开发者社区> 云上阿土伯> 正文

云上数据安全,初识数据库审计

简介: 2017年12月12日北京云安全线下沙龙欢迎参加!
+关注继续查看

云环境是一个开放的、多租户的环境,企业在获得便利高效的同时,同样面临着本地数据安全面临的外部SQL注入攻击、拖库,内部安全隐患等风险,并且更加突出。而伴随着网络安全法的出台,及国家信息安全等级保护制度的全面实施,云上用户一方面需要对云平台进行安全防范,一方面考虑多租户之间的安全隔离,因此不得不面对如何保护云上数据安全的问题。

就像所有安防从安装监控开始,用户云上数据安全的认知最初也是从审计开始。根据今年出台的《网络安全法》第二十一条要求,“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;”采用数据库审计,从数据安全层面一方面符合法律法规要求,同时通过数据库审计日志分析,可以精准审计用户来源及行为,针对高危操作报警,降低数据泄密损失,解决保存证据方便后期追责等问题。

云上安全挑战

合规要求不可抵触

国家信息安全等级保护中要求云服务方和云租户应根据职责划分,收集各自控制的部分的审计的数据,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;因此,仅仅依赖云平台的安全措施,是不足以应对等保要求的。

数据泄密事件时有发生

云上一般都是很多用户共同使用一个共享存储区,如果其中有一个用户防护被攻破,很有可能造成整个存储区内的数据泄露,这对于云上用户而言是无法接受的。且考虑到使用云平台人员和环境的复杂性,需要对每个用户的行为进行监控,以发现各种可疑操作,及时进行告警通知;同时,对操作记录进行全面分析,监控自身审计进程,以防止恶意删除。

事后追责证据说话

以某P2P平台为例,在被洗钱的个人或者团伙等不法分子盯上前未做任何准备,直到警察找上门来,才意识到危险已经发生。该P2P平台积极配合警察调查取证工作,但调查开始后,才切身意识到由于平台安全防护方面的缺失,并无任何功能在担任操作行为记录这样的事。只能通过数据库本身的Log日志来取证,难度之大令该P2P平台张目结舌。费了九牛二虎之力,提交了一份信息不完整,毫无价值的证据。

 

解决方案

安华金和云数据库审计基于对数据库精确协议解析能力的掌握,将数据库监控与审计技术与公有云环境相结合,形成对云环境下核心数据的安全防护,以及对云端数据库提供安全诊断、安全维护、安全管理等价值。安华金和云数据库安全审计,对于云平台提供的数据库服务和用户云端自建数据库,均能满足,帮助用户满足合规性要求。

 

1. 帮助用户进行数据安全事件的分析、追查、定责


提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力,成为安全事件后最为可靠的追查依据和来源。

通过SQL行为与业务用户的准确关联,使数据库访问行为有效定位到业务工作人员,可有效追责、定责。


2. 帮助用户监控诊断数据库运行性能


实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度;提供最慢语句、访问量最大语句的分析,帮助运维人员进行性能诊断。


3. 帮助用户发现程序后门,降低数据泄密的损失


系统提供SQL学习和SQL白名单能力,实现对业务系统的SQL建模;通过合法系统行为的建模,使隐藏在软件系统中的后门程序在启动时,提供实时的告警能力,降低数据泄漏损失。


4. 帮助用户提供数据库实时风险告警能力,及时响应数据库攻击

系统提供数据库风险告警能力,对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句(如No where delete)等风险行为的策略制定能力,提供实时告警能力。

方案价值

独立于云平台的第三方身份,全面进行数据库审计


安华金和站独立于各大云平台的第三方视角,关注数据安全,作为独立的专业云数据安全服务商,给用户提供最好的数据安全服务体验。

实现100%准确应用用户关联审计

安华金和云数据库审计通过在WEB服务器上部署JDBC TAP插件的方式实现,连接时自动采集WEB客户端的信息,不会对数据库有任何影响、不影响应用业务逻辑、能够100%的匹配准确,并且能够满足任何并发压力。提升云端数据库安全防御效果。同时为用户解决了自身数据库运维人员或安全管理人员分析能力不足的短板。

维护和提升企业形象和公信力


云端部署实施数据库审计,除了满足等保合规要求,也能确保有效取证,时候追溯,提高企业安全决断公信力,进而提升企业专业形象,避免名誉经济损失;


关于云上安全的话题,安华云安全将于17年12月12日在北京3W咖啡举办线下沙龙活动欢迎各位报名参加:

了解详情:http://www.dbscloud.cn/cloudsecurity.html 


705e1d1e95d6c421c2aaf26dbc7f2395b8f0ec02


 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Linux Mysql数据库安全配置
Linux Mysql数据库安全配置目录: 1.修改mysql管理员账号root的密码(2种方法) 2.修改mysql管理员账号root 3.mysql管理员root账号密码遗忘解决办法(2种方法) 4.
1491 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
18029 0
阿里云,企业云云解决方案的加速器,提升企业云形象,巩固企业云数据安全
最早使用阿里云的产品是阿里云的ECS,但是仅仅是单纯的使用,这一次单纯的使用,也使我打开了阿里云产品的潘多拉宝盒。 随着公司业务的增长,以及2014年微信产品的多样化的出现,公司15年下半年的时候一批利用企业公众号发红包的业务,初次接受此类业务,也没什么经验,以为只是单纯的类似于产品销售的业务,但是在活动上线后出现了让人预料不到的结果,由于参加活动的人数远远超出服务器的连接数(预估同时并发人数达到3-4万),整个系统陷入崩溃。
2403 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
24823 0
+关注
云上阿土伯
安华金和联合创始人兼CTO,数据库安全老司机,赶时髦,关注云上数据安全。
21
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载