中安威士數(shù)據(jù)庫安全加固方案

1、中安威士數(shù)據(jù)庫安全加固方案之公有云解決方案一、背景當(dāng)前，云計(jì)算成為流行的 IT 系統(tǒng)解決方案。它的可擴(kuò)展、可伸縮的彈性計(jì)算能力，極 大的減小了 IT建設(shè)和管理的難度。并且其以租代購的方式極大的減少了投資。公有云是最 重要的一種云計(jì)算方式，可以為全球的用戶建立起應(yīng)用系統(tǒng)。但是在公有云中，應(yīng)用系統(tǒng)和 支撐其運(yùn)轉(zhuǎn)的數(shù)據(jù)庫都遷移到云端，數(shù)據(jù)的安全是十分重要的問題。越來越多的云端數(shù)據(jù)泄 漏事件，比如最近的部署于云端的某游戲160 多萬用戶數(shù)據(jù)的泄漏,給云中數(shù)據(jù)庫的安全拉 響警鐘。相比于傳統(tǒng)計(jì)算環(huán)境，云計(jì)算的開放性和虛擬化的特性，傳統(tǒng)的數(shù)據(jù)安全方案變得 復(fù)雜甚至無能為力,給云端的數(shù)據(jù)庫的防護(hù)帶來了更大的挑

2、戰(zhàn)。二、中安威士簡介中安威士是北京中安比特科技有限公司專屬品牌和注冊商標(biāo)。中安比特專注于數(shù)據(jù)安全 管理領(lǐng)域，經(jīng)過十余年技術(shù)積累,已擁有國內(nèi)最全面的數(shù)據(jù)庫安全加固產(chǎn)品線-中安威士數(shù) 據(jù)庫安全加固系列產(chǎn)品，包括數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏等，能 幫助客戶降低數(shù)據(jù)安全風(fēng)險(xiǎn)并輕松滿足合規(guī)要求。中安威士面向云計(jì)算的數(shù)據(jù)安全管理方案 可為云計(jì)算和大數(shù)據(jù)環(huán)境中的數(shù)據(jù)資產(chǎn)提供全面的安全保護(hù)。三、技術(shù)方案1、傳統(tǒng)技術(shù)方案的限制為解決數(shù)據(jù)的安全管理,中安威士提供數(shù)據(jù)庫審計(jì)、防火墻、透明加密、脫敏等產(chǎn)品， 形成數(shù)據(jù)在其生命周期中的產(chǎn)生、使用、存儲(chǔ)、備份等階段的安全解決方案。其中，對(duì)數(shù)據(jù) 庫系統(tǒng)部

3、署數(shù)據(jù)庫審計(jì)和防火墻，實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪問狀況的監(jiān)控和訪問控制,是最基本的安 全需求在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中，通常采用旁路鏡像、直連、OS代理等方式實(shí)現(xiàn)。在公有云環(huán)境 中，仍然有必要部署數(shù)據(jù)庫安全加固產(chǎn)品，對(duì)數(shù)據(jù)生命周期中的各個(gè)階段的安全加固。并且 部署數(shù)據(jù)庫審計(jì)和防火墻仍然是最基礎(chǔ)和最必要的防護(hù)手段。在公有云環(huán)境中，數(shù)據(jù)庫審計(jì) 和防火墻的旁路鏡像、直連、OS代理等實(shí)現(xiàn)方式理論上都是可行的，但是在實(shí)際的場景中 會(huì)受到具有各種限制.1）鏡像方式。在傳統(tǒng)環(huán)境中，在交換機(jī)上配置端口鏡像，將數(shù)據(jù)庫訪問流量鏡像到數(shù) 據(jù)庫審計(jì)設(shè)備即可。然而此種部署方式需要云計(jì)算平臺(tái)通過SDN定義出網(wǎng)絡(luò)鏡像，使得實(shí)施 變得復(fù)雜,給云計(jì)

