斗破苍穹续集,重生之毒妃梅果小说,盗墓笔记txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

中安威士數(shù)據(jù)庫安全加固方案之公有云解決方案

一、背景

當前，云計算成為流行的IT系統(tǒng)解決方案。它的可擴展、可伸縮的彈性計算能力，極大的減小了IT建設和管理的難度。并且其以租代購的方式極大的減少了投資。公有云是最重要的一種云計算方式，可以為全球的用戶建立起應用系統(tǒng)。但是在公有云中，應用系統(tǒng)和支撐其運轉的數(shù)據(jù)庫都遷移到云端，數(shù)據(jù)的安全是十分重要的問題。越來越多的云端數(shù)據(jù)泄漏事件，比如最近的部署于云端的某游戲160多萬用戶數(shù)據(jù)的泄漏，給云中數(shù)據(jù)庫的安全拉響警鐘。相比于傳統(tǒng)計算環(huán)境，云計算的開放性和虛擬化的特性，傳統(tǒng)的數(shù)據(jù)安全方案變得復雜甚至無能為力，給云端的數(shù)據(jù)庫的防護帶來了更大的挑戰(zhàn)。

二、中安威士簡介

中安威士是北京中安比特科技有限公司專屬品牌和注冊商標。中安比特專注于數(shù)據(jù)安全管理領域，經(jīng)過十余年技術積累，已擁有國內最全面的數(shù)據(jù)庫安全加固產品線——中安威士數(shù)據(jù)庫安全加固系列產品，包括數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏等，能幫助客戶降低數(shù)據(jù)安全風險并輕松滿足合規(guī)要求。中安威士面向云計算的數(shù)據(jù)安全管理方案可為云計算和大數(shù)據(jù)環(huán)境中的數(shù)據(jù)資產提供全面的安全保護。

三、技術方案

1、傳統(tǒng)技術方案的限制

為解決數(shù)據(jù)的安全管理，中安威士提供數(shù)據(jù)庫審計、防火墻、透明加密、脫敏等產品，形成數(shù)據(jù)在其生命周期中的產生、使用、存儲、備份等階段的安全解決方案。其中，對數(shù)據(jù)庫系統(tǒng)部署數(shù)據(jù)庫審計和防火墻，實現(xiàn)對數(shù)據(jù)的訪問狀況的監(jiān)控和訪問控制，是最基本的安全需求。在傳統(tǒng)網(wǎng)絡環(huán)境中，通常采用旁路鏡像、直連、OS代理等方式實現(xiàn)。在公有云環(huán)境中，仍然有必要部署數(shù)據(jù)庫安全加固產品，對數(shù)據(jù)生命周期中的各個階段的安全加固。并且部署數(shù)據(jù)庫審計和防火墻仍然是最基礎和最必要的防護手段。在公有云環(huán)境中，數(shù)據(jù)庫審計和防火墻的旁路鏡像、直連、OS代理等實現(xiàn)方式理論上都是可行的，但是在實際的場景中會受到具有各種限制。

1）鏡像方式。在傳統(tǒng)環(huán)境中，在交換機上配置端口鏡像，將數(shù)據(jù)庫訪問流量鏡像到數(shù)據(jù)庫審計設備即可。然而此種部署方式需要云計算平臺通過SDN定義出網(wǎng)絡鏡像，使得實施變得復雜，給云計算環(huán)境帶來管理工作量的增大。而且租戶并不能接受數(shù)據(jù)庫的通信流量被云平臺旁路。

2）直連方式。在傳統(tǒng)環(huán)境中，通過代理或者透明網(wǎng)橋方式，將數(shù)據(jù)庫審計或者防火墻部署于數(shù)據(jù)庫之前，從而監(jiān)控或者過濾到數(shù)據(jù)庫的訪問。同樣的，這種部署方式需要云計算平臺通過SDN定義出網(wǎng)絡直連方式，使得實施變得復雜。而且，主流的云主機都只有一個虛擬網(wǎng)絡接口，而這種部署方式至少需要兩個接口。這就需要云平臺對虛擬機做出調整，從而給實施帶來進一步的困難。

3）OS代理方式。這種方式通過在數(shù)據(jù)庫服務所在的OS上安裝代理程序，將對數(shù)據(jù)庫的訪問鏡像到審計服務器，或者對訪問進行過濾。在公有云環(huán)境下，大多數(shù)的云服務廠商對外提供的RDS數(shù)據(jù)庫服務是以SQL訪問接口形式體現(xiàn)的，并不會給租戶提供數(shù)據(jù)庫服務器OS操作的權限，更不允許給RDS服務器上安裝任何軟件之類的。這就需要云平臺對虛擬機做出調整，從而給實施帶來進一步的困難。

并且，以上3種方式，都不能實現(xiàn)對數(shù)據(jù)庫訪問的完整監(jiān)控。比如通過虛擬機逃逸，或者攻擊者直接登錄數(shù)據(jù)庫服務器OS并直接對數(shù)據(jù)庫進行的操作等，都不能被記錄或者過濾。

2、實現(xiàn)方案

為實現(xiàn)云端數(shù)據(jù)庫的審計和細粒度訪問控制，中安威士厚積薄發(fā)，在多年積累基礎上，推出了適應于云計算環(huán)境的產品和解決方案。針對具體環(huán)境的不同，有兩種具體的實現(xiàn)方案。

