存儲(chǔ)過程的細(xì)粒度訪問控制
譯文譯者 | 李睿
審校 | 重樓
概要
現(xiàn)代的企業(yè)數(shù)據(jù)庫具有全面的安全機(jī)制,可以對(duì)圖表和視圖中的數(shù)據(jù)實(shí)施細(xì)粒度訪問控制。
然而,當(dāng)涉及到存儲(chǔ)過程時(shí),訪問控制機(jī)制可能相對(duì)粗略:能夠執(zhí)行存儲(chǔ)過程,或者不能。
本文將展示一種使用可編程代理的更靈活的方法,該方法允許基于所有可用信息(例如參數(shù)值、返回值等)精確控制存儲(chǔ)過程的調(diào)用。對(duì)于那些在管理對(duì)企業(yè)數(shù)據(jù)庫的訪問時(shí)需要更多粒度和靈活性的人來說,這種方法可能會(huì)引起他們的興趣。
細(xì)粒度訪問控制
大多數(shù)企業(yè)數(shù)據(jù)庫都提供了細(xì)粒度的安全機(jī)制,確保只有經(jīng)過授權(quán)的用戶才能對(duì)數(shù)據(jù)進(jìn)行訪問和修改,而且可以控制到具體的行和列級(jí)別。例如:
- Microsoft SQL Server具有行級(jí)安全性和列級(jí)授權(quán)
- IBM DB2具有行和列訪問控制以及相當(dāng)精細(xì)的基于標(biāo)簽的訪問控制
- Oracle具有細(xì)粒度訪問控制、Oracle標(biāo)簽安全性和其他一些機(jī)制
在所有情況下,概念都是相同的:應(yīng)該能夠在非常細(xì)粒度的級(jí)別上指定哪些操作可以由哪些用戶對(duì)哪些數(shù)據(jù)執(zhí)行。
但是,當(dāng)涉及到存儲(chǔ)過程時(shí),所有數(shù)據(jù)庫都有一個(gè)簡單的訪問/不訪問機(jī)制。用戶可以執(zhí)行給定的存儲(chǔ)過程,也可以不執(zhí)行。
是否需要對(duì)存儲(chǔ)過程進(jìn)行細(xì)粒度訪問控制?
許多組織大量使用存儲(chǔ)過程,有時(shí)甚至?xí)耆柚箤?duì)圖表和視圖的直接訪問,所有數(shù)據(jù)訪問都必須通過存儲(chǔ)過程。
存儲(chǔ)過程本身通常必須提供復(fù)雜的訪問控制作為其實(shí)現(xiàn)的一部分,以確保調(diào)用有效,即使底層數(shù)據(jù)本身受到細(xì)粒度訪問控制的保護(hù)。這使得存儲(chǔ)過程更加復(fù)雜,調(diào)用成本更高,更改也更頻繁。
對(duì)許多人來說,這只是開展業(yè)務(wù)的成本,但在某些情況下,基于代理的方法在以下情況下很有用:
- 限制取決于難以從SQL訪問的外部數(shù)據(jù)
- 存儲(chǔ)過程不容易修改以反映安全需求,例如,因?yàn)樗鼈兪怯脩魺o法控制的第三方包的一部分
- 用戶沒有訪問數(shù)據(jù)庫的特權(quán)
- 作為架構(gòu)師,更傾向于用精細(xì)化訪問控制外部化,而不是將其嵌入到存儲(chǔ)過程中
- 需要更改一些參數(shù)值或?qū)⒄{(diào)用重定向到不同的存儲(chǔ)過程
即使這些方法都不適合,也可以尋求其他方法以開辟新的道路。
可以使用代理控制什么?
