从各“瘫痪”事件看如何安全备份数据库到云存储

近几周互联网企业频繁暴出各类“瘫痪”事件,网易、支付宝也身负重伤,而5月28日携程网站服务及App全站瘫痪,从事故发生至恢复长达近12小时,造成的损失不言而喻。在对携程事件感到惋惜的同时,让大家不由感叹,对数据安全问题的重视已迫在眉睫。

随着数据价值的不断提升,数据安全问题里面,最常见的棘手问题为因黑客攻击而造成的用户数据泄密和丢失。纵观互联网高速发展的这些年,黑客攻击事件频发,光用户数据泄密就已有如下九大惨案载入互联网史册。

由以上数据统计可以看出,每次黑客攻击涉及的用户数量巨大。另有数据称,近4年的互联网安全事故导致11.3亿用户信息泄露。而在福布斯上榜的中国企业中,大多都曾经遭受过攻击或出现信息泄露,特别是一些掌握大量民众个人信息的企业成为黑客攻击的“重灾区”,其中不乏国内知名大公司,中国移动、淘宝、腾讯、小米以及12306。

当网站受到攻击,数据库会被破坏,这时需要从备份里面恢复数据库。防止黑客在入侵了以后,循着网站的备份脚本将备份删除掉,或者备份设备被入侵,数据库被破坏造成的备份丢失、泄露,是常规的备份手段难以解决的问题。因此,将数据库安全地备份到云存储实际上是一个比较简单且成本很低的手段。

那么,如何安全地备份数据库到云存储?牛小七将分三个步骤为大家详解。

一、如何导出数据

对于小数据库或者低压力数据库就很简单了,比如MySQL有mysqldump ,其它数据库也有相对应的dump工具,这些都能很好地解决问题。高压力数据库一般会做一个主从结构,如果从数据库能够停机就很方便,因为从数据库停机了以后不管是用dump还是直接用拷备文件,都能够快速方便地把数据库给导出来;如果从数据库不能停机,建议在从数据库下面的LVM磁盘层来处理。首先把从数据库设为只读并且同步所有数据到磁盘(比如 MySQL中的 FLUSH TABLES WITH READ LOCK),这种情况下数据库的读操作可以继续,但磁盘上的文件不再更改。这时,在LVM层执行snapshot操作,完成之后,释放掉数据库中的锁。再从 LVM 的 snapshot 中拷贝文件,就得到一个很完整的数据库,并且不用担心备份了事务中间的状态。整个流程也很快,通常可以做到亚秒级的,而且在备份过程中从数据库一直是可读的,主从同步的延迟也影响很小,所以这个方案比较容易被接受,应用也比较广。

二、如何安全地加密数据

黑客入侵了之后,所有的脚本和很多加密机制都暴露在黑客面前。那么,怎样才能完成加密又能避免黑客拿到相关信息来解密你的数据呢?一个简单的方法是用非对称密钥,比如gpg就支持非对称加密,即 gpg这边生成一对公私钥,私钥放在自己的电脑好好保存,公钥可以放在你的服务器上,用来加密你的数据,需要从备份恢复时才需要动用你的私钥来解密数据。

三、如何安全地上传数据到云存储

防止客户顺着备份脚本把你的备份删除或者覆盖是两个需要避免的问题。七牛云存储有上传凭证的概念,它是是七牛上传时用来鉴权的一个工具,它能很好地帮助你解决这个问题:

1)上传凭证中的路径支持通配符,比如 /backup/*, 前后多次备份都可以使用同一个上传凭证,不用每次准备一个新的通配符;

2)上传凭证具备有效期的概念,比如设一个一年的有效期,那么这一年的数据备份操作都可以用这个uptoken操作实现;

3)上传凭证还可以指定是否允许覆盖原始文件;

比如指定key的名字是 /backup/* ,每次备份都可以用这个上传凭证来上传,指定有效期一年且不允许覆盖,那么就可以做到方便地把你的数据备份放到云存储,不用担心黑客删除或者覆盖掉你的文件。

此外,七牛还额外做了些事情简化提高整个备份的健壮性,比如上传时支持分片上传的操作,当你的数据库比较大,100G或者更大的一个数据,想要一次性上传成功,即使机房到机房上传也是比较痛苦的,那么引入分片上传的操作就可以提高上传成功率。

备注:

1. 上传凭证的细节可以参考:

http://developer.qiniu.com/docs/v6/api/reference/security/upload-token.html

2. 有一些开源项目也是关于如何备份数据库到七牛的,比如:

* Ruby: https://github.com/lidaobing/backup2qiniu

* C#: https://github.com/abelyao/qiniu-backup

* Python: https://github.com/chitosai/backup2qiniu

3. 大家也可以参考七牛的合作伙伴多备份,也能为大家提供备份服务,大家可以参考一下。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-06-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏野路子程序员

【解决方案+问题分析】微信分销会员上下级关系出现混乱,剖析全过程

3777
来自专栏腾讯技术工程官方号的专栏

你不知道的Android SDK安全测试

image.png 作者介绍:anglia,2014年加入腾讯TEG,一直致力于信鸽和MTA两款产品的移动终端 引言 作为Android手机用户中的一枚残粉...

2615
来自专栏Seebug漏洞平台

摄像头漏洞挖掘入门教程(固件篇)

据 IT 研究与顾问咨询公司 Gartner 预测[1],2017 年全球物联网设备数量将达到 84 亿,比 2016 年的 64 亿增长31%,而全球人口数量...

3131
来自专栏小白安全

检测是否含有挖矿脚本的WiFi热点

前几日看到一则新闻,一家星巴克店内无线网络被发现植入了恶意代码,劫持网络流量利用用户设备挖掘门罗币(XMR)。 ? 与加密货币相关的安全事件总是引人注目...

2874
来自专栏BeJavaGod

分布式系统的那些事儿(四) - MQ时代的通信

之前在讲RPC通信的各种好处,特别好用,但是RPC并不是万能的,也并不是适用于各种场景的,因为他是同步的;现如今很多场景下的调用都是异步的,系统A调用B后,并不...

3574
来自专栏安恒信息

邮箱安全服务专题 | 发现那些对钓鱼邮件安全意识淡薄的员工

上一期我们介绍了针对邮箱应用层和协议层面的安全检测,目前针对邮箱系统自身风险的服务内容已经向大家介绍完了。然而保障了邮箱自身的系统安全还是远远不够的,每一篇邮件...

42010
来自专栏FreeBuf

记一次服务器被入侵的调查取证

*本文原创作者:fish1983,本文属FreeBuf原创奖励计划,未经许可禁止转载

7951
来自专栏大内老A

WCF传输安全(Transfer Security)的基本概念和原理:认证(Authentication)[上篇]

对于任何一个企业级应用来说,安全(Security)都是一个不可回避的话题。如何识别用户的身份?如何将用户可执行的操作和可访问的资源限制在其允许的权限范围之内?...

1938
来自专栏喔家ArchiSelf

IoT固/软件更新及开源选项

物联网的迅速发展涌现了数十亿与互联网连接的无线嵌入式设备。 从医疗设备到坦克传感器, 智能恒温器, 智能路灯, 水监视器等等, 物联网比以往任何时候都应用广泛。

1452
来自专栏菩提树下的杨过

silverlight 4 tools for vs2010无法在vs2010 SP1上安装的解决办法

环境:英文版vs2010 sp1 + vs2013 RC 90天体验版 原来可以正常做silverilght 4 项目开发,今天因为vs2013 RC过了90天...

2195

扫码关注云+社区

领取腾讯云代金券