背景
当前,云计算成为流行的IT系统解决方案。它的可扩展、可伸缩的弹性计算能力,极大的减小了IT建设和管理的难度。并且其以租代购的方式极大的减少了投资。公有云是最重要的一种云计算方式,可以为全球的用户建立起应用系统。但是在公有云中,应用系统和支撑其运转的数据库都迁移到云端,数据的安全是十分重要的问题。越来越多的云端数据泄漏事件,比如最近的部署于云端的某游戏160多万用户数据的泄漏,给云中数据库的安全拉响警钟。相比于传统计算环境,云计算的开放性和虚拟化的特性,传统的数据安全方案变得复杂甚至问能为力,给云端的数据库的防护带来了更大的挑战。

中安威士简介

中安威士是北京中安比特科技有限公司专属品牌和注册商标。中安威士专注于数据安全管理领域,经过十余年技术积累,已拥有国内全面的数据库安全加固产品线,包括数据库审计、数据库防火墙、数据库加密、数据脱敏等产品,能帮助客户降低数据安全风险并轻松满足合规要求。中安威士面向云计算的数据安全管理方案可为云计算和大数据环境中的数据资产提供全面的安全保护。

技术方案

传统技术方案的限制

为解决数据的安全管理,中安威士提供数据库审计、防火墙、透明加密、脱敏等产品,形成数据在其生命周期中的产生、使用、存储、备份等阶段的安全解决方案。其中,对数据库系统部署数据库审计和防火墙,实现对数据的访问状况的监控和访问控制,是最基本的安全需求。在传统网络环境中,通常采用旁路镜像、直连、OS代理等方式实现。在公有云环境中,仍然有必要部署数据库安全加固产品,对数据生命周期中的各个阶段的安全加固。并且部署数据库审计和防火墙仍然是最基础和最必要的防护手段。在公有云环境中,数据库审计和防火墙的旁路镜像、直连、OS代理等实现方式理论上都是可行的,但是在实际的场景中会受到具有各种限制。

1)镜像方式。在传统环境中,在交换机上配置端口镜像,将数据库访问流量镜像到数据库审计设备即可。然而此种部署方式需要云计算平台通过SDN定义出网络镜像,使得实施变得复杂,给云计算环境带来管理工作量的增大。而且租户并不能接受数据库的通信流量被云平台旁路。

2)直连方式。在传统环境中,通过代理或者透明网桥方式,将数据库审计或者防火墙部署于数据库之前,从而监控或者过滤到数据库的访问。同样的,这种部署方式需要云计算平台通过SDN定义出网络直连方式,使得实施变得复杂。而且,主流的云主机都只有一个虚拟网络接口,而这种部署方式至少需要两个接口。这就需要云平台对虚拟机做出调整,从而给实施带来进一步的困难。

3)OS代理方式。这种方式通过在数据库服务所在的OS上安装代理程序,将对数据库的访问镜像到审计服务器,或者对访问进行过滤。在公有云环境下,大多数的云服务厂商对外提供的RDS数据库服务是以SQL访问接口形式体现的,并不会给租户提供数据库服务器OS操作的权限,更不允许给RDS服务器上安装任何软件之类的。这就需要云平台对虚拟机做出调整,从而给实施带来进一步的困难。

并且,以上3种方式,都不能实现对数据库访问的完整监控。比如通过虚拟机逃逸,或者攻击者直接登录数据库服务器OS并直接对数据库进行的操作等,都不能被记录或者过滤。

实现方案

为实现云端数据库的审计和细粒度访问控制,中安威士厚积薄发,在多年积累基础上,推出了适应于云计算环境的产品和解决方案。针对具体环境的不同,有两种具体的实现方案。

方案一:LOCAL探针,实现数据库审计。利用数据库自身的日志记录机制,使用SQL语句实现探针,获取并记录对数据库的一切访问,发送到独立运行的数据库审计服务器中。如下图所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-roJNTcn2-1575874498453)(http://www.csbit.cn/upload/images/2016/8/10142942855.JPG)]

该方案的优势如下:

  1. 没有任何侵入性:完全基于数据库的机制,使用SQL接口实现,对系统不做任何侵入式修改;

  2. 不会丢包:任何峰值的访问,都能够完整记录;

  3. 不会漏审:从任何方式访问数据库,都会被记录;