可編程數(shù)據(jù)庫代理可以控制數(shù)據(jù)庫服務(wù)器和客戶機(jī)之間的任何事項(xiàng),但本文將重點(diǎn)討論存儲(chǔ)過程。
通過引入可編程代理,可以控制存儲(chǔ)過程調(diào)用的三個(gè)關(guān)鍵方面:
- 調(diào)用本身
- 傳遞給存儲(chǔ)過程的參數(shù)值
- 存儲(chǔ)過程返回的值或結(jié)果集
(1)控制調(diào)用
代理可以拒絕或修改存儲(chǔ)過程的調(diào)用。這可能有以下幾個(gè)原因:
- 參數(shù)值不可接受
- 場景不正確:調(diào)用來自意外的地址,代理檢測到意外的行為模式或任何其他因素
- 可以將調(diào)用重定向到不同的存儲(chǔ)過程,并且可以相應(yīng)地調(diào)整參數(shù)
- 調(diào)用可以調(diào)用多個(gè)存儲(chǔ)過程,并合并結(jié)果
(2)控制參數(shù)值
代理還可以對(duì)客戶端傳遞的參數(shù)執(zhí)行邏輯:
- 可記錄或記錄參數(shù)值
- 邏輯可以驗(yàn)證參數(shù)是否具有可接受的值
- 邏輯可以修改這些參數(shù)的值
- 邏輯可以拒絕參數(shù)
(3)控制返回值和結(jié)果集
一旦執(zhí)行了存儲(chǔ)過程,它可能會(huì)返回一些數(shù)據(jù),這些數(shù)據(jù)可能是單獨(dú)的值,也可能是一個(gè)或多個(gè)結(jié)果集。
基于這些值或結(jié)果集,代理可以:
- 讓一切都流向客戶端
- 停止調(diào)用并向客戶端返回錯(cuò)誤,例如,如果代理確定客戶端沒有被授權(quán)查看特定的數(shù)據(jù)塊
- 通過修改、隱藏、從結(jié)果集中刪除行和列值等方式修改值或結(jié)果集…
- 如果確定客戶端不應(yīng)該有訪問權(quán)限,但也不應(yīng)該知道它沒有訪問權(quán)限,則返回null值或空結(jié)果集
如何向數(shù)據(jù)庫添加代理?
向數(shù)據(jù)庫添加代理通常只需啟動(dòng)一個(gè)或多個(gè)代理,并將客戶端引導(dǎo)到代理即可。因此,與通常的連接不同:
在中間添加代理,并開始在代理中添加需要的任何邏輯:
讓我們看一個(gè)簡單的例子。將使用SQL Server作為數(shù)據(jù)庫,使用Gallium Data作為代理。
給定一個(gè)簡單的存儲(chǔ)過程:
SQL
CREATE PROCEDURE DEMO.CREATE_PRODUCT (
IN NAME VARCHAR(50),
IN PRICE DECIMAL(10,2),
IN TYPEID INT)希望實(shí)現(xiàn)以下要求:
(1)只有MGMT組中的用戶可以創(chuàng)建type為98或99的產(chǎn)品
(2)只有type > 100的產(chǎn)品價(jià)格才能超過5000美元
(3)type16和type17的產(chǎn)品實(shí)際上必須使用CREATE_SPECIAL_PRODUCT過程創(chuàng)建
使用代理中的RPC篩選器很容易滿足第一個(gè)要求:
JavaScript
let typeId = context.packet.parameters[2].value;
if (typeId === 98 || typeId === 99) {
let rs = context.mssqlutils.executeQuery("select is_member('MGMT') as res");
let isMember = rs.rows[0].res;
if ( ! isMember) {
context.result.errorMessage = "User is not a member of the MGMT group";
return;
}
}如果需求沒有得到滿足,這將導(dǎo)致客戶端接收到錯(cuò)誤提示。
第二個(gè)示例要求是一個(gè)簡單的擴(kuò)展:
JavaScript
let price = context.packet.parameters[1].value;
if (price > 5000 && typeId <= 100) {
context.result.errorMessage = "Price is too high for this type of product";
return;
}第三個(gè)示例要求更簡單:
JavaScript
if (typeId === 16 || typeId === 17) {
context.packet.procName = "CREATE_SPECIAL_PRODUCT";
}在最后一個(gè)示例中,假設(shè)CREATE_SPECIAL_PRODUCT過程采用與CREATE_PRODUCT相同的參數(shù),但是如果情況并非如此,其邏輯當(dāng)然可以根據(jù)需要更改參數(shù)。
這些都是簡單的示例,但可以讓人們了解:使用可編程數(shù)據(jù)庫代理保護(hù)存儲(chǔ)過程相當(dāng)簡單,如果不能(或不想)更改存儲(chǔ)過程,那么它尤其有用。
原文標(biāo)題:Fine-Grained Access Control for Stored Procedures,作者:Max Tardiveau
