开发者学堂课程【云数据库MySQL版快速上手教程:云数据库安全设置】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/388/detail/4987
云数据库安全设置
目录:
一、SQL审计
二、设置白名单
三、设置SSL加密
四、设置透明数据加密
一、SQL 审计
进入管理控制页面,在进入数据安全性界面找到 SQL 审计,然后点击开启 SQL 审计,因为要进行 SQL 采集,所以会产生额外费用可以点开计费文档。
开始 SQL 审计之后不会有相关的审计记录,需要等待一段时间,进行相关操作之后才会有记录。
二、设置白名单
在白名单设置中可以看到,这里有几个内网的和本机的,有一个非常危险的 danger(0.0.0/0)代表允许所有地址访问,这是非常危险的。这次要演示通过 SSL 访问 RDS 需要添加这个非常危险的 IP,后面是要删掉的。
三、SSL 加密
因为 SSL 加密主要是应用在外网访问的,内网访问的话,因为本身在内网就是比较安全的,如果我们设置 BPC 的话就会更加安全,而且更多的程序都是不支持通过 SSL 加密的数据库的,所以通过 SSL 加密主要就是应用在外网通过程序来连接 RDS 或者其他的 micro 实例。
设置 SSL,一个内网的链接地址,一个外网的连接地址。证书主要颁布给外网,选择外网,然后点击下载证书。
证书被解压之后,会看到有三个文件,虽然格式不一样,但都是 CA 证书。然后复制一下外网地址。
在下图中,名称设置为 RDS,连接数据库,输入用户名和密码,选择 Connect using SSL,然后 Key 和证书都是不需要填的,直接输入 Cert,再点击 Connect。
连接成功后就可以看到数据库,然后访问数据库就可以看到数据了。再打开 SQL 审计就可以看到接下来的操作都被SQL 审计记录下来了,操作了数据库就会有一定的 SQL 审计,当然,SQL 明细通过网络协议分解所得,可能会出现信息丢失的情况。
四、设置透明数据机密
TDE 就是透明数据加密,TDE 可以对数据文件执行事实 I/O 加密和解密,数据在写入磁盘之前会进行加密,从磁盘读入内存时会进行解密。
可以直接通过开启 TDE,然后 TDE 就可以直接使用了。SSL 和 TDE 都涉及加密和解密,加密和解密涉及一个过程,加密和解密就会更加的消耗 CPU 的资源,所以反应就会相对的较慢。TDE 的主要应用还是数据库的备份可能还会比较好的应用,比如说数据库通过加密,那么备份下来的文件就是加密的,如果没有密钥就是不可能打开的,在数据库传输的过程中可能就会有比较好的应用。然后开启了 TDE 之后,用户还需要 对 MySQL 的表进行 DDL 操作才能数据加密或者解密,
XXX 就是表名,引擎必须是 innodb,后面就是加密的语句。
再重复说明一下0.0.0/0时一个非常危险的设置,RDS 是由阿里云提供的非常安全的服务,但是世界上没有最安全的实务,只有相对安全的实务,千里之堤溃于蚁穴,如果平时没有比较安全的措施,万一爆出比较严重的问题,后果就比较严重。如果针对 micro 设置0.0.0/0的话,就可能会导致数据泄露。
TDE 开通之后,进入 DMS,再进入 SQL 操作,再进行上图中的加密就可以完成加密解密操作了。
