安華金和:云數(shù)據(jù)庫(kù)的安全建議

作者: 安華金和攻防實(shí)驗(yàn)室 思成

云計(jì)算技術(shù)是IT產(chǎn)業(yè)界的一場(chǎng)技術(shù)變革.云計(jì)算給用戶帶來了一種更加便宜、更加高效、更加靈活的IT解決方案.云計(jì)算的解決方案已經(jīng)被越來越多的用戶所認(rèn)可和采納.我國(guó)政府也明確提出云計(jì)算技術(shù)是我國(guó)下一個(gè)5年信息化產(chǎn)業(yè)發(fā)展的重點(diǎn)領(lǐng)域.

在我國(guó)云計(jì)算技術(shù)發(fā)展處于成長(zhǎng)期,誰(shuí)抓住了云計(jì)算誰(shuí)就可能抓住未來IT發(fā)展的趨勢(shì).據(jù)統(tǒng)計(jì) 2009年中國(guó)云計(jì)算市場(chǎng)規(guī)模已經(jīng)達(dá)到403.5億元,增長(zhǎng)率為28%,但縱觀整個(gè)IT市場(chǎng)我國(guó)云計(jì)算的使用率仍低于其他發(fā)達(dá)國(guó)家,根據(jù)調(diào)研機(jī)構(gòu)Springboard Research預(yù)計(jì),我國(guó)云計(jì)算的市場(chǎng)在未來將保持每年25%以上的增長(zhǎng)率.

隨著云技術(shù)的發(fā)展,為了滿足客戶業(yè)務(wù)需求.一部分關(guān)鍵軟件開始以各種形式向云計(jì)算進(jìn)行遷移.其中數(shù)據(jù)庫(kù)作為企業(yè)IT系統(tǒng)最重要的核心組件也會(huì)遷移到云上,數(shù)據(jù)庫(kù)被遷移到云上后,客戶體驗(yàn)不會(huì)有太多改變,同時(shí)又可以獲得理論上近乎無限的存儲(chǔ)和處理能力.在使用方式上,云數(shù)據(jù)庫(kù)不同于傳統(tǒng)數(shù)據(jù)庫(kù),云數(shù)據(jù)庫(kù)通常采用多租戶模式,即多個(gè)租戶共用一個(gè)實(shí)例,租戶的數(shù)據(jù)既有隔離又有共享,從而解決數(shù)據(jù)存儲(chǔ)的問題,同時(shí)也降低了用戶使用數(shù)據(jù)庫(kù)的成本.

企業(yè)的數(shù)據(jù)從管理和存儲(chǔ)的角度可以分成兩類:結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù).其中關(guān)鍵數(shù)據(jù)多屬于結(jié)構(gòu)化數(shù)據(jù)例如:ERP數(shù)據(jù)、CRM數(shù)據(jù)、OA數(shù)據(jù)、HR數(shù)據(jù)等.因此要想讓企業(yè)把業(yè)務(wù)完全向云遷移,云數(shù)據(jù)庫(kù)中一定要包含關(guān)系型數(shù)據(jù)庫(kù).本文討論的云數(shù)據(jù)庫(kù),特指云上的關(guān)系型數(shù)據(jù)庫(kù),并非是DynameoDB這種專門處理非關(guān)系型數(shù)據(jù)的Nosql數(shù)據(jù)庫(kù).

把關(guān)系型數(shù)據(jù)庫(kù)從局域網(wǎng)或互聯(lián)網(wǎng)中遷移到云上除去數(shù)據(jù)庫(kù)自身的一些技術(shù)難題,數(shù)據(jù)庫(kù)在云環(huán)境下將會(huì)面臨更多挑戰(zhàn),最讓人擔(dān)心的則是遷移后帶來的安全性隱患.

2009年2月google的Gmail電子郵箱爆發(fā)全球性故障,服務(wù)中斷4個(gè)多小時(shí).而2011年3月又再次爆發(fā)大規(guī)模用戶數(shù)據(jù)庫(kù)泄露事件,其中大約有十五萬(wàn)用戶在使用自己的GMAIL賬號(hào)后,發(fā)現(xiàn)竟然是一個(gè)空白頁(yè),用戶所有郵件被全部刪除.

2009年3月微軟云平臺(tái)azure停止運(yùn)行22小時(shí).2010年9月在美國(guó)西部連續(xù)發(fā)生多次托管服務(wù)中斷事件,這次中斷造成用戶不能訪問自己的郵箱和個(gè)人數(shù)據(jù),更嚴(yán)重的是這個(gè)錯(cuò)誤持續(xù)了一整個(gè)星期,甚至最后部分?jǐn)?shù)據(jù)庫(kù)無法恢復(fù).

