【free style】昂楷護航公有云數據庫安全

公有數據上云端 昂楷護航公有云數據庫安全

「一切都會運行在云端」。

公有云定義

公有云通常指第三方提供商為用戶提供的能夠使用的云，公有云一般可通過 Internet 使用；公有云的核心屬性是共享資源服務。這種云有許多實例，可在當今整個開放的公有網絡中提供服務。

基于云計算模式，公有云與用戶的各項服務資源、服務制度相結合，能夠實現用戶工作流程的優化和重組，充分解決傳統電子公有重復建設、信息孤島等問題。

目前公有云日趨形成以下特點：

1、所涉及的職能部門越來越多；

2、所存儲的數據量越來越大；

3、云數據庫的應用越來越廣；

4、其數據的重要級別也越來越高；

一、公有云面臨的安全風險

公有云給大量的信息技術應用和服務模式的變革創新帶來機遇，但安全問題不容馬虎。因為其涉及到國計民生的重要業務系統，數據集中后如果安全受到威脅，將會給政企事業單位帶來巨大的損失，甚至危及國家安全。

與傳統的存儲硬件不同，數據上云就是把數據暴露在了一個開放的網絡環境中，比起傳統的數據安全，云安全面臨更大的困境和挑戰。公有云安全面臨的挑戰有：

（一）管理風險： 安全管理缺乏抓手！

云計算安全風險還突出體現在：用戶對數據、系統的控制管理能力減弱；安全責任不明確，一些單位可能由于數據和業務的外包而放松安全管理；云計算平臺更加復雜，風險和隱患增多，控制和監管手段不足等。具體表現為：

1、對關鍵數據無詳細訪問記錄，出現事故無法追蹤；

2、無法有效分析數據訪問來源，做到快速定位；

3、對于黑客攻擊，無法做到有效防范和攻擊留痕；

4、不能實時監控對數據庫的非法訪問，沒有預警；

5、非授權進入業務系統或誤操作、越權操作，導致數據泄漏或被修改；

6、對云平臺下數據庫的數據使用不能實時動態感知等。

（二）技術風險：云FW\IPS等網絡安全系統在旁觀！

數據上云使資源從物理固定到邏輯虛擬，安全邊界變得模糊、漏洞影響放大。常規技術手段對云數據庫安全問題無計可施：

1、云防火墻、入侵檢測/防御技術不足；

2、誤操作、惡意操作，泄漏、權限濫用防范不足；

3、傳統安全審計及評估方法導致信息安全預警技術不足；

4、安全漏洞持續增長。

（三）審計風險：云數據庫在裸奔！

云計算模式下數據的分享從分散到集中 共享，導致數據泄露和非法訪問風險增大。數據庫集中統一存儲，數據共享需求擴展，導致安全管理分散，同時數據庫接口不斷增加，無法形成整體數據庫安全事態感知，造成云數據庫處于裸奔的狀態。

二、公有云數據庫審計的安全需求

1、高性能支持海量業務訪問

作為業務處理的核心，公有云數據中心往往面臨著海量的接入訪問，這對云數據庫審計系統提出了更高的性能挑戰。

2、高可擴適應云數據中心規模的快速增長

隨著公有業務大集中建設的深化，越來越多的公有業務被配置在云數據中心，這就要求云數據庫審計系統具有良好的擴展性，在不斷適應云數據中心規模增長的同時，有效保護前期投資。

3、數據使用的合法性監控

在傳統的安全防護體系中，防護對象十分清楚，都是獨立的物理服務器，而且也有特定的邊界。但云環境的邊界十分模糊，包括基礎設施、網絡環境、終端等多層對象，因此真正的云安全防護，需要的是整個云環境的系統級防護，難度也就可想而知了。

因此需要數據庫的使用進行合法的監控，防止數據庫被入侵篡改、合法的人做了不合法的事、不知道數據庫被怎么了等情況出現。

4、數據交互過程的監控

客戶端指令請求要審計，知道誰做了什么；

指令返回的內容要審計，知道誰拿到了什么。

5、等保檢查合規要求

《信息安全等級保護測評》對數據庫主機審計的要求。

三、公有云安全的解決之道

在各大企事業單位大規模推廣、采購、使用云計算時，明確提出了云計算的“安全性”要求，既是用戶采用云計算的一個基本要求，也是云計算發展中必須面對的一個問題。公有云要保證安全，必須依靠制度、機制等手段，也要在便捷和安全兩者之中建立一個平衡。

