安华金和:云数据库的安全建议

作者: 安华金和攻防实验室 思成

云计算技术是IT产业界的一场技术变革.云计算给用户带来了一种更加便宜、更加高效、更加灵活的IT解决方案.云计算的解决方案已经被越来越多的用户所认可和采纳.我国政府也明确提出云计算技术是我国下一个5年信息化产业发展的重点领域.

在我国云计算技术发展处于成长期,谁抓住了云计算谁就可能抓住未来IT发展的趋势.据统计 2009年中国云计算市场规模已经达到403.5亿元,增长率为28%,但纵观整个IT市场我国云计算的使用率仍低于其他发达国家,根据调研机构Springboard Research预计,我国云计算的市场在未来将保持每年25%以上的增长率.

随着云技术的发展,为了满足客户业务需求.一部分关键软件开始以各种形式向云计算进行迁移.其中数据库作为企业IT系统最重要的核心组件也会迁移到云上,数据库被迁移到云上后,客户体验不会有太多改变,同时又可以获得理论上近乎无限的存储和处理能力.在使用方式上,云数据库不同于传统数据库,云数据库通常采用多租户模式,即多个租户共用一个实例,租户的数据既有隔离又有共享,从而解决数据存储的问题,同时也降低了用户使用数据库的成本.

企业的数据从管理和存储的角度可以分成两类:结构化数据和非结构化数据.其中关键数据多属于结构化数据例如:ERP数据、CRM数据、OA数据、HR数据等.因此要想让企业把业务完全向云迁移,云数据库中一定要包含关系型数据库.本文讨论的云数据库,特指云上的关系型数据库,并非是DynameoDB这种专门处理非关系型数据的Nosql数据库.

把关系型数据库从局域网或互联网中迁移到云上除去数据库自身的一些技术难题,数据库在云环境下将会面临更多挑战,最让人担心的则是迁移后带来的安全性隐患.

2009年2月google的Gmail电子邮箱爆发全球性故障,服务中断4个多小时.而2011年3月又再次爆发大规模用户数据库泄露事件,其中大约有十五万用户在使用自己的GMAIL账号后,发现竟然是一个空白页,用户所有邮件被全部删除.

2009年3月微软云平台azure停止运行22小时.2010年9月在美国西部连续发生多次托管服务中断事件,这次中断造成用户不能访问自己的邮箱和个人数据,更严重的是这个错误持续了一整个星期,甚至最后部分数据库无法恢复.

2011年4月亚马逊公司的EC2、RDS服务器数据库中心运行出现中断,发生了严重的宕机事件.2012年6月亚马逊的AWS又一度中断服务,instagram/pinterest和netflix等均受到影响.

2012年8月苹果的icloud云存储系统被黑客入侵,并删除所有资料.

2011年4月19日 索尼公司的playstation和qriocity遭到黑客攻击,服务中断超过一周,并导致7700万个注册账户的用户信息遭到盗取.

面对上述爆出的事件足见云平台的安全性还需要进一步完善,而数据库作为系统重要数据的存储和处理核心,是企业的核心信息价值.因此对于云环境下的数据和数据库的安全保证尤为重要.下文将针对云环境下数据库安全给出一些意见,力求能帮助云厂商守护好用户数据的安全.

对于云上数据库的安全技术安华金和数据库安全专家认为主要可以从以下四个方向考虑:

1.数据库访问控制

访问控制措施是云环境下对数据进行保护的最关键方式,它是维护系统安全、保护数据的重要手段.在数据库领域对于数据的访问控制主要需要考虑以下两类用户:

(1)普通用户权限控制(也就是租用云上数据库的用户):根据客户不同的业务需求,把数据库划分为不同的区域,不同的区域租户的访问赋予不同权限.根据权限的设置控制用户和用户组可以访问哪些数据,为了便于管理可以把用户分组,在组中对用户进行合理授权.例如分为开发组、测试组、运维组等等.

(2)管理员用户权限控制(云服务的工作人员):对数据库管理员的数据访问权限控制,数据库管理员的主要职责是负责数据库系统的正常运行,而并非需要有权限查看或者修改所有数据.因此需要限制数据库管理员对企业核心敏感数据的访问.对于某些无法规避掉的访问也要进行关键字段的脱敏处理,防止客户的信息被云服务厂商内部人员盗取.

具体来说数据库系统安全访问控制技术主要分为三类:自主访问控制DAC (DiscretionaryAccess Control)、强制访问控制MAC (Mandatory Access Control)和基于角色的访问控制 RBAC (Role-Based Access Control).结合以上两种用户的分类,建议采用基于角色的访问控制技术.把角色定义为一组用户和一组权限的集合,每个用户可以被授予多个角色.根据用户提交的需求云服务商随时改变用户所属的角色,角色被激活后该用户就具备了这个角色所包含的所有权限.采用角色访问控制技术可以简化对权限的管理难度,并且在激活用户当前所属角色的过程中可以避免用户拥有过量的权限,防止用户有意或无意的越权操作对其他用户或这个数据库造成安全威胁.

