國內首款自研公有雲資料庫安全服務亮相DTCC

5月12日，第九屆中國資料庫技術大會(DTCC2018)在北京落下帷幕，縱觀三天的會議議程，當前全球主要的資料庫例如Oracle，MySQL，SQL Server，PostgreSQL等紛紛亮相大會，來自國內外互聯網、金融、教育等行業百餘位技術專家，分享了近一年來資料庫領域的最新技術發展研究和商用案例。了解企業級雲端訴求的人都知道，雲上資料庫安全關乎企業業務存亡，重要之極，但是小編髮現，國內在公有雲上能提供完整的資料庫安全服務的廠商，目前卻寥寥無幾。

華為雲沒有讓小編失望，在12日的論壇上，華為雲安全專家分享了雲上資料庫一體化保險箱，展現了華為雲資料庫安全技術的優勢。當前，公有雲資料庫業務的最大困局就是數據泄漏，涉及的行業也愈加廣泛，據統計，全球受數據泄露影響最為嚴重的行業有金融、政府、製造、電商、教育、醫療等，一旦發生，損失慘重，針對此類資料庫的安全防範因此成為企業資料庫上雲首要考慮的問題。

華為雲資料庫安全服務（Database Security Service，簡稱DBSS），經過華為內部大規模實踐和廣泛邀請各行業企業試用後，已經在今年上線華為雲。作為一款智能的資料庫安全防護服務，能夠更加全面的解決前文提到的敏感數據泄露的問題。該產品基於反向代理機制，提供敏感數據發現、數據脫敏、資料庫審計和防注入攻擊等功能，真正實現從事前、事中到事後的全生命周期防護，保障雲上資料庫的安全。

華為雲安專家在會上介紹了華為為什麼要研發這款產品，到當客戶把資料庫遷移到雲上使用時，在享受了彈性按需的雲計算技術帶來的便利同時，往往忽視對核心價值資產的安全防護，或者並沒有給予整個資料庫使用生命周期的考慮來設計安全防護方案。雲上資料庫需要考慮事前、事中、事後的安全設計思維，從用戶的角度思考，華為雲需要做些什麼來保證資料庫中的數據在使用前後的安全性。

市面上進行資料庫安全防護的常見方式有三種。第一種是透明橋接模式。他是指設備直接處於數據轉發的鏈路上，直接捕獲數據報文並執行各種訪問控制，不會對IT現有基礎架構產生影響，並且不會對DB應用系統的可用性和性能產生影響。Agent監控模式是指通過安裝Agent軟體實現對數據的採集和管理，由於Agent代理軟體運行在被監控的主機，所以對該Agent軟體的性能和可靠性有較高要求，同時由於採集的數據量較大，需要佔用比較多的內存。

Proxy模式與Agent模式都是建立在應用層上的服務軟體，它接受來自Application的請求，然後把請求轉發給內部的DB伺服器，並把DB伺服器的結果返回給Application，對Proxy軟體的性能和可靠性有較高要求。華為雲的資料庫安全服務就是採用的這種模式。

數據存儲的關鍵位置仍然在資料庫中，而現狀則是，大量互聯互通的企業環境中，資料庫普遍缺乏有效安全防護。傳統的防護手段通常有規則庫機制和旁路審計機制兩種，都偏重於在單點或者在入侵發生後進行回溯，而沒有前攝的主動防禦機制，無法提前對敏感數據進行保護，從而讓資料庫中的重要資產實質上處於裸奔的狀態。

華為資料庫安全服務能夠更加全面的解決前文提到的敏感數據泄露的問題。可以按SOX，HIPAA，PCI DSS等法規進行合規分析，通過正則表達式來添加特定的自定義敏感信息，按日期（每天一次、每周一次或每月一次）或模式更改進行計劃掃描。對於密級較高的數據，也可以採用密鑰管理服務（Key Management Service）來進行加密。該服務採用專利技術反向代理模式，這麼設計的最大好處就是可以實時阻斷惡意請求，一遍處理同時滿足資料庫防火牆、數據脫敏、資料庫審計三大功能，而幾乎沒有性能上的損耗。由於內置了合規庫，可以真正實現自動化一鍵脫敏，並且輸出符合合規要求的審計報告，大大降低運維人員的分析工作量。真正做到事前，敏感數據早發現；事中，實時防禦惡意攻擊，動態脫敏正常訪問；事後，多維審計滿足合規。

通過三步走的資料庫安全防護設計，相信您的資料庫系統從此固若金湯，從此告別被動響應的救火隊員角色，為您的雲上數據資產加把鎖。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！