華為云等級(jí)保護(hù)解決方案之?dāng)?shù)據(jù)庫(kù)安全

2019年，國(guó)家標(biāo)準(zhǔn)化委員會(huì)發(fā)布的《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，從該標(biāo)準(zhǔn)可看出，作為應(yīng)用系統(tǒng)必不可少的組件，數(shù)據(jù)庫(kù)管理系統(tǒng)受到了重點(diǎn)關(guān)注。

我們來看下主要有哪些技術(shù)要求以數(shù)據(jù)庫(kù)管理系統(tǒng)為測(cè)評(píng)對(duì)象或工程實(shí)施對(duì)象，又有哪些關(guān)鍵應(yīng)對(duì)措施？

1、等級(jí)保護(hù)技術(shù)要求

1.1安全通信網(wǎng)絡(luò)

關(guān)于網(wǎng)絡(luò)架構(gòu)的技術(shù)要求，數(shù)據(jù)庫(kù)屬于內(nèi)部系統(tǒng)，歸屬為重要網(wǎng)絡(luò)區(qū)域，該區(qū)域和面向互聯(lián)網(wǎng)提供服務(wù)的系統(tǒng)不能在同一網(wǎng)段，并且要有邊界隔離與訪問控制手段。

VPC支持云服務(wù)客戶創(chuàng)建專屬虛擬網(wǎng)絡(luò)，并在VPC中創(chuàng)建數(shù)據(jù)庫(kù)專用子網(wǎng)，通過ACL、安全組等功能配置數(shù)據(jù)庫(kù)子網(wǎng)與其他子網(wǎng)的訪問控制規(guī)則。

1.2安全計(jì)算環(huán)境

1.2.1身份鑒別

5.7和8.0版本的RDS for MySQL預(yù)制了密碼校驗(yàn)插件，默認(rèn)配置中級(jí)別的密碼復(fù)雜度策略，并支持防暴力破解功能。對(duì)RDS的管理，首選華為云DAS服務(wù)，提供可視化的管理數(shù)據(jù)庫(kù)的服務(wù)，包括執(zhí)行SQL、高級(jí)數(shù)據(jù)庫(kù)管理、智能化運(yùn)維等功能。也可通過堡壘機(jī)登錄到跳板機(jī)的方式實(shí)現(xiàn)，RDS本身不支持雙因子認(rèn)證，可通過堡壘機(jī)間接實(shí)現(xiàn)。

1.2.2訪問控制

RDS除缺省的root賬號(hào)和RDS管控賬號(hào)外，沒有其他默認(rèn)賬戶，root賬號(hào)的口令需要用戶在創(chuàng)建數(shù)據(jù)庫(kù)實(shí)例時(shí)自主設(shè)置，并滿足密碼復(fù)雜度要求。華為云DAS服務(wù)，可提供圖形化的用戶管理功能，幫助用戶輕松實(shí)現(xiàn)上述控制措施。更高安全要求的用戶，可采購(gòu)華為云數(shù)據(jù)安全防護(hù)服務(wù)，使用更專業(yè)的數(shù)據(jù)庫(kù)防火墻做權(quán)限配置與訪問控制。

1.2.3安全審計(jì)

RDS for MySQL自帶審計(jì)功能，但是在三級(jí)系統(tǒng)中推薦采用華為云數(shù)據(jù)庫(kù)審計(jì)服務(wù)。相比自帶的審計(jì)功能，數(shù)據(jù)庫(kù)審計(jì)服務(wù)具有不消耗數(shù)據(jù)庫(kù)性能、中立、配置簡(jiǎn)單和功能豐富等多種優(yōu)點(diǎn)，是應(yīng)對(duì)等保合規(guī)、提升數(shù)據(jù)庫(kù)安全等級(jí)的首推服務(wù)。

1.2.4數(shù)據(jù)完整性

加密可同時(shí)滿足數(shù)據(jù)完整性和保密性的要求。

傳輸加密可啟用數(shù)據(jù)庫(kù)實(shí)例的SSL加密，但是不能和數(shù)據(jù)庫(kù)審計(jì)服務(wù)同時(shí)啟用，且對(duì)性能有可觀損耗。因此，在數(shù)據(jù)庫(kù)實(shí)例不需要從公網(wǎng)直接訪問，且有安全組規(guī)則嚴(yán)格限制入方向流量的條件下，可不開啟SSL加密。

