安華金和：云數(shù)據(jù)庫的安全建議

作者: 安華金和攻防實驗室 思成

云計算技術是IT產業(yè)界的一場技術變革.云計算給用戶帶來了一種更加便宜、更加高效、更加靈活的IT解決方案.云計算的解決方案已經被越來越多的用戶所認可和采納.我國政府也明確提出云計算技術是我國下一個5年信息化產業(yè)發(fā)展的重點領域.

在我國云計算技術發(fā)展處于成長期,誰抓住了云計算誰就可能抓住未來IT發(fā)展的趨勢.據(jù)統(tǒng)計 2009年中國云計算市場規(guī)模已經達到403.5億元,增長率為28%,但縱觀整個IT市場我國云計算的使用率仍低于其他發(fā)達國家,根據(jù)調研機構Springboard Research預計,我國云計算的市場在未來將保持每年25%以上的增長率.

隨著云技術的發(fā)展,為了滿足客戶業(yè)務需求.一部分關鍵軟件開始以各種形式向云計算進行遷移.其中數(shù)據(jù)庫作為企業(yè)IT系統(tǒng)最重要的核心組件也會遷移到云上,數(shù)據(jù)庫被遷移到云上后,客戶體驗不會有太多改變,同時又可以獲得理論上近乎無限的存儲和處理能力.在使用方式上,云數(shù)據(jù)庫不同于傳統(tǒng)數(shù)據(jù)庫,云數(shù)據(jù)庫通常采用多租戶模式,即多個租戶共用一個實例,租戶的數(shù)據(jù)既有隔離又有共享,從而解決數(shù)據(jù)存儲的問題,同時也降低了用戶使用數(shù)據(jù)庫的成本.

企業(yè)的數(shù)據(jù)從管理和存儲的角度可以分成兩類:結構化數(shù)據(jù)和非結構化數(shù)據(jù).其中關鍵數(shù)據(jù)多屬于結構化數(shù)據(jù)例如:ERP數(shù)據(jù)、CRM數(shù)據(jù)、OA數(shù)據(jù)、HR數(shù)據(jù)等.因此要想讓企業(yè)把業(yè)務完全向云遷移,云數(shù)據(jù)庫中一定要包含關系型數(shù)據(jù)庫.本文討論的云數(shù)據(jù)庫,特指云上的關系型數(shù)據(jù)庫,并非是DynameoDB這種專門處理非關系型數(shù)據(jù)的Nosql數(shù)據(jù)庫.

把關系型數(shù)據(jù)庫從局域網(wǎng)或互聯(lián)網(wǎng)中遷移到云上除去數(shù)據(jù)庫自身的一些技術難題,數(shù)據(jù)庫在云環(huán)境下將會面臨更多挑戰(zhàn),最讓人擔心的則是遷移后帶來的安全性隱患.

2009年2月google的Gmail電子郵箱爆發(fā)全球性故障,服務中斷4個多小時.而2011年3月又再次爆發(fā)大規(guī)模用戶數(shù)據(jù)庫泄露事件,其中大約有十五萬用戶在使用自己的GMAIL賬號后,發(fā)現(xiàn)竟然是一個空白頁,用戶所有郵件被全部刪除.

2009年3月微軟云平臺azure停止運行22小時.2010年9月在美國西部連續(xù)發(fā)生多次托管服務中斷事件,這次中斷造成用戶不能訪問自己的郵箱和個人數(shù)據(jù),更嚴重的是這個錯誤持續(xù)了一整個星期,甚至最后部分數(shù)據(jù)庫無法恢復.

2011年4月亞馬遜公司的EC2、RDS服務器數(shù)據(jù)庫中心運行出現(xiàn)中斷,發(fā)生了嚴重的宕機事件.2012年6月亞馬遜的AWS又一度中斷服務,instagram/pinterest和netflix等均受到影響.

2012年8月蘋果的icloud云存儲系統(tǒng)被黑客入侵,并刪除所有資料.

2011年4月19日 索尼公司的playstation和qriocity遭到黑客攻擊,服務中斷超過一周,并導致7700萬個注冊賬戶的用戶信息遭到盜取.

面對上述爆出的事件足見云平臺的安全性還需要進一步完善,而數(shù)據(jù)庫作為系統(tǒng)重要數(shù)據(jù)的存儲和處理核心,是企業(yè)的核心信息價值.因此對于云環(huán)境下的數(shù)據(jù)和數(shù)據(jù)庫的安全保證尤為重要.下文將針對云環(huán)境下數(shù)據(jù)庫安全給出一些意見,力求能幫助云廠商守護好用戶數(shù)據(jù)的安全.

