数据库的应用之私有云

公共云占据了价格优势，但是对于很多公司尤其是国家部委机关来说，使用公共云的投资回报率没有高到一定程度，让他们愿意放弃对自己数据和业务的掌控，承受来自第三方的风险。私有云的安全性是超越公有云的，近日，国家某总局启动了私有云建设项目，中安威士承担了其中的数据安全治理的建设部分。本文将私有云数据安全治理方案分享给诸位读者。

整体目标

本方案的目标就是为该总局提供全面高效的数据资产管控环境，实现数据的集中、统一、共享和安全，将数据关进笼子，让数据的使用在阳光下进行。

该总局每年都要采购大量的有价值的数据。这部分数据将放在云上，支持各下属单位的业务运营，并要频繁地外发给各第三方运维企业。同时，该总局及其下属的各单位，其业务应用系统都部署于云上，将产生大量的生产数据和经营数据，这些数据的开发生产、运维和使用都必须纳入统一管理体系，进行规范化管理。

该总局云端IT系统的总体结构如下图。

面向该总局的数据安全治理

需要保护的敏感数据对象有：

1) 所购买的数据；

2) 业务数据；

3) 内部个人信息。

需要纳入管理的可能的数据泄露途径有：

1) 内部和外包IT人员对数据的权限滥用；

2) 来自网络的攻击者的SQL注入等攻击；

3) 各出版社等业务系统对数据的越权访问和滥用。

云租户云端数据安全治理

需要保护的敏感数据对象有：

1) 从该总局获取的数据；

2) 业务数据；

3) 内部个人信息。

需要纳入管理的可能的数据泄露途径有：

1) 该总局云管理员对权限的滥用导致的数据泄密；

2) 内部和外包IT人员对数据的权限滥用；

3) 来自网络的攻击者的SQL注入等攻击；

4) 各下属单位业务系统对数据的越权访问和滥用。

总体方案

我们针对该总局的私有云系统，提出解决敏感数据全生命周期的安全管理思路。该思路如下图所示：

具体的：

1）数据活动的全面审计。详细记录敏感数据被访问的情况，包括来自于云管理员、内部IT人员、外网用户以及应用系统对数据的访问。

2）对部分应用系统对数据的访问进行实时脱敏，从源头上防止数据泄漏，以及数据被破坏。

3)对运维、开发、测试和IT管理人员，实施数据实时脱敏，从源头上防止数据泄漏以及数据被破坏。

有针对性的对不同系统和运维人员，通过动态脱敏手段，实时授予对敏感数据的遮蔽、替换等不同展示方式，防止数据泄漏。具体来说，可在用户或应用程序实时访问数据的过程中，依据用户角色、职责和脱敏规则，对敏感数据进行替换、重排、截断、屏蔽、加密、隐藏，确保数据安全。

4）对部分应用系统实时基于数据库防火墙的细粒度访问控制，从源头上防止SQL注入等攻击，以及拖库等行为。

5）对开发、测试、数据外发等环境，提供静态脱敏手段，批量的对敏感数据脱敏，防止真实敏感数据外泄。

6）有选择性的对敏感内容加密，使敏感数据在存储、备份时以密文方式存在。通过控制加密和解密权限，提供对敏感数据访问的增强权限管理，防止云管理员以及数据库超级权限被盗用和滥用导致的数据泄漏。

面向该总局的数据防护

对于该总局私有云的数据中心，对其数据的防护实施方案如下图所示。

在私有云环境下，部分应用系统在云端，而部分应用系统仍在线下。对于线下系统，部署硬件形态的数据库安全服务器，而对于云端的应用系统，则部署数据库安全资源池，从而对数据库进行安全加固。方案的要点如下：

（1）对所有数据库部署数据库审计系统

通过旁路镜像或者DB探针的方式，在不改变数据库系统的任何原有设置和在不影响数据库系统自身性能的前提下，实现对数据库的在线监控和保护；

使用数据发现功能，自动生成数据库服务器和敏感数据的分布情况，并将所发现的重要服务器、服务和数据进行分类，并生成统计报表。将所有发现和分类结果直接应用到后续模块中的规则中；

开启数据库性能监控功能，对数据库运行状态进行实时监控，在状态异常时进行预警，提前防止业务瘫痪，保障业务系统的连续可用性；

开启数据库性风险评估功能，扫描弱口令、系统漏洞、配置等风险，全面评估数据库系统的风险状态；

开启学习功能，自动生成基线模型白名单访问规则，实现规则零配置，解决因人力不足无法详细设置审计规则的问题。通过人工添加黑名单规则，实现灵活的细粒度访问规则；

开启入侵检测功能，及时发现针对数据库的违规操作行为，并进行记录、报警。一旦发生威胁，可迅速判断是内部人员的越权操作，还是外部人员的入侵行为，事后追责，满足合规审计要求；

