務(wù)為核心。它更注重實時處理能力并且擅長直接對數(shù)據(jù)進行操作���,大幅度促進了交互型軟件系統(tǒng)的發(fā)展��。Phillips指出���。其中最大的優(yōu)勢之一是能夠隨時改變(在屬性方面),由于結(jié)構(gòu)性的弱化����,修改過程非常便捷。
NoSQL最大優(yōu)勢影響其安全性
NoSQL的關(guān)鍵性特色之一是其動態(tài)的數(shù)據(jù)模型��,Shulman解釋道���。我可以在其運作過程中加入新的屬性記錄�����。因此與這種結(jié)構(gòu)相匹配的安全模型必須具備一定的前瞻性規(guī)劃�����。也就是說���,它必須能夠了解數(shù)據(jù)庫引入的新屬性將引發(fā)哪些改變�����,以及新加入的屬性擁有哪些權(quán)限��。然而這個層面上的安全概念目前尚不存在��,根本沒有這樣的解決方案�����。
根據(jù)Phillips的說法,某些NoSQL開發(fā)商已經(jīng)開始著手研發(fā)安全機制��,至少在嘗試保護數(shù)據(jù)的完整性���。在關(guān)系型數(shù)據(jù)庫領(lǐng)域�����,如果我們的數(shù)據(jù)組成不正確�,那么它將無法與結(jié)構(gòu)并行運作,換言之?dāng)?shù)據(jù)插入操作整體將宣告失敗�。目前各種驗證規(guī)則與完整性檢查已經(jīng)比較完善,而事實證明這些驗證機制都能在NoSQL中發(fā)揮作用���。我們與其他人所推出的解決方案類似����,都會在插入一條新記錄或是文檔型規(guī)則時觸發(fā)��,并在執(zhí)行過程中確保插入數(shù)據(jù)的正確性�。
Shulman預(yù)計新用戶很快將在配置方面捅出大婁子,這并非因為IT工作人員的玩忽職守��,實際上主要原因是NoSQL作為一項新技術(shù)導(dǎo)致大多數(shù)人對其缺乏足夠的知識基礎(chǔ)���。Application Security研發(fā)部門TeamSHATTER的經(jīng)理Alex Rothacker對上述觀點表示贊同����。他指出��,培訓(xùn)的一大問題在于�����,大多數(shù)NoSQL的從業(yè)者往往屬于新生代IT人士,他們對于技術(shù)了解較多����,但往往缺乏足夠的安全管理經(jīng)驗。
如果他們從傳統(tǒng)關(guān)系型數(shù)據(jù)庫入手�,那么由于強制性安全機制的完備,他們可以在使用中學(xué)習(xí)���。但NoSQL��,只有行家才能通過觀察得出正確結(jié)論����,并在大量研究工作后找到一套完備的安全解決方案��。因此可能有90%的從業(yè)者由于知識儲備���、安全經(jīng)驗或是工作時間的局限而無法做到這一點。
NoSQL需在安全性方面進行優(yōu)化
盡管Phillips認(rèn)同新技術(shù)與舊經(jīng)驗之間存在差異����,但企業(yè)在推廣NoSQL時加大對安全性的關(guān)注會起到很大程度的積極作用。他認(rèn)為此類數(shù)據(jù)存儲機制與傳統(tǒng)關(guān)系類數(shù)據(jù)庫相比�����,其中包含著的敏感類信息更少,而且與企業(yè)網(wǎng)絡(luò)內(nèi)部其它應(yīng)用程序的接觸機會也小得多���。
他們并不把這項新技術(shù)完全當(dāng)成數(shù)據(jù)庫使用�,正如我們在收集整理大量來自其它應(yīng)用程序的業(yè)務(wù)類數(shù)據(jù)時��,往往也會考慮將其作為企業(yè)數(shù)據(jù)存儲機制一樣��,他補充道���。當(dāng)然���,如果我打算研發(fā)一套具備某種特定功能的社交網(wǎng)絡(luò)、社交游戲或是某種特殊web應(yīng)用程序���,也很可能會將其部署于防火墻之下��。這樣一來它不僅與應(yīng)用程序緊密結(jié)合���,也不會被企業(yè)中的其它部門所觸及。