對于云上數(shù)據(jù)庫的安全技術安華金和數(shù)據(jù)庫安全專家認為主要可以從以下四個方向考慮:

1.數(shù)據(jù)庫訪問控制

訪問控制措施是云環(huán)境下對數(shù)據(jù)進行保護的最關鍵方式,它是維護系統(tǒng)安全、保護數(shù)據(jù)的重要手段.在數(shù)據(jù)庫領域對于數(shù)據(jù)的訪問控制主要需要考慮以下兩類用戶:

(1)普通用戶權限控制(也就是租用云上數(shù)據(jù)庫的用戶):根據(jù)客戶不同的業(yè)務需求,把數(shù)據(jù)庫劃分為不同的區(qū)域,不同的區(qū)域租戶的訪問賦予不同權限.根據(jù)權限的設置控制用戶和用戶組可以訪問哪些數(shù)據(jù),為了便于管理可以把用戶分組,在組中對用戶進行合理授權.例如分為開發(fā)組、測試組、運維組等等.

(2)管理員用戶權限控制(云服務的工作人員):對數(shù)據(jù)庫管理員的數(shù)據(jù)訪問權限控制,數(shù)據(jù)庫管理員的主要職責是負責數(shù)據(jù)庫系統(tǒng)的正常運行,而并非需要有權限查看或者修改所有數(shù)據(jù).因此需要限制數(shù)據(jù)庫管理員對企業(yè)核心敏感數(shù)據(jù)的訪問.對于某些無法規(guī)避掉的訪問也要進行關鍵字段的脫敏處理,防止客戶的信息被云服務廠商內部人員盜取.

具體來說數(shù)據(jù)庫系統(tǒng)安全訪問控制技術主要分為三類:自主訪問控制DAC (DiscretionaryAccess Control)、強制訪問控制MAC (Mandatory Access Control)和基于角色的訪問控制 RBAC (Role-Based Access Control).結合以上兩種用戶的分類,建議采用基于角色的訪問控制技術.把角色定義為一組用戶和一組權限的集合,每個用戶可以被授予多個角色.根據(jù)用戶提交的需求云服務商隨時改變用戶所屬的角色,角色被激活后該用戶就具備了這個角色所包含的所有權限.采用角色訪問控制技術可以簡化對權限的管理難度,并且在激活用戶當前所屬角色的過程中可以避免用戶擁有過量的權限,防止用戶有意或無意的越權操作對其他用戶或這個數(shù)據(jù)庫造成安全威脅.

2.數(shù)據(jù)庫加密技術

數(shù)據(jù)庫在云環(huán)境下同樣存在安全風險,如果黑客通過一定的途徑將數(shù)據(jù)庫文件復制后,在其它環(huán)境對數(shù)據(jù)庫進行恢復,從而獲取整個數(shù)據(jù)庫的數(shù)據(jù),這會對組織造成難以估算的損失.因此,非常有必要對數(shù)據(jù)庫中的核心數(shù)據(jù)進行加密,目前針對數(shù)據(jù)庫系統(tǒng)的加密技術,基于三個不同的層次來實現(xiàn),這三個層次分別是磁盤層、DBMS外層和DBMS內核層.

磁盤層數(shù)據(jù)加密:這種數(shù)據(jù)加密方式是一種防止盜取磁盤,破解磁盤獲取敏感數(shù)據(jù)的有效解決方案,但對云并不合適.云數(shù)據(jù)安全問題多出現(xiàn)于應用層和網(wǎng)絡層.這種方案磁盤雖然加密了,但操作系統(tǒng)、數(shù)據(jù)庫、應用層等依舊是明文形式.操作系統(tǒng)、數(shù)據(jù)庫、應用層等被入侵可能數(shù)據(jù)會以明文形式被盜取.同時這種整盤加密的方式也會嚴重損耗性能,據(jù)某采用該種方式的云服務廠商說此加密會降低大約20%的效率.

DBMS外層數(shù)據(jù)加密:這種加密方式是將數(shù)據(jù)加/解密系統(tǒng)做成客戶端到數(shù)據(jù)庫之間的代理.客戶端把原語句發(fā)送到客戶端加密器,加密器進行加密后發(fā)送到服務器端的解密器,解密后傳送給數(shù)據(jù)庫.這種加密方式主要是針對網(wǎng)絡中通訊信息的加密,其實對數(shù)據(jù)庫內存儲的敏感信息沒有防護作用.如果黑客是針對網(wǎng)絡數(shù)據(jù)流進行攔截,則可以有效防護,但對于數(shù)據(jù)庫中的數(shù)據(jù)無法起到有效防護作用,一般多是和磁盤層數(shù)據(jù)庫加密方式一起使用.由于加解密并不在數(shù)據(jù)庫端進行,所以這種方式不會加重數(shù)據(jù)庫服務器的負載并可直接實現(xiàn)網(wǎng)上傳輸加密,缺點是加密功能會受一些限制.