  4. 实施简单:不需要云供应商做任何OS级和软件级的改动,甚至可以独立于云供应商,租户购买云主机后,自行部署数据库审计系统;

5)弹性审计:根据实际的审计工作量,弹性的调整审计服务器的处理能力;

6)高安全性:用户自主选择的第三方的安全产品,云平台运维人员也不能操作和控制审计内容。

方案二:单臂代理,实现数据库审计和数据库防火墙。中安威士数据库审计/防火墙运行于独立的虚拟主机,APP/WEB服务器对数据库的访问指向中安威士主机,并且修改数据库配置,只响应来自中安威士主机的请求。中安威士主机在转发数据库访问通信流量的同时,对访问情况进行记录或者过滤。如下图所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vqzeZacc-1575874498454)(http://www.csbit.cn/upload/images/2016/8/1014302886.JPG)]

该方案的优势如下:

  1. 没有任何侵入性:完全独立于数据库服务器和APP/WEB服务器,对系统不做任何侵入式修改;

  2. 不会丢包:任何峰值的访问,都能够完整记录;

3)实施简单:不需要云供应商做任何OS级和软件级的改动,甚至可以独立于云供应商,租户购买云主机后,自行部署数据库审计/防火墙系统;

  1. 弹性审计:根据实际的审计工作量,弹性的调整审计/防火墙服务器的处理能力;

5)高安全性:用户自主选择的第三方的安全产品,云平台运维人员也不能操作和控制审计内容。

测试结果

我们将如上方案部署于多个公有云系统,并进行了长时间的压力测试和稳定性测试,结论如下。

方案一结论:

  1. 在通常情况下,数据库服务压力不大时,审计系统对公有云RDB服务几乎没有性能影响;

  2. 在数据库服务压力比较大时,审计系统对RDB性能稍有影响;

  3. 在极端情况下,当数据库服务压力持续100%时,仅仅降低原来性能的10%左右;

  4. 在超高性能主机环境下,当数据库服务压力持续100%时,审计系统RDB性能影响不超过1%;

  5. 当用户数据库服务压力较大时,增加数据库服务器性能,基本可以消除审计系统对公有云数据库服务的性能影响;

  6. 经过长时间满负载压力测试,而使用本方案完全消除了传统部署方式中难以避免的丢包现象,100%的获取数据库操作,且运行稳定。

方案二结论:

  1. 当中安威士数据库审计/防火墙未满负荷运行时,对访问的延迟在微秒级,对业务处理吞吐量的影响几乎为零;

  2. 经过长时间高压力测试,本方案没有丢包现象,且运行稳定。

方案优势

中安威士云端数据库安全审计和防火墙方案,基于十余年技术积累,为云端数据提供必要的和弹性的安全管理能力。除了上文所述优势,本方案还具有如下突出优势:

快:业界较高的处理性能。

超高的连续处理、入库能力

超高的日志检索速度,支持排除查询,支持任意关键字组合查询

超高的日志存储能力

智:智能化自动学习,基本实现零配置

稳:十余年技术积累,上千实际案例,产品运行稳定。

全:全面的功能和全面的审计。

不丢包:高峰流量不丢包,完全审计

不漏审:全方位的审计,不漏掉从任何途径对数据库的访问

全功能:具有敏感数据发现、性能审计、漏洞扫描和风险评估

能够部署于任何环境

美:美观的报表和界面。提供大量报告模板,包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义。

细:细粒度的审计和访问控制,达到字段、语句级。

数据库应用之(云安全)相关推荐

  1. 云端数据库安全问题分析

    1 引言 云端数据库作为云计算中结构化数据的云所在的应用领域,泛亚它在2008年才被提出的一类以云计算框架为基础的云服务,云端数据库和传统的集束型数据库相比,前端投人较小,设计简单,不需要数据库管理员 ...

  2. 3月12日云栖精选夜读 | 安全多方计算新突破!阿里首次实现“公开可验证” 的安全方案...

    近日,阿里安全双子座实验室与马里兰大学等高校合作的论文<Covert Security with Public Verifiability: Faster, Leaner, and Simple ...

  3. ACP学习笔记(云计算)附题

    阿里云云计算专业认证(ACP级-Alibaba Cloud Certified Professional)是面向使用阿里云云计算产品的架构.开发.运维类人员的专业技术认证,主要涉及阿里云的计算.存储. ...