4、算環(huán)境帶來管理工作量的增大。而且租戶并不能接受數(shù)據(jù)庫的通信流量被 云平臺(tái)旁路。2）直連方式。在傳統(tǒng)環(huán)境中，通過代理或者透明網(wǎng)橋方式，將數(shù)據(jù)庫審計(jì)或者防火墻部 署于數(shù)據(jù)庫之前，從而監(jiān)控或者過濾到數(shù)據(jù)庫的訪問同樣的，這種部署方式需要云計(jì)算平臺(tái) 通過SDN定義出網(wǎng)絡(luò)直連方式，使得實(shí)施變得復(fù)雜。而且，主流的云主機(jī)都只有一個(gè)虛擬 網(wǎng)絡(luò)接口,而這種部署方式至少需要兩個(gè)接口。這就需要云平臺(tái)對(duì)虛擬機(jī)做出調(diào)整，從而給 實(shí)施帶來進(jìn)一步的困難.3）OS代理方式。這種方式通過在數(shù)據(jù)庫服務(wù)所在的OS上安裝代理程序，將對(duì)數(shù)據(jù)庫 的訪問鏡像到審計(jì)服務(wù)器，或者對(duì)訪問進(jìn)行過濾。在公有云環(huán)境下，大多數(shù)的云服務(wù)廠商對(duì) 外提供的RD

5、S數(shù)據(jù)庫服務(wù)是以SQL訪問接口形式體現(xiàn)的，并不會(huì)給租戶提供數(shù)據(jù)庫服務(wù)器 OS操作的權(quán)限，更不允許給RDS服務(wù)器上安裝任何軟件之類的。這就需要云平臺(tái)對(duì)虛擬機(jī)做 出調(diào)整，從而給實(shí)施帶來進(jìn)一步的困難。并且，以上3種方式，都不能實(shí)現(xiàn)對(duì)數(shù)據(jù)庫訪問的完整監(jiān)控。比如通過虛擬機(jī)逃逸，或 者攻擊者直接登錄數(shù)據(jù)庫服務(wù)器OS并直接對(duì)數(shù)據(jù)庫進(jìn)行的操作等，都不能被記錄或者過濾.2、實(shí)現(xiàn)方案為實(shí)現(xiàn)云端數(shù)據(jù)庫的審計(jì)和細(xì)粒度訪問控制，中安威士厚積薄發(fā)，在多年積累基礎(chǔ)上 推出了適應(yīng)于云計(jì)算環(huán)境的產(chǎn)品和解決方案針對(duì)具體環(huán)境的不同，有兩種具體的實(shí)現(xiàn)方案。方案一：LOCAL探針，實(shí)現(xiàn)數(shù)據(jù)庫審計(jì)。利用數(shù)據(jù)庫自身的日志記錄機(jī)制，使用SQ

6、L 語句實(shí)現(xiàn)探針，獲取并記錄對(duì)數(shù)據(jù)庫的一切訪問，發(fā)送到獨(dú)立運(yùn)行的數(shù)據(jù)庫審計(jì)服務(wù)器中。 如下圖所示。SQX中安威士審計(jì)LOCAL探針APP/WEB服務(wù)器該方案的優(yōu)勢如下：1）沒有任何侵入性：完全基于數(shù)據(jù)庫的機(jī)制，使用SQL接口實(shí)現(xiàn)，對(duì)系統(tǒng)不做任何侵入式修改；2）不會(huì)丟包：任何峰值的訪問，都能夠完整記錄；3）不會(huì)漏審：從任何方式訪問數(shù)據(jù)庫，都會(huì)被記錄;4）實(shí)施簡單：不需要云供應(yīng)商做任何OS級(jí)和軟件級(jí)的改動(dòng)，甚至可以獨(dú)立 于云供應(yīng)商，租戶購買云主機(jī)后，自行部署數(shù)據(jù)庫審計(jì)系統(tǒng)；5）彈性審計(jì)：根據(jù)實(shí)際的審計(jì)工作量，彈性的調(diào)整審計(jì)服務(wù)器的處理能力;6）高安全性：用戶自主選擇的第三方的安全產(chǎn)品，云平臺(tái)運(yùn)維人

