【free style】昂楷护航公有云数据库安全

公有数据上云端 昂楷护航公有云数据库安全

「一切都会运行在云端」。

公有云定义

公有云通常指第三方提供商为用户提供的能够使用的云，公有云一般可通过 Internet 使用；公有云的核心属性是共享资源服务。这种云有许多实例，可在当今整个开放的公有网络中提供服务。

基于云计算模式，公有云与用户的各项服务资源、服务制度相结合，能够实现用户工作流程的优化和重组，充分解决传统电子公有重复建设、信息孤岛等问题。

目前公有云日趋形成以下特点：

1、所涉及的职能部门越来越多；

2、所存储的数据量越来越大；

3、云数据库的应用越来越广；

4、其数据的重要级别也越来越高；

一、公有云面临的安全风险

公有云给大量的信息技术应用和服务模式的变革创新带来机遇，但安全问题不容马虎。因为其涉及到国计民生的重要业务系统，数据集中后如果安全受到威胁，将会给政企事业单位带来巨大的损失，甚至危及国家安全。

与传统的存储硬件不同，数据上云就是把数据暴露在了一个开放的网络环境中，比起传统的数据安全，云安全面临更大的困境和挑战。公有云安全面临的挑战有：

（一）管理风险： 安全管理缺乏抓手！

云计算安全风险还突出体现在：用户对数据、系统的控制管理能力减弱；安全责任不明确，一些单位可能由于数据和业务的外包而放松安全管理；云计算平台更加复杂，风险和隐患增多，控制和监管手段不足等。具体表现为：

1、对关键数据无详细访问记录，出现事故无法追踪；

2、无法有效分析数据访问来源，做到快速定位；

3、对于黑客攻击，无法做到有效防范和攻击留痕；

4、不能实时监控对数据库的非法访问，没有预警；

5、非授权进入业务系统或误操作、越权操作，导致数据泄漏或被修改；

6、对云平台下数据库的数据使用不能实时动态感知等。

（二）技术风险：云FW\IPS等网络安全系统在旁观！

数据上云使资源从物理固定到逻辑虚拟，安全边界变得模糊、漏洞影响放大。常规技术手段对云数据库安全问题无计可施：

1、云防火墙、入侵检测/防御技术不足；

2、误操作、恶意操作，泄漏、权限滥用防范不足；

3、传统安全审计及评估方法导致信息安全预警技术不足；

4、安全漏洞持续增长。

（三）审计风险：云数据库在裸奔！

云计算模式下数据的分享从分散到集中 共享，导致数据泄露和非法访问风险增大。数据库集中统一存储，数据共享需求扩展，导致安全管理分散，同时数据库接口不断增加，无法形成整体数据库安全事态感知，造成云数据库处于裸奔的状态。

二、公有云数据库审计的安全需求

1、高性能支持海量业务访问

作为业务处理的核心，公有云数据中心往往面临着海量的接入访问，这对云数据库审计系统提出了更高的性能挑战。

2、高可扩适应云数据中心规模的快速增长

随着公有业务大集中建设的深化，越来越多的公有业务被配置在云数据中心，这就要求云数据库审计系统具有良好的扩展性，在不断适应云数据中心规模增长的同时，有效保护前期投资。

3、数据使用的合法性监控

在传统的安全防护体系中，防护对象十分清楚，都是独立的物理服务器，而且也有特定的边界。但云环境的边界十分模糊，包括基础设施、网络环境、终端等多层对象，因此真正的云安全防护，需要的是整个云环境的系统级防护，难度也就可想而知了。

因此需要数据库的使用进行合法的监控，防止数据库被入侵篡改、合法的人做了不合法的事、不知道数据库被怎么了等情况出现。

4、数据交互过程的监控

客户端指令请求要审计，知道谁做了什么；

指令返回的内容要审计，知道谁拿到了什么。

5、等保检查合规要求

《信息安全等级保护测评》对数据库主机审计的要求。

三、公有云安全的解决之道

在各大企事业单位大规模推广、采购、使用云计算时，明确提出了云计算的“安全性”要求，既是用户采用云计算的一个基本要求，也是云计算发展中必须面对的一个问题。公有云要保证安全，必须依靠制度、机制等手段，也要在便捷和安全两者之中建立一个平衡。