但Rothacker同時表示�,這種過度依賴周邊安全機制的數(shù)據(jù)庫系統(tǒng)也存在著極其危險的漏洞����。一旦系統(tǒng)完全依附于周邊安全模型���,那么驗證機制就必須相對薄弱�����,而且缺乏多用戶管理及數(shù)據(jù)訪問方面的安全保護����。只要擁有高權(quán)限賬戶��,我們幾乎能訪問存儲機制中的一切數(shù)據(jù)�����。舉例來說�����,Brian Sullivan就在去年的黑帽大會上演示了如何在完全不清楚數(shù)據(jù)具體內(nèi)容的情況下����,將其信息羅列出來甚至導(dǎo)出。
而根據(jù)nCircle公司CTO Tim ‘TK’ Keanini的觀點�����,即使是與有限的應(yīng)用程序相關(guān)聯(lián)���,NoSQL也很有可能被暴露在互聯(lián)網(wǎng)上�����。在缺少嚴(yán)密網(wǎng)絡(luò)劃分的情況下�����,它可能成為攻擊者窺探存儲數(shù)據(jù)的薄弱環(huán)節(jié)����。因為NoSQL在設(shè)計上主要用于互聯(lián)網(wǎng)規(guī)模的部署����,所以它很可能被直接連接到互聯(lián)網(wǎng)中,進而面臨大量攻擊行為��。
其中發(fā)生機率最高的攻擊行為就是注入式攻擊,這也是一直以來肆虐于關(guān)系類數(shù)據(jù)庫領(lǐng)域的頭號公敵��。盡管NoSQL沒有將SQL作為查詢語言�,也并不代表它能夠免受注入式攻擊的威脅。雖然不少人宣稱SQL注入在NoSQL這邊不起作用��,但其中的原理是完全一致的���。攻擊者需要做的只是改變自己注入內(nèi)容的語法形式����,Rothacker解釋稱���。也就是說雖然SQL注入不會出現(xiàn)��,但JavaScript注入或者JSON注入同樣能威脅安全����。
此外�,攻擊者在籌劃對這類數(shù)據(jù)庫展開侵襲時,也很可能進一步優(yōu)化自己的工具��。不成熟的安全技術(shù)往往帶來這樣的窘境:需要花費大量時間學(xué)習(xí)如何保障其安全�,但幾乎每個IT人士都能迅速掌握攻擊活動的組織方法����。因此我認(rèn)為攻擊者將會始終走在安全部署的前面����,Shulman說道���。遺憾的是搞破壞總比防范工作更容易�,而我們已經(jīng)看到不少NoSQL技術(shù)方面的公開漏洞�����,尤其是目前引起熱議的�、以JSON注入為載體的攻擊方式。
NoSQL安全性并非其阻礙
然而���,這一切都不應(yīng)該成為企業(yè)使用NoSQL的阻礙���,他總結(jié)道。我認(rèn)為歸根結(jié)底���,這應(yīng)該算是企業(yè)的一種商業(yè)決策����。只要這種選擇能夠帶來吸引力巨大的商業(yè)機遇,就要承擔(dān)一定風(fēng)險����,Shulman解釋道。但應(yīng)該采取一定措施以盡量弱化這種風(fēng)險���。
舉例來說�,鑒于數(shù)據(jù)庫對外部安全機制的依賴性�,Rothacker建議企業(yè)積極考慮引入加密方案。他警告稱���,企業(yè)必須對與NoSQL相對接的應(yīng)用程序代碼仔細檢查���。換言之,企業(yè)必須嚴(yán)格挑選負(fù)責(zé)此類項目部署的人選���,確保將最好的人才用于這方面事務(wù)�����,Shulman表示�����。當(dāng)大家以NoSQL為基礎(chǔ)編寫應(yīng)用程序時�����,必須啟用有經(jīng)驗的編程人員��,因為客戶端軟件是抵擋安全問題的第一道屏障���。切實為額外緩沖區(qū)的部署留出時間與預(yù)算,這能夠讓員工有閑暇反思自己的工作內(nèi)容并盡量多顧及安全考量多想一點就是進步����。綜上所述,這可能與部署傳統(tǒng)的關(guān)系類數(shù)據(jù)庫也沒什么不同����。
