8月24日阿里云數(shù)據(jù)庫(kù)技術(shù)峰會(huì)上狐胎,安華金和云安全事業(yè)部專家肖志昱帶來(lái)云數(shù)據(jù)安全的思考。本文主要從安全事件實(shí)例開(kāi)始談起,進(jìn)而分析了我們需要什么樣的安全皱坛,最后分享了如何才能做到安全。
數(shù)據(jù)安全豆巨,緣何雷聲大雨點(diǎn)小
云數(shù)據(jù)安全的聲音很多剩辟,各種消息層出不窮,但從市場(chǎng)的反響來(lái)看往扔,遠(yuǎn)遠(yuǎn)沒(méi)有想象的那么熱鬧贩猎。在我們安全圈廠商流行一句話:說(shuō)時(shí)---重要;做時(shí)---次要萍膛;忙時(shí)---不要吭服。出事時(shí)---“哎呦,我要蝗罗!我還要Mё亍!串塑!”
安全事件
無(wú)論是個(gè)人信息泄露還是企業(yè)等其他數(shù)據(jù)泄露沼琉,都不僅僅是損失錢(qián),甚至危及生命財(cái)產(chǎn)安全桩匪。那么打瘪,為什么安全這么重要,但市場(chǎng)反響不特別熱烈呢?主要有以下兩種原因:
1.僥幸心理闺骚。我的數(shù)據(jù)沒(méi)多少桃移,應(yīng)該沒(méi)人偷;網(wǎng)上那么多應(yīng)用葛碧,那么多數(shù)據(jù)借杰,哪會(huì)輪到我;公司數(shù)據(jù)丟了就丟了进泼,與我有啥關(guān)系蔗衡。
2.茫然心理。我有多少個(gè)數(shù)據(jù)庫(kù)?有多少敏感數(shù)據(jù)乳绕?我的數(shù)據(jù)值多少錢(qián)绞惦?數(shù)據(jù)如果泄露了會(huì)有多大危害?
2017年6月1日洋措,網(wǎng)絡(luò)安全法發(fā)布了济蝉,作為網(wǎng)絡(luò)安全的基本法,它讓網(wǎng)絡(luò)安全工作 有
法可依 菠发,同時(shí)也要求人們 有法必依 王滤。對(duì)企業(yè)來(lái)講,可能面臨罰款滓鸠、停業(yè)整頓和吊銷執(zhí)照雁乡,對(duì)個(gè)人來(lái)講,也可能面臨罰款糜俗、拘役和從業(yè)資格限制踱稍。
我們需要什么樣的安全
數(shù)據(jù)安全面臨的問(wèn)題概括為兩點(diǎn),一是防外賊悠抹,一是防內(nèi)鬼珠月。外賊包括SQL注入、拖庫(kù)楔敌,內(nèi)鬼包括內(nèi)部運(yùn)維人員啤挎、第三方開(kāi)發(fā)人員。從實(shí)際了解情況來(lái)看梁丘,內(nèi)鬼的危害更大侵浸。
有了WAF 旺韭、 抗DDos 氛谜,為什么還需要防外賊?
傳統(tǒng)安全方案缺陷有以下幾點(diǎn):
1. 網(wǎng)絡(luò)防火墻產(chǎn)品不對(duì)數(shù)據(jù)庫(kù)通訊協(xié)議進(jìn)行控制
2. IPS/IDS/網(wǎng)絡(luò)審計(jì)并不能防范那些看起來(lái)合法的數(shù)據(jù)訪問(wèn)
3. WAF系統(tǒng)僅針對(duì)HTTP協(xié)議進(jìn)行檢測(cè)控制区端,繞過(guò)WAF有150多種方法
4. 核心數(shù)據(jù)庫(kù)防護(hù)措施被忽略值漫。
大多數(shù)系統(tǒng)前端層面的安全保護(hù)措施并無(wú)法覆蓋所有的安全攻擊和竊取——必須引入數(shù)據(jù)層面的保護(hù)作為最后一道安全防線。
我們?yōu)槭裁匆纼?nèi)鬼呢织盼?
