华为云等级保护解决方案之数据库安全

2019年，国家标准化委员会发布的《GBT22239-2019信息安全技术网络安全等级保护基本要求》，从该标准可看出，作为应用系统必不可少的组件，数据库管理系统受到了重点关注。

我们来看下主要有哪些技术要求以数据库管理系统为测评对象或工程实施对象，又有哪些关键应对措施？

1、等级保护技术要求

1.1安全通信网络

关于网络架构的技术要求，数据库属于内部系统，归属为重要网络区域，该区域和面向互联网提供服务的系统不能在同一网段，并且要有边界隔离与访问控制手段。

VPC支持云服务客户创建专属虚拟网络，并在VPC中创建数据库专用子网，通过ACL、安全组等功能配置数据库子网与其他子网的访问控制规则。

1.2安全计算环境

1.2.1身份鉴别

5.7和8.0版本的RDS for MySQL预制了密码校验插件，默认配置中级别的密码复杂度策略，并支持防暴力破解功能。对RDS的管理，首选华为云DAS服务，提供可视化的管理数据库的服务，包括执行SQL、高级数据库管理、智能化运维等功能。也可通过堡垒机登录到跳板机的方式实现，RDS本身不支持双因子认证，可通过堡垒机间接实现。

1.2.2访问控制

RDS除缺省的root账号和RDS管控账号外，没有其他默认账户，root账号的口令需要用户在创建数据库实例时自主设置，并满足密码复杂度要求。华为云DAS服务，可提供图形化的用户管理功能，帮助用户轻松实现上述控制措施。更高安全要求的用户，可采购华为云数据安全防护服务，使用更专业的数据库防火墙做权限配置与访问控制。

1.2.3安全审计

RDS for MySQL自带审计功能，但是在三级系统中推荐采用华为云数据库审计服务。相比自带的审计功能，数据库审计服务具有不消耗数据库性能、中立、配置简单和功能丰富等多种优点，是应对等保合规、提升数据库安全等级的首推服务。

1.2.4数据完整性

加密可同时满足数据完整性和保密性的要求。

传输加密可启用数据库实例的SSL加密，但是不能和数据库审计服务同时启用，且对性能有可观损耗。因此，在数据库实例不需要从公网直接访问，且有安全组规则严格限制入方向流量的条件下，可不开启SSL加密。

存储加密分为应用端加密、入库时加密、数据库实例加密几个粒度，推荐华为云KMS服务，既可通过API被应用调用执行加解密动作，也可以选择数据库整实例加密。

1 .2.5数据备份恢复

RDS实例本身支持自动备份，选择主备模式可实现数据库实例的热冗余。然后创建一个跨区域的灾备实例，使用华为云的DRS服务可实现异地实时备份。

1.3 安全管理中心

针对于审计管理及集中管控的技术要求，启用数据库审计服务，记录数据库操作日志，并对审计日志的留存时间做配置。

2. 优秀实践

2.1 安全审计

※专业审计工具※

华为云自研的数据库安全审计服务，支持对华为云上RDS和ECS/BMS自建两种类型的数据库进行审计，支持的数据库种类覆盖MySQL、PostgreSQL、SQLServer、Oracle四种主流产品。提供用户行为发现审计、多维度分析、实时告警和报表等多种功能，有效保障数据资产安全。详细操作可参考：数据库安全审计最佳实践（RDS）

2.2 数据加密

※数据库实例加密※

在华为云KMS服务的帮助下，选择加密整个数据库实例非常方便。用户在购买RDS数据库实例时，可以选择“磁盘加密”，使用KMS提供的密钥来加密数据库实例的磁盘。用户也可以通过调用RDS API接口购买加密数据库实例，详情请参考《关系型数据库API参考》。

图1-1 磁盘加密

2.3 数据备份恢复

※本地备份※

RDS实例默认每天定期执行全库备份，也可手动执行全库备份；每5分钟进行一次增量日志备份。详细操作可参考：RDS备份与恢复

l 备份策略：支持修改，由用户选择合理的保留天数和最佳的备份时间（尽量选择业务空窗期）

l 恢复动作：从已有备份中选择日期与时间区间，可选择恢复到新实例或者已购买的已有实例（正在运行的实例不能恢复）。

※异地备份※

对于异地数据备份要求，可启用RDS的灾备实例功能，跨区域创建灾备实例，实时同步主用实例的数据，满足三级要求。详细操作可参考：创建跨区域的灾备实例

3. 总结

执行完上述安全加固措施后，完整的逻辑拓扑图如下：

所涉及的服务按照不同等级保护要求的组合如下表：

关注@华为云，获取更多精彩资讯