具有諷刺意味的是,近年來數(shù)據(jù)庫應(yīng)用程序在安全性方面的提升基本都跟數(shù)據(jù)庫本身沒什么關(guān)系���,nCircle公司安全研究及開發(fā)部門總監(jiān)Oliver Lavery如是說���。
成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)���,包含不限于成都做網(wǎng)站、成都網(wǎng)站制作�����、成都外貿(mào)網(wǎng)站建設(shè)�、澠池網(wǎng)絡(luò)推廣、微信小程序�����、澠池網(wǎng)絡(luò)營銷���、澠池企業(yè)策劃�����、澠池品牌公關(guān)�����、搜索引擎seo���、人物專訪���、企業(yè)宣傳片、企業(yè)代運營等�����,從售前售中售后��,我們都將竭誠為您服務(wù)�����,您的肯定����,是我們最大的嘉獎�����;成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供澠池建站搭建服務(wù)�����,24小時服務(wù)熱線:18980820575��,官方網(wǎng)址:www.cdcxhl.com
sql和nosql性能比較
前者的性能比較好一點。后者的性價比要高一些����。主要看你個人的使用情況了。
NoSQL 數(shù)據(jù)庫:何時使用 NoSQL 與 SQL����?
NoSQL 數(shù)據(jù)庫因其功能性、易于開發(fā)性和可擴展性而廣受認(rèn)可����,它們越來越多地用于大數(shù)據(jù)和實時 Web 應(yīng)用程序,在本文中�����,我們通過示例討論 NoSQL���、何時使用 NoSQL 與 SQL 及其用例�。
NoSQL是一種下一代數(shù)據(jù)庫管理系統(tǒng) (DBMS)����。NoSQL 數(shù)據(jù)庫具有靈活的模式,可用于構(gòu)建具有大量數(shù)據(jù)和高負(fù)載的現(xiàn)代應(yīng)用程序����。
“NoSQL”一詞最初是由 Carlo Strozzi 在 1998 年創(chuàng)造的�����,盡管自 1960 年代后期以來就已經(jīng)存在類似的數(shù)據(jù)庫��。然而�,NoSQL 的發(fā)展始于 2009 年初�����,并且發(fā)展迅速��。
在處理大量數(shù)據(jù)時���,任何關(guān)系數(shù)據(jù)庫管理系統(tǒng) (RDBMS) 的響應(yīng)時間都會變慢。為了解決這個問題��,我們可以通過升級現(xiàn)有硬件來“擴大”信息系統(tǒng)��,這非常昂貴����。但是�,NoSQL 可以更好地橫向擴展并且更具成本效益���。
NoSQL 對于非結(jié)構(gòu)化或非常大的數(shù)據(jù)對象(例如聊天日志數(shù)據(jù)�����、視頻或圖像)非常有用���,這就是為什么 NoSQL 在微軟、谷歌�、亞馬遜、Meta (Facebook) 等互聯(lián)網(wǎng)巨頭中特別受歡迎的原因���。
一些流行的 NoSQL 數(shù)據(jù)庫包括:
隨著企業(yè)更快地積累更大的數(shù)據(jù)集�,結(jié)構(gòu)化數(shù)據(jù)和關(guān)系模式并不總是適合��。有必要使用非結(jié)構(gòu)化數(shù)據(jù)和大型對象來更好地捕獲這些信息�����。