如果DBA刪庫(kù)跑路杨何,會(huì)導(dǎo)致公司損失慘重酱塔。
對(duì)我們來(lái)說(shuō),數(shù)據(jù)庫(kù)運(yùn)維面臨很多安全隱患危虱。比如:
數(shù)據(jù)庫(kù)口令暴露:運(yùn)維羊娃、開(kāi)發(fā)知曉數(shù)據(jù)庫(kù)口令;任意客戶端登錄埃跷;無(wú)統(tǒng)一訪問(wèn)出入口
存在高危操作:隨意操作數(shù)據(jù)庫(kù)對(duì)象蕊玷;惡意操作行為;誤操作弥雹、高危操作
用戶身份不清:公用設(shè)備垃帅、公用賬戶
怎樣去解決呢?安全運(yùn)維需要規(guī)范運(yùn)維行為剪勿,具體包括三點(diǎn):
1.身份識(shí)別:解決口令外泄贸诚,區(qū)分人員身份
2.訪問(wèn)審批:預(yù)防高危操作,避免越權(quán)操作
3.流程管理:規(guī)范流程管理厕吉,有效追責(zé)定責(zé)
怎么做才安全
雖然云計(jì)算的概念出現(xiàn)了十多年酱固,云計(jì)算的發(fā)展也經(jīng)過(guò)了幾年,但是云應(yīng)用的時(shí)間并不長(zhǎng)头朱,大家對(duì)云的理解不太一樣媒怯,云的高學(xué)習(xí)曲線讓一般用戶對(duì)安全建設(shè)無(wú)從著手。
這是一個(gè)真實(shí)的數(shù)據(jù)梳理案例(某大型行業(yè)云典型數(shù)據(jù)梳理成果)髓窜,實(shí)際梳理結(jié)果比客戶認(rèn)知結(jié)果多很多扇苞,這存在著極大的安全威脅。
基于以上情況寄纵,我們提出了數(shù)據(jù)安全治理框架的理念鳖敷。首先幫助用戶進(jìn)行數(shù)據(jù)安全狀況的摸底,幫助用戶梳理敏感數(shù)據(jù)程拭,了解數(shù)據(jù)安全現(xiàn)狀定踱;根據(jù)梳理結(jié)果和敏感數(shù)據(jù)等級(jí),有針對(duì)性的實(shí)施合理的數(shù)據(jù)保護(hù)恃鞋;同時(shí)做好防護(hù)過(guò)程的監(jiān)控崖媚,稽核與審計(jì),確保數(shù)據(jù)保護(hù)效果恤浪,進(jìn)一步優(yōu)化數(shù)據(jù)保護(hù)措施畅哑,及時(shí)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題水由。
目前荠呐,在云上的數(shù)據(jù)安全治理產(chǎn)品線如圖所示。
梳理產(chǎn)品和數(shù)據(jù)庫(kù)掃描產(chǎn)品是前期狀況摸底,可以幫助用戶了解到底有多少個(gè)數(shù)據(jù)庫(kù)泥张,多少敏感數(shù)據(jù)呵恢,核心資產(chǎn)有多少;漏洞掃描能看到現(xiàn)在數(shù)據(jù)庫(kù)到底有多少風(fēng)險(xiǎn)媚创,什么樣的風(fēng)險(xiǎn)渗钉, 中間的產(chǎn)品分別針對(duì)性的進(jìn)行數(shù)據(jù)防護(hù),比如防黑客攻擊钞钙、數(shù)據(jù)泄露追蹤溯源等晌姚;數(shù)據(jù)庫(kù)安全審計(jì)是對(duì)所有數(shù)據(jù)庫(kù)訪問(wèn)行為的監(jiān)控。
圖中可以看出云數(shù)據(jù)安全合規(guī)性實(shí)踐與網(wǎng)絡(luò)安全法的契合點(diǎn)歇竟。
我們所有產(chǎn)品都已經(jīng)適配多云環(huán)境挥唠,目前產(chǎn)品已經(jīng)在 阿里云、騰訊云焕议、華為云宝磨、青云、Azure盅安、百度唤锉、AWS陸續(xù)上架。云上典型用戶包括人人聚財(cái)别瞭、萬(wàn)盈金融窿祥、利民網(wǎng)等多個(gè)企業(yè)。
我們的理念是:不能幫用戶解決實(shí)際問(wèn)題的方案蝙寨,就是耍流氓晒衩!我們的口號(hào)是拼產(chǎn)品、拼服務(wù)墙歪,做中國(guó)最好的云數(shù)據(jù)安全提供商听系。