DBMS內核層數(shù)據(jù)加密:這種加密方式由數(shù)據(jù)庫服務器引擎實現(xiàn)對數(shù)據(jù)的加密和解密工作,目前大多數(shù)主流的數(shù)據(jù)庫系統(tǒng)都具備了這種數(shù)據(jù)加密的功能.應用程序可以使用相同旳語法向應用程序表中插入數(shù)據(jù),數(shù)據(jù)庫內核在向磁盤寫入信息之前會自動加密數(shù)據(jù).隨后的查詢操作會以透明方式解密數(shù)據(jù),因此應用程序仍可以正常工作.可見,這種加密方式具有加密功能強、無需修改程序的優(yōu)點,但加重了數(shù)據(jù)庫服務器的負載,因此建議用戶僅加密敏感的數(shù)據(jù)列而不是所有數(shù)據(jù),比如信用卡號、身份證號碼等.這種加密方式可以從根本上杜絕敏感數(shù)據(jù)外泄.

安華金和數(shù)據(jù)庫保險箱在這種數(shù)據(jù)庫加密方式有著兩項專利技術:

專利1. 《一種基于多級視圖和觸發(fā)器的數(shù)據(jù)庫透明加解密方法》(專利號 201010169778.7)

該專利技術使得DBCoffer打破傳統(tǒng)數(shù)據(jù)庫加密產品應用不透明的瓶頸,確保應用不需要改造.

專利2. 《一種無偏序關系的數(shù)據(jù)庫密文索引方法》(專利號 201010169784.2)

該專利技術使得DBCoffer突破電信等高端應用的性能瓶頸,確保億級數(shù)據(jù)規(guī)模下,性能幾乎不下降.

3.數(shù)據(jù)庫防火墻技術

云上的虛擬數(shù)據(jù)庫和實體機上的數(shù)據(jù)庫同樣都存在數(shù)據(jù)庫漏洞,所以及時的更新數(shù)據(jù)庫漏洞補丁也是對于數(shù)據(jù)庫更有利的安全保障.但在實際操作中云上千百萬個數(shù)據(jù)庫短期進行升級明顯是不太現(xiàn)實的方案.安華金和數(shù)據(jù)庫安全專家建議在云上的數(shù)據(jù)庫前部署具有vpatch功能的數(shù)據(jù)庫防火墻.

VPatch是一種虛擬補丁技術,安華金和數(shù)據(jù)庫防火墻內置了數(shù)據(jù)庫虛擬補丁技術,這種技術主要是針對數(shù)據(jù)庫漏洞進行防護.防止黑客利用已知的數(shù)據(jù)庫漏洞,對數(shù)據(jù)庫進行攻擊,有效的解決了云上數(shù)據(jù)庫升級不及時可能給用戶的數(shù)據(jù)庫帶來的潛在威脅.

4.數(shù)據(jù)庫審計技術

數(shù)據(jù)庫安全審計是對數(shù)據(jù)的訪問操作行為做一個完整的記錄,以備違反安全規(guī)則的事件發(fā)生后,能有效的追查責任和分析原因,必要時還可以為懲罰惡意攻擊行為提供必要的證據(jù).另一方面,實施審計準則之后,審計線索會指出特定人員沒有違反規(guī)程,也沒有破壞性行為,對合法用戶是一種良好的保護.

目前安華金和的數(shù)據(jù)庫審計產品已經達到第二代數(shù)據(jù)庫審計產品標準.同時數(shù)據(jù)庫安全審計產品可以采用旁路的部署模式,在審計的同時不會對數(shù)據(jù)庫本身造成額外負擔,達到對數(shù)據(jù)性能0影響.

相信云服務廠商如果能把上面4種安全手段采用到用戶的云數(shù)據(jù)庫上,將能提高云數(shù)據(jù)庫的安全性.云服務雖然帶來了更低的價位、更好的效率、更佳的靈活性,但安全性很可能是制約云服務廠商更進一步發(fā)展的阻礙.解決云上的安全問題將更有益于云廠商自身的發(fā)展,同時也是一種對用戶負責的表現(xiàn).

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。