第一、加强管理制度的规范

从数据库运维及业务系统使用行为角度，制定相应的规范和制度，通过强力的流程管理避免权限的越权及违规使用。

第二、监控云数据库访问过程

通过云数据库安全监控技术手段，实时了解数据库的使用情况，筛选、记录核心数据的访问和使用过程，及时对违规事件进行告警，做到事前、事中、事后的有效管控。

四、公有云的审计解决方案

数据库审计解决方案是通过旁路分析目标被审计数据库镜像的流量，而虚拟化环境或者云平台由于内部的虚拟交换机(Vswitch)流量很难镜像或者无法镜像，因此传统的数据库审计解决方案不足以应对虚拟化和云平台的数据库审计需求。

昂楷科技通过报文引流技术解决“看不到”报文的问题，率先攻克了对云平台架构的数据库审计技术，并实现了以下功能：

（一）公有云数据库审计部署示意图

（二）公有云数据库审计功能

1、针对NO SQL、后关系型数据库审计

首创了后关系型（面向对象）数据库Caché的M语言的解析和审计技术，面向大数据的数据库Hadoop、HBase、芒果等数据库的审计。

2、支持公有云下的数据库审计

目前公司已经和华为云达成合作，云数据库审计产品已成功入驻华为云生态圈，采用多种部署模式满足不同用户的需求，用户可根据自己的需求选择贴切的云数据库审计解决方案。

链接https://app.huaweicloud.com/product/00301-24196-0--0

3、审计系统三权分立

系统管理平台、规则管理平台、审计管理平台，三者权限是相互隔离的，而且有日志记录、方便互相监督，做到审计清晰，权限清晰。

4、内置安全、防攻击规则

集成了应用审计、等保、分保及针对业内常见SQL注入、数据库高危操作等审计规则。

5、防范黑客级“高手”

有别于一般的数据库审计产品，昂楷云数据库审计系统能防范函数、绑定变量等高级别的数据查询操作，善于抓“高手”。

6、定向行为分析、电子取证

通过定向行为分析，可以明确出某指定客户端在某段时间内所有的操作记录，从而进行现场重建，录像回放，真实再现完整操作过程，进行电子取证，为溯源和取证提供有力的证据。

7、白名单和进程监控

系统能够对非法进程和白名单进行监控，提前防范，真正做到事前+事中+事后全方位的防护体系。

8、合规报表

等级保护报表是昂楷提供的预定义报表中的一种，它是根据国家等级保护政策标准中对数据库主机审计要求，自动生成的统计报表，可确保云数据安全审计系统能通过公安部信息安全等级保护的评测。

在公有云的建设过程中，不仅要面对由于虚拟化技术带来的安全问题，还需要考虑公有云的形态和运营方式所带来的安全挑战。昂楷云数据库审计系统通过对公有云全方面的审计，能够满足IT审计合规性要求，提高数据库安全性与可用性，有效控制公有上云带来的风险。

企业、政府的核心敏感数据托管在云环境中，面临着各种窃取、篡改的威胁，云数据库的安全审计将越发重要，昂楷数据库审计产品将继续作为行业的领导者，在虚拟化、云计算时代继续为用户的数据库安全审计保驾护航。

关于昂楷：

深圳昂楷科技有限公司是数据安全领域顶级的研发企业，公司的核心团队是来自华为、华赛等国内外知名厂商的高管及技术骨干。昂楷科技是国家工程实验室合作单位、国家涉密信息系统产品供货单位、企业信用评价AAA级信用企业、深圳智慧城市数据安全标准制定单位、中央政府协议采购供货商、中直机关协议采购供货商。

已成功研制出云数据库审计系统（首个在线服役公有云数据库安全引擎）、数据库审计系统、医疗防统方系统、集中监控管理平台等一系列数据库安全产品，其中有两项发明填补了行业空白。