数据库安全实践-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

数据库安全实践

简介: 数据库安全实践

主要内容

一、探讨运维人员安全职责

二、解析数据库业界案例事件

三、云上数据库安全问题解决方案

 

一、探讨运维人员安全职责

1)数据安全现状

企业IT关注点包括架构、性能、成本,IDC权威调研机构数据显示,全球74.6%的企业最关心的问题是安全性,安全性永远是第一位,数据库是安全重中之重。

image.png

运维人员安全职责:从维护数据到支撑业务,根据业务相关性分成3层:

·第一层是数据的安全性,也就是如何防止托库。保障好数据库安全,这一层的能力更专注在数据库本身防护,比如加密技术,权限控制技术。比如数据库被暴力破解,因为没有加密,被黑客攻破后把这个数据完全荡走,在日常的运维过程当中接触最多,需要对数据库做内在或者外围加固,防止数据库系统被攻破,把里面的数据拖走或者是毁坏。

·第二层是业务安全,这一层会更关注在流程机制安全上,如何杜绝删库跑路。比如内部人员,因为本身流程不规范,出现了业界最常说的删库跑路行为,是业务安全的属性,需要运维人员去完善。

·第三层则是业务合规,这一点特别是在一些金融、保险、政府等敏感行业上,本身会有数据合规需求,比如两地三中心、操作审计等监管必须能力。为什么这一点会是最重要的,大家日常做运维肯定都知道,眼前的事情肯定最重要,一旦不合规,业务都上不了线,那业务数据本身也就产生不了价值。所以从业务相关角度来讲,业务合规安全性最重要。

image.png

二、解析数据库业界案例事件

1)安全无小事

数据库安全问题,70%甚至80%以上都是由人祸造成的。不管是外在或者是内部的人,不管是因为客观性攻击数据库,或者是主观性破坏数据库,人祸都占了很大部分。整体上做数据库的安全防护时,技术往往是一方面,更多的行为是在于人冶上面,怎样通过这种流程跟手段有效的控制,在技术之外,把安全性的防护做好,是在整个数据库安全领域里,面临的最为头疼的一个问题。

人祸之外,天灾属于不可抗力因素,比如地震、海啸或者其他极端的影响,施工团队把机房电缆光缆给挖断了,发生了火灾等。这个行为的出现是不可抗力,且无法杜绝,我们需要通过本身的运维手段加固、防护,在发生事情时,解决事情对企业带来的影响。

2)安全事件

人祸丛生,谁来背锅?

人祸安全事件带来了哪些影响?下面列举了两个案例:

第一个案例:在17年-18年的时候,MongoDB作为流行的非关系型数据库,3.2还是3.4版本上面出现了本身开源软件上的版本漏洞。这个版本漏洞导致一旦数据库暴露在公网,有很多的手段可以通过免密登录的方式直接登录数据库。

国外的黑客团队,专门针对MongoDB的bug做了一次批量攻击,全网扫描开放的MongoDB端口的主机,登录上去之后,把里面的所有的数据库的备份数据全部拿走了,本地数据库上面已经没有任何数据。黑客给每一台被攻击的企业做了留言,一旦想拿回数据,就往这个账户上面汇0.2个比特币,0.2个比特币是针对普通企业,特别有名的企业,比特币价码会水涨船高。据不完全统计,全球范围之内大概有3万个数据库受到攻击,大概产生6000个比特币,即使按照今天比特币估值,赎金的范围大概是在5亿人民币左右。

image.png

本身开源软件产生的漏洞问题,很难在日常运维、维护过程当中被发现。因为大家下载一个软件部署上去之后,做了很多的外围加固,一旦内部出了安全问题,运维人员背这个锅,显得相对无辜。

第二个案例:在年初发生的事情,业内有一家比较大的企业出现了实实在在版的删库跑路行为,最后跑路没有成功又被抓回来了。这个行为产生的影响是,这家业务整个服务废掉36个小时左右,一天多的时间之内都服务不了。最后企业整体市值蒸发掉差不多7亿元。所以一旦产生了安全事件,如果没有特别好的防护机制,每一笔都会产生上亿元的损失。

天灾不断,何以规避?

近年来经常会看到,比如某个地方的电缆给挖了,官网崩了,机房断电了,不管是腾讯或者是阿里支付宝,都出现过部分业务在那段时间内无法被用户继续访问。但是大家可以发现像腾讯、阿里这样的大公司,其实做了非常完善的防护机制,从来没有出现过因为电缆、光纤被挖断,导致数据丢失。

对于相对没有大公司雄厚的基金或者人力实力的时候,怎么避免天灾对企业带来的影响,是很多运维人员会遇到的问题。

 

三、云上数据库安全问题解决方案

1)上云能解决问题么

云数据库安全能力能解决通用场景下的各类天灾人祸吗?答案是能解决,但不是全部。从下面MyBase全链路安全图,可以看出:


image.png

·事前:数据安全防护,需要对开源软件漏洞提前进行修复,从整个用户使用的内容上来看,包括专用网络隔离、白名单控制、账号密码鉴权、安全环境免密。

·事中:在攻击的过程当中,对整个访问链路加密、数据落盘加密、备份文件加密。

·事后:一旦被攻破了之后,整体攻击电路都能做到攻击行为上的审计,全量操作日志审计。

阿里依托本身比较强悍的产业优势,已经做得相对完善。所以企业有比较强的数据安全防护上的需求,对数据库做加密需求或拦截需求,需要采购很多外围系统,用云数据库MyBase方案解决,会更为得心应手。