2011年4月亞馬遜公司的EC2、RDS服務(wù)器數(shù)據(jù)庫(kù)中心運(yùn)行出現(xiàn)中斷,發(fā)生了嚴(yán)重的宕機(jī)事件.2012年6月亞馬遜的AWS又一度中斷服務(wù),instagram/pinterest和netflix等均受到影響.

2012年8月蘋果的icloud云存儲(chǔ)系統(tǒng)被黑客入侵,并刪除所有資料.

2011年4月19日 索尼公司的playstation和qriocity遭到黑客攻擊,服務(wù)中斷超過一周,并導(dǎo)致7700萬(wàn)個(gè)注冊(cè)賬戶的用戶信息遭到盜取.

面對(duì)上述爆出的事件足見云平臺(tái)的安全性還需要進(jìn)一步完善,而數(shù)據(jù)庫(kù)作為系統(tǒng)重要數(shù)據(jù)的存儲(chǔ)和處理核心,是企業(yè)的核心信息價(jià)值.因此對(duì)于云環(huán)境下的數(shù)據(jù)和數(shù)據(jù)庫(kù)的安全保證尤為重要.下文將針對(duì)云環(huán)境下數(shù)據(jù)庫(kù)安全給出一些意見,力求能幫助云廠商守護(hù)好用戶數(shù)據(jù)的安全.

對(duì)于云上數(shù)據(jù)庫(kù)的安全技術(shù)安華金和數(shù)據(jù)庫(kù)安全專家認(rèn)為主要可以從以下四個(gè)方向考慮:

1.數(shù)據(jù)庫(kù)訪問控制

訪問控制措施是云環(huán)境下對(duì)數(shù)據(jù)進(jìn)行保護(hù)的最關(guān)鍵方式,它是維護(hù)系統(tǒng)安全、保護(hù)數(shù)據(jù)的重要手段.在數(shù)據(jù)庫(kù)領(lǐng)域?qū)τ跀?shù)據(jù)的訪問控制主要需要考慮以下兩類用戶:

(1)普通用戶權(quán)限控制(也就是租用云上數(shù)據(jù)庫(kù)的用戶):根據(jù)客戶不同的業(yè)務(wù)需求,把數(shù)據(jù)庫(kù)劃分為不同的區(qū)域,不同的區(qū)域租戶的訪問賦予不同權(quán)限.根據(jù)權(quán)限的設(shè)置控制用戶和用戶組可以訪問哪些數(shù)據(jù),為了便于管理可以把用戶分組,在組中對(duì)用戶進(jìn)行合理授權(quán).例如分為開發(fā)組、測(cè)試組、運(yùn)維組等等.

(2)管理員用戶權(quán)限控制(云服務(wù)的工作人員):對(duì)數(shù)據(jù)庫(kù)管理員的數(shù)據(jù)訪問權(quán)限控制,數(shù)據(jù)庫(kù)管理員的主要職責(zé)是負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行,而并非需要有權(quán)限查看或者修改所有數(shù)據(jù).因此需要限制數(shù)據(jù)庫(kù)管理員對(duì)企業(yè)核心敏感數(shù)據(jù)的訪問.對(duì)于某些無法規(guī)避掉的訪問也要進(jìn)行關(guān)鍵字段的脫敏處理,防止客戶的信息被云服務(wù)廠商內(nèi)部人員盜取.

具體來說數(shù)據(jù)庫(kù)系統(tǒng)安全訪問控制技術(shù)主要分為三類:自主訪問控制DAC (DiscretionaryAccess Control)、強(qiáng)制訪問控制MAC (Mandatory Access Control)和基于角色的訪問控制 RBAC (Role-Based Access Control).結(jié)合以上兩種用戶的分類,建議采用基于角色的訪問控制技術(shù).把角色定義為一組用戶和一組權(quán)限的集合,每個(gè)用戶可以被授予多個(gè)角色.根據(jù)用戶提交的需求云服務(wù)商隨時(shí)改變用戶所屬的角色,角色被激活后該用戶就具備了這個(gè)角色所包含的所有權(quán)限.采用角色訪問控制技術(shù)可以簡(jiǎn)化對(duì)權(quán)限的管理難度,并且在激活用戶當(dāng)前所屬角色的過程中可以避免用戶擁有過量的權(quán)限,防止用戶有意或無意的越權(quán)操作對(duì)其他用戶或這個(gè)數(shù)據(jù)庫(kù)造成安全威脅.