2.数据库加密技术

数据库在云环境下同样存在安全风险,如果黑客通过一定的途径将数据库文件复制后,在其它环境对数据库进行恢复,从而获取整个数据库的数据,这会对组织造成难以估算的损失.因此,非常有必要对数据库中的核心数据进行加密,目前针对数据库系统的加密技术,基于三个不同的层次来实现,这三个层次分别是磁盘层、DBMS外层和DBMS内核层.

磁盘层数据加密:这种数据加密方式是一种防止盗取磁盘,破解磁盘获取敏感数据的有效解决方案,但对云并不合适.云数据安全问题多出现于应用层和网络层.这种方案磁盘虽然加密了,但操作系统、数据库、应用层等依旧是明文形式.操作系统、数据库、应用层等被入侵可能数据会以明文形式被盗取.同时这种整盘加密的方式也会严重损耗性能,据某采用该种方式的云服务厂商说此加密会降低大约20%的效率.

DBMS外层数据加密:这种加密方式是将数据加/解密系统做成客户端到数据库之间的代理.客户端把原语句发送到客户端加密器,加密器进行加密后发送到服务器端的解密器,解密后传送给数据库.这种加密方式主要是针对网络中通讯信息的加密,其实对数据库内存储的敏感信息没有防护作用.如果黑客是针对网络数据流进行拦截,则可以有效防护,但对于数据库中的数据无法起到有效防护作用,一般多是和磁盘层数据库加密方式一起使用.由于加解密并不在数据库端进行,所以这种方式不会加重数据库服务器的负载并可直接实现网上传输加密,缺点是加密功能会受一些限制.

DBMS内核层数据加密:这种加密方式由数据库服务器引擎实现对数据的加密和解密工作,目前大多数主流的数据库系统都具备了这种数据加密的功能.应用程序可以使用相同旳语法向应用程序表中插入数据,数据库内核在向磁盘写入信息之前会自动加密数据.随后的查询操作会以透明方式解密数据,因此应用程序仍可以正常工作.可见,这种加密方式具有加密功能强、无需修改程序的优点,但加重了数据库服务器的负载,因此建议用户仅加密敏感的数据列而不是所有数据,比如信用卡号、身份证号码等.这种加密方式可以从根本上杜绝敏感数据外泄.

安华金和数据库保险箱在这种数据库加密方式有着两项专利技术:

专利1. 《一种基于多级视图和触发器的数据库透明加解密方法》(专利号 201010169778.7)

该专利技术使得DBCoffer打破传统数据库加密产品应用不透明的瓶颈,确保应用不需要改造.

专利2. 《一种无偏序关系的数据库密文索引方法》(专利号 201010169784.2)

该专利技术使得DBCoffer突破电信等高端应用的性能瓶颈,确保亿级数据规模下,性能几乎不下降.

3.数据库防火墙技术

云上的虚拟数据库和实体机上的数据库同样都存在数据库漏洞,所以及时的更新数据库漏洞补丁也是对于数据库更有利的安全保障.但在实际操作中云上千百万个数据库短期进行升级明显是不太现实的方案.安华金和数据库安全专家建议在云上的数据库前部署具有vpatch功能的数据库防火墙.

VPatch是一种虚拟补丁技术,安华金和数据库防火墙内置了数据库虚拟补丁技术,这种技术主要是针对数据库漏洞进行防护.防止黑客利用已知的数据库漏洞,对数据库进行攻击,有效的解决了云上数据库升级不及时可能给用户的数据库带来的潜在威胁.

4.数据库审计技术

数据库安全审计是对数据的访问操作行为做一个完整的记录,以备违反安全规则的事件发生后,能有效的追查责任和分析原因,必要时还可以为惩罚恶意攻击行为提供必要的证据.另一方面,实施审计准则之后,审计线索会指出特定人员没有违反规程,也没有破坏性行为,对合法用户是一种良好的保护.

目前安华金和的数据库审计产品已经达到第二代数据库审计产品标准.同时数据库安全审计产品可以采用旁路的部署模式,在审计的同时不会对数据库本身造成额外负担,达到对数据性能0影响.

相信云服务厂商如果能把上面4种安全手段采用到用户的云数据库上,将能提高云数据库的安全性.云服务虽然带来了更低的价位、更好的效率、更佳的灵活性,但安全性很可能是制约云服务厂商更进一步发展的阻碍.解决云上的安全问题将更有益于云厂商自身的发展,同时也是一种对用户负责的表现.

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。