 

2)云安全与自有安全体系的结合

上面讲到,从业务相关性上面对数据安全做了三个等级划分:

image.png

第一层:数据安全性,阿里云的MyBase云数据库,专属集群上面已经做到相对比较多的防护,包括白名单控制、返回电路SSL加密、TDE加密以及开源软件连带的内核漏洞修复,阿里云都有自己的团队在做。

·第二层:业务安全,数据库本身的加密安全防护没有问题之后,人治上面通过防护机制杜绝内部工作人员做从删库到跑步行为,更多需要依赖流程约束。

MyBase提供了两层防护,第一层防护是:对所有的数据库都会有一个至少7天之内的备份存储,可以做到没有办法容忍删除。也就是说备份,即使把现在数据库上面的所有数据都删掉了,备份依然会在阿里云上面,只要事例还在有效期之内,依然会存在事例内部,依然可以通过备份把数据恢复。

在这个基础之上,还提供了第二层保护,通过额外的工具产品,比如通过GPS做跨账号或地域备份。比如数据库在账号a,把这一部分的备份移到了账号b上面,这样一来,即使账号a里面做了极端破坏行为,数据依然会有一段存储在账号b里面,可以做防护性的恢复措施。MyBase通过工具跟产品的结合,包括大家在内部的运维机制管理,完善业务安全属性。

·第三层:业务合规性,更多体现在两地三中心方案、数据审计方案,会有证监会或者银监会强制要求企业满足诉求。如果只是数据库层面,MyBase目前的产品能力上面完全可以满足。

但是很多企业在使用服务器的时候,要求有物理隔离性,物理隔离性跟云计算的共享资源机制,相互之间是相背的,云计算技术有没有办法解决物体隔离性问题。下面会讲如何解决这个问题。

 

3)上云引入了新的问题?

上云引入了两个新的问题:

第一个问题,云厂商是否可信?

第二个问题,云计算属于共享性质的资源部署,通过隔离机制跟其他业务部署在同一台物理机上面,这样一来,共享机制会不会放大被别入侵的可能性?

先来回答第一个问题,如今云厂商可信度已经不是特别大的问题了,第一点是因为:不管是云厂商本身,或是引入了第三方机构一直在跟云厂商合作,包括国家级的等保合规,第三方可信云,都会对引入第三方认证机制来认可云厂商本身的安全跟防护机制是完全可靠的。

第二点是因为:在上云时,肯定要选择比较大的云厂商,能够被国际或者国内大客户认可的云厂商,比如阿里云,已经合作了很多金融、政府、各个行业的领头羊企业。如果一家云厂商已经大到可以容纳很多行业的企业进来,安全问题已经被开始进来的头部企业的要求完全满足过了。

整体上看,云厂商的可信度建议大家上云时,从两个方向去看,

第一,是看云厂商本身有没有足够多的第三方可信度认证。

第二,是否有很多比较大的行业企业已经选择这家云厂商,作为上面的基石标准。如果满足这两条,是可以放心上云的。

第二个问题:共享资源放大了被侵入的可能性问题,云计算确确实实有共享资源的机制,但是通过云计算本身的安全能力,包括大厂本身的安全防护,事实上在共享隔离方面已经做得非常完善。大家共享在某一台物理服务器上面,对于数据库密码泄露、别人的数据库切入密码、被外面反复入侵的问题,影响到用户的可能性很小。除非像金融行业,就是有要求业务一定要在一台完全独立的物理机上面,今天的云计算数据库也是可以做到的。

 

4)MyBase专属集群加持完全物理隔离能力

MyBase专属集群加持完全物理隔离能力,可以从数据库的实例来看,在一台非常大的物理服务器上面,某个用户买了4合8局,就隔一个4合8局给用户使用,其他客户的业务跟数据库实际也是在这个服务器上面,但也是通过隔离机制,用户买了多少就隔了多少给他用。

MyBase机制与上面的实例级别的交互产品的区别在于,在MyBase上面,给用户提供的是一台完全独立的服务器,可以是一台完全独立的物理主机,一台实实在在的物理主机,在购买完这台物理主机之后,可以在这台物理主机上面直接分配自己的数据库,这种方式有两个好处:

第一,不用再担心共享加大安全性入侵的问题。

第二,因为完全独立的机制,完全可以满足业界对业务要有独立物理服务器部署的需求。

所以通过MyBase安全物理隔离的机制,可以解决很多行业合规属性问题。大家在普通的业务场景下依然可以选择普通的云服务,一旦需要完全独立的物理隔离环境就可以选择MyBase专属机群服务,作为数据库上云的选择,从而杜绝安全性合规风险。

image.png


5)云数据库专属集群 部署架构图

现在的专属集群里具备了所有的云数据库的安全能力,同时在这些能力基础上集成了物理隔离能力,面对行业的合规性问题。

本身的云数据库专属集群,因为拥有主机级别的操作权限,可以把企业已经采购的安全的插件也安装到云上的数据库里面。比如已经买好一套审计系统,也可以选择直接把这套审计系统部署在云数据库专属集群里面,从而把专属集群的安全能力跟本地系统的安全能力做一个全面结合,形成更好的双方都可以认可的安全等级防护。

image.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: