中安威士数据库安全加固方案之公有云解决方案.docx

中安威士数据库安全加固方案之公有云解决方案背景当前，云计算成为流行的IT系统解决方案。它的可扩展、可伸缩的弹性计算能力，极大的减小了IT建设和管理的难度。并且其以租代购的方式极大的减少了投资。公有云是最重要的一种云计算方式，可以为全球的用户建立起应用系统。但是在公有云中，应用系统和支撑其运转的数据库都迁移到云端，数据的安全是十分重要的问题。越来越多的云端数据泄漏事件，比如最近的部署于云端的某游戏160多万用户数据的泄漏，给云中数据库的安全拉响警钟。相比于传统计算环境，云计算的开放性和虚拟化的特性，传统的数据安全方案变得复杂甚至无能为力，给云端的数据库的防护带来了更大的挑战。中安威士简介中安威士是北京中安比特科技有限公司专属品牌和注册商标。中安比特专注于数据安全管理领域，经过十余年技术积累，已拥有国内最全面的数据库安全加固产品线——中安威士数据库安全加固系列产品，包括数据库审计、数据库防火墙、数据库加密、数据库脱敏等，能帮助客户降低数据安全风险并轻松满足合规要求。中安威士面向云计算的数据安全管理方案可为云计算和大数据环境中的数据资产提供全面的安全保护。技术方案传统技术方案的限制为解决数据的安全管理，中安威士提供数据库审计、防火墙、透明加密、脱敏等产品，形成数据在其生命周期中的产生、使用、存储、备份等阶段的安全解决方案。其中，对数据库系统部署数据库审计和防火墙，实现对数据的访问状况的监控和访问控制，是最基本的安全需求。在传统网络环境中，通常采用旁路镜像、直连、OS代理等方式实现。在公有云环境中，仍然有必要部署数据库安全加固产品，对数据生命周期中的各个阶段的安全加固。并且部署数据库审计和防火墙仍然是最基础和最必要的防护手段。在公有云环境中，数据库审计和防火墙的旁路镜像、直连、OS代理等实现方式理论上都是可行的，但是在实际的场景中会受到具有各种限制。1）镜像方式。在传统环境中，在交换机上配置端口镜像，将数据库访问流量镜像到数据库审计设备即可。然而此种部署方式需要云计算平台通过SDN定义出网络镜像，使得实施变得复杂，给云计算环境带来管理工作量的增大。而且租户并不能接受数据库的通信流量被云平台旁路。2）直连方式。在传统环境中，通过代理或者透明网桥方式，将数据库审计或者防火墙部署于数据库之前，从而监控或者过滤到数据库的访问。同样的，这种部署方式需要云计算平台通过SDN定义出网络直连方式，使得实施变得复杂。而且，主流的云主机都只有一个虚拟网络接口，而这种部署方式至少需要两个接口。这就需要云平台对虚拟机做出调整，从而给实施带来进一步的困难。3）OS代理方式。这种方式通过在数据库服务所在的OS上安装代理程序，将对数据库的访问镜像到审计服务器，或者对访问进行过滤。在公有云环境下，大多数的云服务厂商对外提供的RDS数据库服务是以SQL访问接口形式体现的，并不会给租户提供数据库服务器OS操作的权限，更不允许给RDS服务器上安装任何软件之类的。这就需要云平台对虚拟机做出调整，从而给实施带来进一步的困难。并且，以上3种方式，都不能实现对数据库访问的完整监控。比如通过虚拟机逃逸，或者攻击者直接登录数据库服务器OS并直接对数据库进行的操作等，都不能被记录或者过滤。实现方案为实现云端数据库的审计和细粒度访问控制，中安威士厚积薄发，在多年积累基础上，推出了适应于云计算环境的产品和解决方案。针对具体环境的不同，有两种具体的实现方案。方案一：LOCAL探针，实现数据库审计。利用数据库自身的日志记录机制，使用SQL语句实现探针，获取并记录对数据库的一切访问，发送到独立运行的数据库审计服务器中。如下图所示。InternetAPP/WEB服务器LOCAL探针中安威士审计SQL该方案的优势如下：没有任何侵入性：完全基于数据库的机制，使用SQL接口实现，对系统不做任何侵入式修改；不会丢包：任何峰值的访问，都能够完整记录；不会漏审：从任何方式访问数据库，都会被记录；实施简单：不需要云供应商做任何OS级和软件级的改动，甚至可以独立于云供应商，租户购买云主机后，自行部署数据库审计系统；弹性审计：根据实际的审计工作量，弹性的调整审计服务器的处理能力；高安全性：用户自主选择的第三方的安全产品，云平台运维人员也不能操作和控制审计内容。方案二：单臂代理，实现数据库审计和数据库防火墙。中安威士数据库审计/防火墙运行于独立的虚拟主机，APP/WEB服务器对数据库的访问指向中安威士主机，并且修改数据库配置，只响应来自中安威士主机的请求。中安威士主机在转发数据库访问通信流量的同时，对访问情况进行记录或者过滤。如下图所示。中安威士审计/防火墙Internet数据库APP/WEB服务器192.168.1.100SQL该方案的优势如下：没有任何侵入性：完全独立于数据库服务器和APP/WEB服务器，对系统不