浅谈图数据库安全 – 作者:ankki昂楷科技

开会啦,介绍下数据库家庭的新成员——图数据库

图片[1]-浅谈图数据库安全 – 作者:ankki昂楷科技-安全小百科

DB的世界分为两个大家族,分别是SQL关系型数据库和NoSQL非关系型数据库。SQL关系型数据库家族成员有Oracle、MySQL、MSSQL等,粉丝数量众多;而NOSQL家族相对来说年纪偏小,但都天性分明,如键值(Key-Value)存储数据库、列存储(Column-oriented)数据库、面向文档(Document-Oriented)数据库、搜索引擎存储、时序数据库、图数据库等,他们在高效性、易扩展性上表现突出,各个细分领域都有自己的地位,可谓不容小觑的后浪。

随着AI的快速发展,知识图谱的广泛应用,与之强相关的图数据库也格外耀眼。下图是截止2020年6月的主流数据库排名,图数据库Neo4j已超过前几年大热的HBase数据库。

图片[2]-浅谈图数据库安全 – 作者:ankki昂楷科技-安全小百科

数据来自:https://db-engines.com/en/ranking

事出反常必有“妖”,一起来了解下图数据库吧。

图数据库是NoSQL数据库的一种类型,起源于欧拉理论和图理论,也可称为面向/基于图的数据库,对应的英文是Graph Database。

它应用图形理论存储实体之间的关系信息,图数据库的基本含义是以“图”这种数据结构做为逻辑结构存储和查询数据。这,很契合知识图谱的应用场景。我们知道一个图包含节点和边,如下图:

图片[3]-浅谈图数据库安全 – 作者:ankki昂楷科技-安全小百科

在图数据库中图将实体表现为节点,实体与其他实体连接的方式表现为联系(边)。我们可以用这个通用的、富有表现力的结构来建模各种场景。例如,从宇宙火箭的建造到道路系统,从食物的供应链及原产地追踪到人们的病历,甚至更多其他的场景。

例如,金融机构授信时,需要获取贷款申请人本人的工作信息、借贷信息,同时还需要对其周边如配偶、父母所在单位的营业、信用信息等,综合判断得出是否授信。

如果使用关系型数据库,一个用户表存储用户详情,上述过程我们以主人公小李为例:

1、先获取小李的各种信息;

2、通过小李的各种信息去表中查询出对应的数据;

3、再根据查出的第一维度用户去表中查询其他维度用户,再获取用户的其他信息;

4、join,多表join、多次join…算了,先让我吃个瓜冷静下。

基于这种复杂的查询,图数据库解决起来便轻松很多。申请用户“小李”做为节点、亲属或其他社会属性关系作为边、用户的其他属性作为节点的属性,类似下图,一步搞定。

图片[4]-浅谈图数据库安全 – 作者:ankki昂楷科技-安全小百科

图数据库虽好,却也同NOSQL家族的其他成员一样,设计之初,更关注场景与业务效率。在安全方面考虑也存在着不足,主要面临着以下问题。

1.身份认证较为简单。Neo4j图数据库认证报文中密码是明文传输的,如下图为登录报文。甚至有些默认不需要密码就可以登录。

图片[5]-浅谈图数据库安全 – 作者:ankki昂楷科技-安全小百科

2.用户权限控制缺乏细粒度。一方面是某些图数据库权限控制机制不足,另一方面是管理经验上不足。

3.NoSQL注入、web攻击等。类似MongoDB,Neo4j图数据库有web管理平台,除DBMS自身漏洞、协议漏洞还增加了web端的暴露风险。

图片[6]-浅谈图数据库安全 – 作者:ankki昂楷科技-安全小百科

昂楷的数据库漏扫、数据库审计、数据库防火墙等产品,已提供对图数据库全面保护。从数据生命周期的全角度,保护图数据库的安全。

部分图文来源于网络,如侵权请联系删稿。

来源:freebuf.com 2020-07-13 20:02:10 by: ankki昂楷科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论