开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:03-数据安全-ACA-01-数据安全中心_数据审计_数据脱敏_数据库防火墙(一)】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18874
03-数据安全-ACA-01-数据安全中心_数据审计_数据脱敏_数据库防火墙(一)
内容介绍:
一、数据安全中心概述
二、数据安全中心-核心场景
三、数据库审计
四、数据脱敏
五、数据库防火墙
一、数据安全中心概述
第一小节,数据安全中心,数据安全中心是帮助我们来实现跟等保有关,像安全审计以及跟个人信息保护这些合规要求,为客户来提供向敏感数据的自动识别,分级分类、大数据的安全审计,跟数据脱敏等等这样的安全能力,通过智能异常检测的这样的行为这样的功能来形成一体化的云上全域数据防泄漏与安全的解决方案,满足数据安全法当中提出的有关要求。
我们可以看到这款产品主要就是针对敏感数据,什么是敏感数据?敏感数据从常规意义上来理解就是像客户的资料、技术的一些资料或者我们个人的一些信息,用户的信息等,这些高价值数据就是我们常规意义所理解的敏感数据,这些敏感数据往往都会存放在我们的核心资产里,以不同的形式比如文件或表格的形式,数据库里的数据的形式或者大数据里的数据的形式,会放在我们不同的资产里,敏感数据的泄露会给我们带来很严重的经济和品牌的损失,所以数据安全中心这个产品可以根据我们预先定义好的敏感数据的这些关键字段来扫描我们在阿里云的这些核心资产里面的相关数据。像 OSS、OTS,或者像数据库 RDS、PolarDB 等,甚至是像大数据 Max computer ,或者是我们自建的数据库里面的数据,都可以通过我们预先设置好的敏感数据规则去进行智能的探测来判断是否属于敏感的数据。同时我们这个设置是不需要很复杂的,它是即开即用支持的文件格式,数据的格式是很全面的,功能是很强大的。
另外一点需要强调的是,数据安全中心对于数据仅仅是进行敏感数据的分级和打标,检测方面的工作,它并不会真正的把数据再去保存一遍。
二、数据安全中心-核心场景
数据安全中心的应用场景,第一个是合规的刚需,因为这个产品本来就是为了帮助我们满足占等保二级、等保三级里面有关数据安全的合规要求,所以在有关数据审计和个人信息保护相关的这些维度里,会符合等保里面相关的检查项,并且去满足数据安全法相关的要求。
第二个场景是云端防泄漏场景,因为我们数据在上云的过程当中,如何保障数据的安全,防止泄露,这个是非常重要的问题。数据安全中心依托于云原生的能力,通过内置的智能算法对敏感数据和高风险的活动,比如对数据的异常访问,或者发现一些数据泄露的风险,这些是能够有效进行识别,并且能够解决我们数据的安全问题,只有这样才能让客户把更多的业户和数据放上阿里云。
第三个场景是全域的数据防护,即数据安全中心提供全方位的以数据为中心的数据审计和保护的机制,在一个平台里支持在阿里云甚至是自建数据库里面的各种各样的数据。
三、数据库审计
我们再学习数据库审计这个产品,数据库审计是一款专业的、主动并且能够实时监控数据库安全的这样的审计产品。既可以用于阿里云自身提供的 RDS 这样的云数据库,也可以在 ECS 自建库里面或者 no SQL 数据库去进行审计,数据库审计服务把数据库的监控技术、审计技术跟公共云的环境相互结合在一起,针对数据库的 SQL 注入、风险操作等这些数据库行为来去进行记录和告警,这样能对我们的核心数据的安全防护形成这样的保护机制,为我们的云端的数据库来提供完善的包含安全诊断、维护跟管理的功能。
我们通过下面的这个图示和条纹也可以看出,数据库审计这个产品就是为了帮助我们去进行满足合规要求的,因为在一些行业里,或者是在一些部委,像银监会或者是像工信部、公安部等,都指出需要对信息安全去进行审计,包括我们的网络安全法里面也有相关的条文要求 要去记录像网络运行的状态、网络安全的事件等相关的日志留存不少于 185 天,这个是等保里面的要求,网络安全法里的要求,所以数据库审计这个产品主要是为了去满足合规要求的。
数据库审计它主要审什么呢?
如何来确保,如何来审计我们数据库的相关的行为,来确保它能够符合等级保护相关的要求。主要是从行为的角度,我们数据库相关的行为角度来进行审计,使得审计的内容主要覆盖这四个方面的维度。第一个是数据的异动,就是数据有没有发生阈值变更,比如重要的数据范围发生的比较明显的改动或者流量异常,就是数据库的会话连接突然间变多,这时候去记录数据连接的来源、目标、会话时间等维度,帮助我们去及时的发现这种场景。那么第三个是行为异常,这是比较重要的,去发现,比如有没有出现这种从来没有出现过的IP,或者是从来没有出现过的用户,或者是从来没有连接过的数据库的这个客户端工具等。
那么通过各种维度,包括说这个高低频次,或者是登录失败、失口有没有失败等这样的各种维度来去识别这个行为是不是正常的,那么识别出一些非正常的行为,就是所谓的攻击事件,它会识别出来并且进行告警,常见的比如像 SQL 注入,这个时候就等于发现的异常行为,它就会立即弹出告警。像类似的像数据如果判定被窃取了,或者被暴力破解了,都会立即的迅速的来进行告警。 所以简单来汇总的来总结,就是税库审计,它能够去覆盖我们的审计的力度是非常的细,包括终端信息、使用工具等各种的信息记录得很细。第二个我们进行安全告警的行为是很迅速的,并且是很全面的,同时它还提供了相关的性能监控,性能诊断的功能,可以持续的去监控分析我们的业务 circle 执行的情况,对于一些像高耗时、性能差的 SQL 来进行统一分析,提供了非常详尽的报表来协助我们对业务的访问进行优化,这是税户审计这个产品提供的核心功能。