存儲(chǔ)加密分為應(yīng)用端加密、入庫(kù)時(shí)加密、數(shù)據(jù)庫(kù)實(shí)例加密幾個(gè)粒度，推薦華為云KMS服務(wù)，既可通過API被應(yīng)用調(diào)用執(zhí)行加解密動(dòng)作，也可以選擇數(shù)據(jù)庫(kù)整實(shí)例加密。

1 .2.5數(shù)據(jù)備份恢復(fù)

RDS實(shí)例本身支持自動(dòng)備份，選擇主備模式可實(shí)現(xiàn)數(shù)據(jù)庫(kù)實(shí)例的熱冗余。然后創(chuàng)建一個(gè)跨區(qū)域的災(zāi)備實(shí)例，使用華為云的DRS服務(wù)可實(shí)現(xiàn)異地實(shí)時(shí)備份。

1.3 安全管理中心

針對(duì)于審計(jì)管理及集中管控的技術(shù)要求，啟用數(shù)據(jù)庫(kù)審計(jì)服務(wù)，記錄數(shù)據(jù)庫(kù)操作日志，并對(duì)審計(jì)日志的留存時(shí)間做配置。

2. 優(yōu)秀實(shí)踐

2.1 安全審計(jì)

※專業(yè)審計(jì)工具※

華為云自研的數(shù)據(jù)庫(kù)安全審計(jì)服務(wù)，支持對(duì)華為云上RDS和ECS/BMS自建兩種類型的數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，支持的數(shù)據(jù)庫(kù)種類覆蓋MySQL、postgresql、SQLServer、Oracle四種主流產(chǎn)品。提供用戶行為發(fā)現(xiàn)審計(jì)、多維度分析、實(shí)時(shí)告警和報(bào)表等多種功能，有效保障數(shù)據(jù)資產(chǎn)安全。詳細(xì)操作可參考：數(shù)據(jù)庫(kù)安全審計(jì)最佳實(shí)踐（RDS）

2.2 數(shù)據(jù)加密

※數(shù)據(jù)庫(kù)實(shí)例加密※

在華為云KMS服務(wù)的幫助下，選擇加密整個(gè)數(shù)據(jù)庫(kù)實(shí)例非常方便。用戶在購(gòu)買RDS數(shù)據(jù)庫(kù)實(shí)例時(shí)，可以選擇“磁盤加密”，使用KMS提供的密鑰來加密數(shù)據(jù)庫(kù)實(shí)例的磁盤。用戶也可以通過調(diào)用RDS API接口購(gòu)買加密數(shù)據(jù)庫(kù)實(shí)例，詳情請(qǐng)參考《關(guān)系型數(shù)據(jù)庫(kù)API參考》。

圖1-1 磁盤加密

2.3 數(shù)據(jù)備份恢復(fù)

※本地備份※

RDS實(shí)例默認(rèn)每天定期執(zhí)行全庫(kù)備份，也可手動(dòng)執(zhí)行全庫(kù)備份；每5分鐘進(jìn)行一次增量日志備份。詳細(xì)操作可參考：RDS備份與恢復(fù)

l 備份策略：支持修改，由用戶選擇合理的保留天數(shù)和最佳的備份時(shí)間（盡量選擇業(yè)務(wù)空窗期）

l 恢復(fù)動(dòng)作：從已有備份中選擇日期與時(shí)間區(qū)間，可選擇恢復(fù)到新實(shí)例或者已購(gòu)買的已有實(shí)例（正在運(yùn)行的實(shí)例不能恢復(fù)）。

※異地備份※

對(duì)于異地?cái)?shù)據(jù)備份要求，可啟用RDS的災(zāi)備實(shí)例功能，跨區(qū)域創(chuàng)建災(zāi)備實(shí)例，實(shí)時(shí)同步主用實(shí)例的數(shù)據(jù)，滿足三級(jí)要求。詳細(xì)操作可參考：創(chuàng)建跨區(qū)域的災(zāi)備實(shí)例

3. 總結(jié)

執(zhí)行完上述安全加固措施后，完整的邏輯拓?fù)鋱D如下：

所涉及的服務(wù)按照不同等級(jí)保護(hù)要求的組合如下表：

關(guān)注@華為云，獲取更多精彩資訊

數(shù)據(jù)庫(kù)安全服務(wù) DBSS 數(shù)據(jù)庫(kù)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。