2.數(shù)據(jù)庫(kù)加密技術(shù)

數(shù)據(jù)庫(kù)在云環(huán)境下同樣存在安全風(fēng)險(xiǎn),如果黑客通過一定的途徑將數(shù)據(jù)庫(kù)文件復(fù)制后,在其它環(huán)境對(duì)數(shù)據(jù)庫(kù)進(jìn)行恢復(fù),從而獲取整個(gè)數(shù)據(jù)庫(kù)的數(shù)據(jù),這會(huì)對(duì)組織造成難以估算的損失.因此,非常有必要對(duì)數(shù)據(jù)庫(kù)中的核心數(shù)據(jù)進(jìn)行加密,目前針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的加密技術(shù),基于三個(gè)不同的層次來實(shí)現(xiàn),這三個(gè)層次分別是磁盤層、DBMS外層和DBMS內(nèi)核層.

磁盤層數(shù)據(jù)加密:這種數(shù)據(jù)加密方式是一種防止盜取磁盤,破解磁盤獲取敏感數(shù)據(jù)的有效解決方案,但對(duì)云并不合適.云數(shù)據(jù)安全問題多出現(xiàn)于應(yīng)用層和網(wǎng)絡(luò)層.這種方案磁盤雖然加密了,但操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用層等依舊是明文形式.操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用層等被入侵可能數(shù)據(jù)會(huì)以明文形式被盜取.同時(shí)這種整盤加密的方式也會(huì)嚴(yán)重?fù)p耗性能,據(jù)某采用該種方式的云服務(wù)廠商說此加密會(huì)降低大約20%的效率.

DBMS外層數(shù)據(jù)加密:這種加密方式是將數(shù)據(jù)加/解密系統(tǒng)做成客戶端到數(shù)據(jù)庫(kù)之間的代理.客戶端把原語(yǔ)句發(fā)送到客戶端加密器,加密器進(jìn)行加密后發(fā)送到服務(wù)器端的解密器,解密后傳送給數(shù)據(jù)庫(kù).這種加密方式主要是針對(duì)網(wǎng)絡(luò)中通訊信息的加密,其實(shí)對(duì)數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的敏感信息沒有防護(hù)作用.如果黑客是針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行攔截,則可以有效防護(hù),但對(duì)于數(shù)據(jù)庫(kù)中的數(shù)據(jù)無法起到有效防護(hù)作用,一般多是和磁盤層數(shù)據(jù)庫(kù)加密方式一起使用.由于加解密并不在數(shù)據(jù)庫(kù)端進(jìn)行,所以這種方式不會(huì)加重?cái)?shù)據(jù)庫(kù)服務(wù)器的負(fù)載并可直接實(shí)現(xiàn)網(wǎng)上傳輸加密,缺點(diǎn)是加密功能會(huì)受一些限制.

DBMS內(nèi)核層數(shù)據(jù)加密:這種加密方式由數(shù)據(jù)庫(kù)服務(wù)器引擎實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密和解密工作,目前大多數(shù)主流的數(shù)據(jù)庫(kù)系統(tǒng)都具備了這種數(shù)據(jù)加密的功能.應(yīng)用程序可以使用相同旳語(yǔ)法向應(yīng)用程序表中插入數(shù)據(jù),數(shù)據(jù)庫(kù)內(nèi)核在向磁盤寫入信息之前會(huì)自動(dòng)加密數(shù)據(jù).隨后的查詢操作會(huì)以透明方式解密數(shù)據(jù),因此應(yīng)用程序仍可以正常工作.可見,這種加密方式具有加密功能強(qiáng)、無需修改程序的優(yōu)點(diǎn),但加重了數(shù)據(jù)庫(kù)服務(wù)器的負(fù)載,因此建議用戶僅加密敏感的數(shù)據(jù)列而不是所有數(shù)據(jù),比如信用卡號(hào)、身份證號(hào)碼等.這種加密方式可以從根本上杜絕敏感數(shù)據(jù)外泄.

安華金和數(shù)據(jù)庫(kù)保險(xiǎn)箱在這種數(shù)據(jù)庫(kù)加密方式有著兩項(xiàng)專利技術(shù):

專利1. 《一種基于多級(jí)視圖和觸發(fā)器的數(shù)據(jù)庫(kù)透明加解密方法》(專利號(hào) 201010169778.7)

該專利技術(shù)使得DBCoffer打破傳統(tǒng)數(shù)據(jù)庫(kù)加密產(chǎn)品應(yīng)用不透明的瓶頸,確保應(yīng)用不需要改造.