  4. BAT三巨头之云产品角逐

    前言 BAT是中国互联网公司百度公司(Baidu).阿里巴巴集团(Alibaba).腾讯公司(Tencent)三大巨头首字母缩写.早期BAT三巨头都有各自的产品定位和势力范围而且是各自领域的老大,百度 ...

  5. 腾讯云从业者培训课程介绍/腾讯云介绍

    腾讯云从业者培训 课程介绍 深圳市腾讯计算机系统有限公司 课程概览 腾讯云从业者培训将系统性的介绍云计算基本概念,腾讯云基础产品和服务的功能.优势.应用场景.该门课程为进一步了解腾讯云产品和服务所需的 ...

  6. Spring Boot参考指南

    Spring Boot参考指南 作者 菲利普·韦伯,戴夫 Syer,约什 长,斯特凡 尼科尔,罗布 绞车,安迪·威尔金森,马塞尔 Overdijk,基督教 杜普伊斯,塞巴斯蒂安·德勒兹,迈克尔·西蒙斯 ...

  7. 阿里云安全组 设置数据库仅自己电脑IP可登陆

    大家好,我是神韵,是一个技术&生活博主.出文章目的主要是两个,一是好记忆不如烂笔头,记录总结中提高自己.二是希望我的文章可以帮到大家.欢迎来点赞打卡,你们的行动将是我无限的动力. 本篇主题是: ...

  8. 从程序媛到启明星辰集团云安全总经理,郭春梅博士揭秘云时代安全攻防之道...

    从无序中寻找踪迹,从眼前事探索未来. 2021 年正值黄金十年新开端,CSDN 以中立技术社区专业.客观的角度,深度探讨中国前沿 IT 技术演进,推出年度重磅企划栏目--「拟合」,通过对话企业技术高管 ...

  9. 构建云安全架构的技巧

    随着组织越来越多地将数据和应用程序转移到云端,安全架构在确保工作负载安全方面变得至关重要.云安全架构是一个框架,它定义了组织如何为其运营的每个云模型处理云安全,以及它打算使用哪些解决方案和技术来创建安 ...

  10. IBMDB2数据库软件安装教程

    一.简介 IBM DB2 是美国IBM公司开发的一套关系型数据库管理系统,它主要的运行环境为UNIX(包括IBM自家的AIX).Linux.IBM i(旧称OS/400).z/OS,以及Windows ...

最新文章

  1. hub-spock-ospf,nbma
  2. 异形隔离java剧情_异形隔离攻略 系统上手教程 全剧情流程图文攻略(41)
  3. 爬虫python能做什么外国人-利用爬虫技术能做到哪些很酷很有趣很有用的事情?...
  4. MVC URL参数传递+变为空格解决方法
  5. 基于用户画像大数据的电商防刷架构
  6. html正则表达式search,正则表达式解析关键字和标签的搜索字段([])
  7. 运行scrapy保存图片,报错ValueError: Missing scheme in request url: h
  8. C\C++对文件的读写操作
  9. C#中理解接口以及接口的作用
  10. 输在学历的起跑线上?没关系,10本书助你技能爆表升职加薪
  11. 汇编笔记-DOSBox安装和使用
  12. centos配置epel和remi源
  13. python ocr 识别 开源_OCR识别-python版(一)
  14. python处理nc气象数据_气象数据处理——nc文件
  15. 如何将网页保存保存为PDF格式?或者打印网页
  16. spark的三种部署模式
  17. kali mysql 卸载,linux mysql卸载命令
  18. 数字电路课程设计 密码锁
  19. Semantic Nighttime Image Segmentation with Synthetic Stylized Data Gradual Adaptation
  20. Android之讯飞语音-文字转语音(不用另外安装语音合成包apk)遇到的问题

热门文章

  1. 微信小程序开发之小米商城
  2. 集线器、交换机、路由器、猫
  3. mysql商品库存字段_mysql商品库存扣减问题总结
  4. idea自定义banner
  5. 安卓手机如何打开.crx文件_crx文件怎么安装?谷歌浏览器Chrome打开crx文件的方法...
  6. 11 JavaScript删除链表的节点 牛客网JZ18
  7. android 怎么选择audio hal
  8. 全球及中国双十烷基二甲基氯化铵(DDAC)行业现状动态及供需前景预测报告2022-2027
  9. JetBrains 全家桶的全流程详解
  10. 计算机有两个桌面,你好,我的电脑有两个桌面怎么处理