第一、加強管理制度的規范

從數據庫運維及業務系統使用行為角度，制定相應的規范和制度，通過強力的流程管理避免權限的越權及違規使用。

第二、監控云數據庫訪問過程

通過云數據庫安全監控技術手段，實時了解數據庫的使用情況，篩選、記錄核心數據的訪問和使用過程，及時對違規事件進行告警，做到事前、事中、事后的有效管控。

四、公有云的審計解決方案

數據庫審計解決方案是通過旁路分析目標被審計數據庫鏡像的流量，而虛擬化環境或者云平臺由于內部的虛擬交換機(Vswitch)流量很難鏡像或者無法鏡像，因此傳統的數據庫審計解決方案不足以應對虛擬化和云平臺的數據庫審計需求。

昂楷科技通過報文引流技術解決“看不到”報文的問題，率先攻克了對云平臺架構的數據庫審計技術，并實現了以下功能：

（一）公有云數據庫審計部署示意圖

（二）公有云數據庫審計功能

1、針對NO SQL、后關系型數據庫審計

首創了后關系型（面向對象）數據庫Caché的M語言的解析和審計技術，面向大數據的數據庫Hadoop、HBase、芒果等數據庫的審計。

2、支持公有云下的數據庫審計

目前公司已經和華為云達成合作，云數據庫審計產品已成功入駐華為云生態圈，采用多種部署模式滿足不同用戶的需求，用戶可根據自己的需求選擇貼切的云數據庫審計解決方案。

鏈接https://app.huaweicloud.com/product/00301-24196-0--0

3、審計系統三權分立

系統管理平臺、規則管理平臺、審計管理平臺，三者權限是相互隔離的，而且有日志記錄、方便互相監督，做到審計清晰，權限清晰。

4、內置安全、防攻擊規則

集成了應用審計、等保、分保及針對業內常見SQL注入、數據庫高危操作等審計規則。

5、防范黑客級“高手”

有別于一般的數據庫審計產品，昂楷云數據庫審計系統能防范函數、綁定變量等高級別的數據查詢操作，善于抓“高手”。

6、定向行為分析、電子取證

通過定向行為分析，可以明確出某指定客戶端在某段時間內所有的操作記錄，從而進行現場重建，錄像回放，真實再現完整操作過程，進行電子取證，為溯源和取證提供有力的證據。

7、白名單和進程監控

系統能夠對非法進程和白名單進行監控，提前防范，真正做到事前+事中+事后全方位的防護體系。

8、合規報表

等級保護報表是昂楷提供的預定義報表中的一種，它是根據國家等級保護政策標準中對數據庫主機審計要求，自動生成的統計報表，可確保云數據安全審計系統能通過公安部信息安全等級保護的評測。

在公有云的建設過程中，不僅要面對由于虛擬化技術帶來的安全問題，還需要考慮公有云的形態和運營方式所帶來的安全挑戰。昂楷云數據庫審計系統通過對公有云全方面的審計，能夠滿足IT審計合規性要求，提高數據庫安全性與可用性，有效控制公有上云帶來的風險。

企業、政府的核心敏感數據托管在云環境中，面臨著各種竊取、篡改的威脅，云數據庫的安全審計將越發重要，昂楷數據庫審計產品將繼續作為行業的領導者，在虛擬化、云計算時代繼續為用戶的數據庫安全審計保駕護航。

關于昂楷：

深圳昂楷科技有限公司是數據安全領域頂級的研發企業，公司的核心團隊是來自華為、華賽等國內外知名廠商的高管及技術骨干。昂楷科技是國家工程實驗室合作單位、國家涉密信息系統產品供貨單位、企業信用評價AAA級信用企業、深圳智慧城市數據安全標準制定單位、中央政府協議采購供貨商、中直機關協議采購供貨商。

已成功研制出云數據庫審計系統（首個在線服役公有云數據庫安全引擎）、數據庫審計系統、醫療防統方系統、集中監控管理平臺等一系列數據庫安全產品，其中有兩項發明填補了行業空白。

通用安全 數據庫安全服務 DBSS

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。