开启运维审计功能，审计通过TELNET/FTP等协议对数据库服务器进行的运维操作。

（2）在数据库前实施数据库防火墙系统

开启入侵保护功能，以抵御SQL注入攻击和针对数据库漏洞的攻击，还能防止全表删除等误操作、超级权限滥用等风险；

开启学习功能，生成白名单规则，并手工添加黑名单规则，解决详细设置数据库防火墙规则困难的问题。

（3）在数据库前部署数据库加密系统

通过三权分立的限管控系统来实现对敏感数据访问的权限控制，确保其数据的安全性；

开启敏感数据访问审计功能，记录对加密数据的访问；

定期轮换密钥，保证加密数据的安全。

（4）部署数据库脱敏系统

对于运维操作，通过动态脱敏功能，确保运维人员在运维时不能看到真实的数据；

对于需要管控的应用程序，通过动态脱敏，确保系统只能看到脱敏后的准真实数据。

面向云租户的数据防护

云端租户云数据库服务器的防护是基于我们系列部署于云端虚拟环境的数据库安全资源池实现的。具体的实施方案如下：

该方案的要点如下：

（1）数据库在云上的租户和数据在云下的租户均可以选择是否用审计、防火墙、加密和脱敏，此时我司的设备均以虚机的方式部署；

（2）云上的数据库审计，以DB探针实现。使用SQL语句实现探针，获取并记录对租户数据库的一切访问，发送到独立运行的数据库审计服务器中；云下的数据库审计以旁路配合DB探针实现审计。

（3）云上的数据库防火墙和动态脱敏，以单臂代理方式部署。数据库防火墙/动态脱敏运行于独立的虚拟主机，APP/WEB服务器对数据库的访问指向数据库防火墙/动态脱敏，并且修改数据库配置，只响应来自数据库防火墙/动态脱敏的请求。数据库防火墙/动态脱敏在转发数据库访问通信流量的同时，对访问情况进行记录或者过滤。为防止单点失败，数据库动态脱敏/防火墙系统部署为双机或集群模式。数据库防火墙系统通过自动学习，建立防火墙规则，从源头上阻止SQL注入、越权数据访问以及其它对数据库的攻击。动态脱敏系统则防止云上租户内部办公人员通过截屏等方式泄漏敏感信息。线下的数据库防火墙除了代理方式还可以透明网桥方式部署，脱敏以直路代理或单臂代理方式部署。

（4）特别的，在私有云环境中，租户的数据库可能以物理机的方式部署于云下（如租户1所示），此时，数据库安全加固系统既可以资源池方式进行部署，也可以以物理机的方式在云下部署。

中安威士数据安全管理解决方案基于数据库审计、数据库防火墙、数据库加密和数据库脱敏产品实现。方案完整地解决了私有云中信息系统所广泛面临的数据泄露困境。该方案的优势体现在：

快：业界较高的处理性能。面对亿级运维操作量，提供秒级检索速率；语句执行时对业务系统的性能影响控制在微秒级，使用者基本无感。

连续处理能力：1~10万SQL/s

日志检索速度:

日志存储能力: 30~100亿SQL/TB

带索引的加密所虑>9k/s

智：智能化自动学习，基本实现零配置。并开放管理接口，完美融入管理流程，开放审批接口和报表接口，实现与当前办公OA软件、运维管理平台的无缝兼容。

稳：十余年技术积累，上千实际案例，产品运行稳定。

全：全面的功能和全面的审计。能覆盖多种应用、服务器、数据库、网络、和终端，可集中管理、产品线完整且易扩充、可定制集成的敏感数据发现和保护。

不丢包：高峰流量不丢包，完全审计

不漏审：全方位的审计，不漏掉从任何途径对数据库的访问

全功能：具有敏感数据发现、性能审计、漏洞扫描和风险评估

能够部署于任何环境

美：美观的报表和界面。提供大量报告模板，包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义。

细：细粒度的审计和访问控制，达到字段、语句级。

通过上述解决方案，将有效解决新闻出版总署信息系统所面临的数据安全治理的需求：使数据安全可视、使数据安全可控、使数据安全合规。具体来说，中安威士数据安全管理解决方案还带给贵单位如下价值：

1) 员工行为可视化：可以清晰了解员工日常工作对于敏感数据的操作行为；并结合企业对于数据安全的管理要求加以监督，从而达到提高员工安全意识，强化员工操作规划目的。

2) 策略部署一体化：可以通过完整的数据防泄漏技术手段将企业数据安全管理制度及流程加以实现，并可以覆盖到各种应用场景，确保建立完整的数据防泄漏体系。

3) 行业规范可落地：随着竞争压力的不断提高以及客户的法律意识不断加强，各监管机构也出台了与信息安全特别是敏感数据保护相关的各种合规要求，因此需要通过相应的技术手段来合规落地。

4) 对于出现的违规事件可以完整记录，并在必要时加以追溯，同时记录的事件可确保其完整性、防篡改性及不可抵赖性，以满足审计部门的要求。

5) 简化业务治理，提高数据安全管理能力。

6) 完善纵深防御体系，提升整体安全防护能力。

7) 减少核心数据泄漏，保障业务连续性。

8) 有效维护总局作为国家重点单位的公信力和声誉。