傳統(tǒng)的 RDBMS 使用 SQL(結(jié)構(gòu)化查詢語言)語法來存儲和檢索結(jié)構(gòu)化數(shù)據(jù)�����,相反,NoSQL 數(shù)據(jù)庫包含廣泛的功能��,可以存儲和檢索結(jié)構(gòu)化����、半結(jié)構(gòu)化、非結(jié)構(gòu)化和多態(tài)數(shù)據(jù)�����。
有時���,NoSQL 也被稱為“ 不僅僅是 SQL ”����,強調(diào)它可能支持類似 SQL 的語言或與 SQL 數(shù)據(jù)庫并列����。SQL 和 NoSQL DBMS 之間的一個區(qū)別是 JOIN 功能����。SQL 數(shù)據(jù)庫使用 JOIN 子句來組合來自兩個或多個表的行,因為 NoSQL 數(shù)據(jù)庫本質(zhì)上不是表格的,所以這個功能并不總是可行或相關(guān)的�����。
但是�,一些 NoSQL DBMS 可以執(zhí)行類似于 JOIN的操作——就像 MongoDB 一樣。這并不意味著不再需要 SQL DBMS��,相反�,NoSQL 和 SQL 數(shù)據(jù)庫傾向于以不同的方式解決類似的問題。
一般來說��,在以下情況下�����,NoSQL 比 SQL 更可?��。?/p>
許多行業(yè)都在采用 NoSQL��,取代關(guān)系數(shù)據(jù)庫���,從而為某些業(yè)務(wù)應(yīng)用程序提供更高的靈活性和可擴展性,下面給出了 NoSQL 數(shù)據(jù)庫的一些企業(yè)用例���。
內(nèi)容管理是一組用于收集���、管理���、傳遞、檢索和發(fā)布任何格式的信息的過程�,包括文本、圖像���、音頻和視頻����。NoSQL 數(shù)據(jù)庫可以通過其靈活和開放的數(shù)據(jù)模型為存儲多媒體內(nèi)容提供更好的選擇�。
例如,福布斯在短短幾個月內(nèi)就構(gòu)建了一個基于 MongoDB 的定制內(nèi)容管理系統(tǒng)�,以更低的成本為他們提供了更大的敏捷性。
大數(shù)據(jù)是指太大而無法通過傳統(tǒng)處理系統(tǒng)處理的數(shù)據(jù)集��,實時存儲和檢索大數(shù)據(jù)的系統(tǒng)在分析 歷史 數(shù)據(jù)的同時使用流處理來攝取新數(shù)據(jù)����,這是一系列非常適合 NoSQL 數(shù)據(jù)庫的功能。
Zoom使用 DynamoDB(按需模式)使其數(shù)據(jù)能夠在沒有性能問題的情況下進行擴展���,即使該服務(wù)在 COVID-19 大流行的早期使用量激增����。
物聯(lián)網(wǎng)設(shè)備具有連接到互聯(lián)網(wǎng)或通信網(wǎng)絡(luò)的嵌入式軟件和傳感器�����,能夠在無需人工干預(yù)的情況下收集和共享數(shù)據(jù)�。隨著數(shù)十億臺設(shè)備生成數(shù)不清的數(shù)據(jù),IoT NoSQL 數(shù)據(jù)庫為 IoT 服務(wù)提供商提供了可擴展性和更靈活的架構(gòu)�����。
Freshub就是這樣的一項服務(wù)��,它從 MySQL 切換到 MongoDB���,以更好地處理其大型��、動態(tài)����、非統(tǒng)一的數(shù)據(jù)集����。
擁有數(shù)十億智能手機用戶���,可擴展性正成為在移動設(shè)備上提供服務(wù)的企業(yè)面臨的最大挑戰(zhàn)。具有更靈活數(shù)據(jù)模型的 NoSQL DBMS 通常是完美的解決方案�����。
例如�����,The Weather Channel使用 MongoDB 數(shù)據(jù)庫每分鐘處理數(shù)百萬個請求����,同時還處理用戶數(shù)據(jù)并提供天氣更新。
標(biāo)題名稱:sql與nosql安全性,對nosql的理解
URL分享:
http://weahome.cn/article/hdisop.html
重慶分公司
重慶分公司