方案一：LOCAL探針，實現(xiàn)數(shù)據(jù)庫審計。利用數(shù)據(jù)庫自身的日志記錄機制，使用SQL語句實現(xiàn)探針，獲取并記錄對數(shù)據(jù)庫的一切訪問，發(fā)送到獨立運行的數(shù)據(jù)庫審計服務器中。如下圖所示。

該方案的優(yōu)勢如下：

1) 沒有任何侵入性：完全基于數(shù)據(jù)庫的機制，使用SQL接口實現(xiàn)，對系統(tǒng)不做任何侵入式修改；

2) 不會丟包：任何峰值的訪問，都能夠完整記錄；

3) 不會漏審：從任何方式訪問數(shù)據(jù)庫，都會被記錄；

4) 實施簡單：不需要云供應商做任何OS級和軟件級的改動，甚至可以獨立于云供應商，租戶購買云主機后，自行部署數(shù)據(jù)庫審計系統(tǒng)；

5) 彈性審計：根據(jù)實際的審計工作量，彈性的調整審計服務器的處理能力；

6) 高安全性：用戶自主選擇的第三方的安全產品，云平臺運維人員也不能操作和控制審計內容。

方案二：單臂代理，實現(xiàn)數(shù)據(jù)庫審計和數(shù)據(jù)庫防火墻。中安威士數(shù)據(jù)庫審計/防火墻運行于獨立的虛擬主機，APP/WEB服務器對數(shù)據(jù)庫的訪問指向中安威士主機，并且修改數(shù)據(jù)庫配置，只響應來自中安威士主機的請求。中安威士主機在轉發(fā)數(shù)據(jù)庫訪問通信流量的同時，對訪問情況進行記錄或者過濾。如下圖所示。

該方案的優(yōu)勢如下：

1) 沒有任何侵入性：完全獨立于數(shù)據(jù)庫服務器和APP/WEB服務器，對系統(tǒng)不做任何侵入式修改；

2) 不會丟包：任何峰值的訪問，都能夠完整記錄；

3) 實施簡單：不需要云供應商做任何OS級和軟件級的改動，甚至可以獨立于云供應商，租戶購買云主機后，自行部署數(shù)據(jù)庫審計/防火墻系統(tǒng)；

4) 彈性審計：根據(jù)實際的審計工作量，彈性的調整審計/防火墻服務器的處理能力；

5) 高安全性：用戶自主選擇的第三方的安全產品，云平臺運維人員也不能操作和控制審計內容。

3、測試結果

我們將如上方案部署于多個公有云系統(tǒng)，并進行了長時間的壓力測試和穩(wěn)定性測試，結論如下：

方案一結論：

1) 在通常情況下，數(shù)據(jù)庫服務壓力不大時，審計系統(tǒng)對公有云RDB服務幾乎沒有性能影響；

2) 在數(shù)據(jù)庫服務壓力比較大時，審計系統(tǒng)對RDB性能稍有影響；

3) 在極端情況下，當數(shù)據(jù)庫服務壓力持續(xù)100%時，僅僅降低原來性能的10%左右；

4) 在超高性能主機環(huán)境下，當數(shù)據(jù)庫服務壓力持續(xù)100%時，審計系統(tǒng)RDB性能影響不超過1%；

5) 當用戶數(shù)據(jù)庫服務壓力較大時，增加數(shù)據(jù)庫服務器性能，基本可以消除審計系統(tǒng)對公有云數(shù)據(jù)庫服務的性能影響；

6) 經(jīng)過長時間滿負載壓力測試，而使用本方案完全消除了傳統(tǒng)部署方式中難以避免的丟包現(xiàn)象，100%的獲取數(shù)據(jù)庫操作，且運行穩(wěn)定。

方案二結論：

1) 當中安威士數(shù)據(jù)庫審計/防火墻未滿負荷運行時，對訪問的延遲在微秒級，對業(yè)務處理吞吐量的影響幾乎為零；

2) 經(jīng)過長時間高壓力測試，本方案沒有丟包現(xiàn)象，且運行穩(wěn)定。

四、方案優(yōu)勢

中安威士云端數(shù)據(jù)庫安全審計和防火墻方案，基于十余年技術積累，為云端數(shù)據(jù)提供必要的和彈性的安全管理能力。除了上文所述優(yōu)勢，本方案還具有如下突出優(yōu)勢：

快：業(yè)界最高的處理性能。

?超高的連續(xù)處理、入庫能力

?超高的日志檢索速度，支持排除查詢，支持任意關鍵字組合查詢

?超高的日志存儲能力

智：智能化自動學習，基本實現(xiàn)零配置。

穩(wěn)：十余年技術積累，國內最早專利技術，上千實際案例，產品運行穩(wěn)定。

全：全面的功能和全面的審計。

?不丟包：高峰流量不丟包，完全審計

?不漏審：全方位的審計，不漏掉從任何途徑對數(shù)據(jù)庫的訪問

?全功能：具有敏感數(shù)據(jù)發(fā)現(xiàn)、性能審計、漏洞掃描和風險評估

?能夠部署于任何環(huán)境

美：美觀的報表和界面。提供大量報告模板，包括各種審計報告、安全趨勢等。可實現(xiàn)報表格式和模板的自定義。

細：細粒度的審計和訪問控制，達到字段、語句級。

網(wǎng)站題目：中安威士數(shù)據(jù)庫安全加固方案之公有云解決方案
本文網(wǎng)址：http://m.fisionsoft.com.cn/article/cdgisss.html

新聞中心

其他資訊