7、員也不能操 作和控制審計(jì)內(nèi)容.方案二：單臂代理，實(shí)現(xiàn)數(shù)據(jù)庫審計(jì)和數(shù)據(jù)庫防火墻。中安威士數(shù)據(jù)庫審計(jì)/防火墻運(yùn) 行于獨(dú)立的虛擬主機(jī),APP/WEB服務(wù)器對(duì)數(shù)據(jù)庫的訪問指向中安威士主機(jī)，并且修改數(shù)據(jù)庫 配置，只響應(yīng)來自中安威士主機(jī)的請求。中安威士主機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)庫訪問通信流量的同時(shí)， 對(duì)訪問情況進(jìn)行記錄或者過濾。如下圖所示。數(shù)據(jù)庫192.168.1.100數(shù)據(jù)庫192.168.1.100中安威士審計(jì)/防火墻In ternetAPP/WEB服務(wù)器該方案的優(yōu)勢如下：1）沒有任何侵入性：完全獨(dú)立于數(shù)據(jù)庫服務(wù)器和APP/WEB服務(wù)器，對(duì)系統(tǒng) 不做任何侵入式修改；2）不會(huì)丟包：任何峰值的訪問，都能夠完整記錄；3

8、）實(shí)施簡單:不需要云供應(yīng)商做任何OS級(jí)和軟件級(jí)的改動(dòng)，甚至可以獨(dú)立于 云供應(yīng)商，租戶購買云主機(jī)后，自行部署數(shù)據(jù)庫審計(jì)/防火墻系統(tǒng)；4）彈性審計(jì)：根據(jù)實(shí)際的審計(jì)工作量，彈性的調(diào)整審計(jì)/防火墻服務(wù)器的處 理能力；5）高安全性：用戶自主選擇的第三方的安全產(chǎn)品，云平臺(tái)運(yùn)維人員也不能操 作和控制審計(jì)內(nèi)容。3、測試結(jié)果我們將如上方案部署于多個(gè)公有云系統(tǒng)，并進(jìn)行了長時(shí)間的壓力測試和穩(wěn)定性測試，結(jié) 論如下：方案一結(jié)論:在通常情況下，數(shù)據(jù)庫服務(wù)壓力不大時(shí)，審計(jì)系統(tǒng)對(duì)公有云RDB服務(wù)幾乎沒有性能影響;在數(shù)據(jù)庫服務(wù)壓力比較大時(shí)，審計(jì)系統(tǒng)對(duì)RDB性能稍有影響；在極端情況下,當(dāng)數(shù)據(jù)庫服務(wù)壓力持續(xù) 100時(shí),僅僅降低原來

9、性能的 10% 左右；在超高性能主機(jī)環(huán)境下，當(dāng)數(shù)據(jù)庫服務(wù)壓力持續(xù)100%時(shí)，審計(jì)系統(tǒng)RDB 性能影響不超過 1%；當(dāng)用戶數(shù)據(jù)庫服務(wù)壓力較大時(shí)，增加數(shù)據(jù)庫服務(wù)器性能，基本可以消除審 計(jì)系統(tǒng)對(duì)公有云數(shù)據(jù)庫服務(wù)的性能影響；經(jīng)過長時(shí)間滿負(fù)載壓力測試，而使用本方案完全消除了傳統(tǒng)部署方式中難 以避免的丟包現(xiàn)象， 100%的獲取數(shù)據(jù)庫操作，且運(yùn)行穩(wěn)定。方案二結(jié)論：當(dāng)中安威士數(shù)據(jù)庫審計(jì)/防火墻未滿負(fù)荷運(yùn)行時(shí)，對(duì)訪問的延遲在微秒級(jí)，對(duì)業(yè)務(wù)處理吞吐量的影響幾乎為零；經(jīng)過長時(shí)間高壓力測試，本方案沒有丟包現(xiàn)象，且運(yùn)行穩(wěn)定。四、方案優(yōu)勢中安威士云端數(shù)據(jù)庫安全審計(jì)和防火墻方案，基于十余年技術(shù)積累,為云端數(shù)據(jù)提供必要的和彈性的安全管理能力。除了上文所述優(yōu)勢，本方案還具有如下突出優(yōu)勢: 快:業(yè)界最高的處理性能.超高的連續(xù)處理、入庫能力 超高的日志檢索速度,支持排除查詢，支持任意關(guān)鍵字組合查詢 超高的日志存儲(chǔ)能力智：智能化自動(dòng)學(xué)習(xí)，基本實(shí)現(xiàn)零配置。 穩(wěn)：十余年技術(shù)積累,國內(nèi)最早專利技術(shù),上千實(shí)際案例，產(chǎn)品運(yùn)行穩(wěn)定。 全：全面的功能和全面的審計(jì)。不丟包