專利2. 《一種無偏序關(guān)系的數(shù)據(jù)庫(kù)密文索引方法》(專利號(hào) 201010169784.2)

該專利技術(shù)使得DBCoffer突破電信等高端應(yīng)用的性能瓶頸,確保億級(jí)數(shù)據(jù)規(guī)模下,性能幾乎不下降.

3.數(shù)據(jù)庫(kù)防火墻技術(shù)

云上的虛擬數(shù)據(jù)庫(kù)和實(shí)體機(jī)上的數(shù)據(jù)庫(kù)同樣都存在數(shù)據(jù)庫(kù)漏洞,所以及時(shí)的更新數(shù)據(jù)庫(kù)漏洞補(bǔ)丁也是對(duì)于數(shù)據(jù)庫(kù)更有利的安全保障.但在實(shí)際操作中云上千百萬(wàn)個(gè)數(shù)據(jù)庫(kù)短期進(jìn)行升級(jí)明顯是不太現(xiàn)實(shí)的方案.安華金和數(shù)據(jù)庫(kù)安全專家建議在云上的數(shù)據(jù)庫(kù)前部署具有vpatch功能的數(shù)據(jù)庫(kù)防火墻.

VPatch是一種虛擬補(bǔ)丁技術(shù),安華金和數(shù)據(jù)庫(kù)防火墻內(nèi)置了數(shù)據(jù)庫(kù)虛擬補(bǔ)丁技術(shù),這種技術(shù)主要是針對(duì)數(shù)據(jù)庫(kù)漏洞進(jìn)行防護(hù).防止黑客利用已知的數(shù)據(jù)庫(kù)漏洞,對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊,有效的解決了云上數(shù)據(jù)庫(kù)升級(jí)不及時(shí)可能給用戶的數(shù)據(jù)庫(kù)帶來的潛在威脅.

4.數(shù)據(jù)庫(kù)審計(jì)技術(shù)

數(shù)據(jù)庫(kù)安全審計(jì)是對(duì)數(shù)據(jù)的訪問操作行為做一個(gè)完整的記錄,以備違反安全規(guī)則的事件發(fā)生后,能有效的追查責(zé)任和分析原因,必要時(shí)還可以為懲罰惡意攻擊行為提供必要的證據(jù).另一方面,實(shí)施審計(jì)準(zhǔn)則之后,審計(jì)線索會(huì)指出特定人員沒有違反規(guī)程,也沒有破壞性行為,對(duì)合法用戶是一種良好的保護(hù).

目前安華金和的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品已經(jīng)達(dá)到第二代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品標(biāo)準(zhǔn).同時(shí)數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品可以采用旁路的部署模式,在審計(jì)的同時(shí)不會(huì)對(duì)數(shù)據(jù)庫(kù)本身造成額外負(fù)擔(dān),達(dá)到對(duì)數(shù)據(jù)性能0影響.

相信云服務(wù)廠商如果能把上面4種安全手段采用到用戶的云數(shù)據(jù)庫(kù)上,將能提高云數(shù)據(jù)庫(kù)的安全性.云服務(wù)雖然帶來了更低的價(jià)位、更好的效率、更佳的靈活性,但安全性很可能是制約云服務(wù)廠商更進(jìn)一步發(fā)展的阻礙.解決云上的安全問題將更有益于云廠商自身的發(fā)展,同時(shí)也是一種對(duì)用戶負(fù)責(zé)的表現(xiàn).

 

 

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2016-06-05
安華金和:云數(shù)據(jù)庫(kù)的安全建議
作者: 安華金和攻防實(shí)驗(yàn)室 思成云計(jì)算技術(shù)是IT產(chǎn)業(yè)界的一場(chǎng)技術(shù)變革 云計(jì)算給用戶帶來了一種更加便宜、更加高效、更加靈活的IT解決方案 云計(jì)算的解決方案已經(jīng)被越來越多的用戶所認(rèn)可和采納 我國(guó)政府也明確提出云計(jì)算技術(shù)是我國(guó)下一個(gè)5年信息化產(chǎn)業(yè)發(fā)展的重點(diǎn)領(lǐng)域 在我國(guó)云計(jì)算技術(shù)

長(zhǎng)按掃碼 閱讀全文