日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、 背景

當(dāng)前，云計(jì)算成為流行的IT系統(tǒng)解決方案。它的可擴(kuò)展、可伸縮的彈性計(jì)算能力，極大的減小了IT建設(shè)和管理的難度。并且其以租代購(gòu)的方式極大的減少了投資。公有云是最重要的一種云計(jì)算方式，可以為全球的用戶(hù)建立起應(yīng)用系統(tǒng)。但是在公有云中，應(yīng)用系統(tǒng)和支撐其運(yùn)轉(zhuǎn)的數(shù)據(jù)庫(kù)都遷移到云端，數(shù)據(jù)的安全是十分重要的問(wèn)題。越來(lái)越多的云端數(shù)據(jù)泄漏事件，比如最近的部署于云端的某游戲160多萬(wàn)用戶(hù)數(shù)據(jù)的泄漏，給云中數(shù)據(jù)庫(kù)的安全拉響警鐘。相比于傳統(tǒng)計(jì)算環(huán)境，云計(jì)算的開(kāi)放性和虛擬化的特性，傳統(tǒng)的數(shù)據(jù)安全方案變得復(fù)雜甚至無(wú)能為力，給云端的數(shù)據(jù)庫(kù)的防護(hù)帶來(lái)了更大的挑戰(zhàn)。

二、 中安威士簡(jiǎn)介

中安威士是北京中安比特科技有限公司專(zhuān)屬品牌和注冊(cè)商標(biāo)。中安比特專(zhuān)注于數(shù)據(jù)安全管理領(lǐng)域，經(jīng)過(guò)十余年技術(shù)積累，已擁有國(guó)內(nèi)最全面的數(shù)據(jù)庫(kù)安全加固產(chǎn)品線(xiàn)——中安威士數(shù)據(jù)庫(kù)安全加固系列產(chǎn)品，包括數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)加密、數(shù)據(jù)庫(kù)脫敏等，能幫助客戶(hù)降低數(shù)據(jù)安全風(fēng)險(xiǎn)并輕松滿(mǎn)足合規(guī)要求。中安威士面向云計(jì)算的數(shù)據(jù)安全管理方案可為云計(jì)算和大數(shù)據(jù)環(huán)境中的數(shù)據(jù)資產(chǎn)提供全面的安全保護(hù)。

三、 技術(shù)方案

1、 傳統(tǒng)技術(shù)方案的限制

為解決數(shù)據(jù)的安全管理，中安威士提供數(shù)據(jù)庫(kù)審計(jì)、防火墻、透明加密、脫敏等產(chǎn)品，形成數(shù)據(jù)在其生命周期中的產(chǎn)生、使用、存儲(chǔ)、備份等階段的安全解決方案。其中，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)部署數(shù)據(jù)庫(kù)審計(jì)和防火墻，實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪問(wèn)狀況的監(jiān)控和訪問(wèn)控制，是最基本的安全需求。在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中，通常采用旁路鏡像、直連、OS代理等方式實(shí)現(xiàn)。在公有云環(huán)境中，仍然有必要部署數(shù)據(jù)庫(kù)安全加固產(chǎn)品，對(duì)數(shù)據(jù)生命周期中的各個(gè)階段的安全加固。并且部署數(shù)據(jù)庫(kù)審計(jì)和防火墻仍然是最基礎(chǔ)和最必要的防護(hù)手段。在公有云環(huán)境中，數(shù)據(jù)庫(kù)審計(jì)和防火墻的旁路鏡像、直連、OS代理等實(shí)現(xiàn)方式理論上都是可行的，但是在實(shí)際的場(chǎng)景中會(huì)受到具有各種限制。

1）鏡像方式。在傳統(tǒng)環(huán)境中，在交換機(jī)上配置端口鏡像，將數(shù)據(jù)庫(kù)訪問(wèn)流量鏡像到數(shù)據(jù)庫(kù)審計(jì)設(shè)備即可。然而此種部署方式需要云計(jì)算平臺(tái)通過(guò)SDN定義出網(wǎng)絡(luò)鏡像，使得實(shí)施變得復(fù)雜，給云計(jì)算環(huán)境帶來(lái)管理工作量的增大。而且租戶(hù)并不能接受數(shù)據(jù)庫(kù)的通信流量被云平臺(tái)旁路。

2）直連方式。在傳統(tǒng)環(huán)境中，通過(guò)代理或者透明網(wǎng)橋方式，將數(shù)據(jù)庫(kù)審計(jì)或者防火墻部署于數(shù)據(jù)庫(kù)之前，從而監(jiān)控或者過(guò)濾到數(shù)據(jù)庫(kù)的訪問(wèn)。同樣的，這種部署方式需要云計(jì)算平臺(tái)通過(guò)SDN定義出網(wǎng)絡(luò)直連方式，使得實(shí)施變得復(fù)雜。而且，主流的云主機(jī)都只有一個(gè)虛擬網(wǎng)絡(luò)接口，而這種部署方式至少需要兩個(gè)接口。這就需要云平臺(tái)對(duì)虛擬機(jī)做出調(diào)整，從而給實(shí)施帶來(lái)進(jìn)一步的困難。

3）OS代理方式。這種方式通過(guò)在數(shù)據(jù)庫(kù)服務(wù)所在的OS上安裝代理程序，將對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)鏡像到審計(jì)服務(wù)器，或者對(duì)訪問(wèn)進(jìn)行過(guò)濾。在公有云環(huán)境下，大多數(shù)的云服務(wù)廠商對(duì)外提供的RDS數(shù)據(jù)庫(kù)服務(wù)是以SQL訪問(wèn)接口形式體現(xiàn)的，并不會(huì)給租戶(hù)提供數(shù)據(jù)庫(kù)服務(wù)器OS操作的權(quán)限，更不允許給RDS服務(wù)器上安裝任何軟件之類(lèi)的。這就需要云平臺(tái)對(duì)虛擬機(jī)做出調(diào)整，從而給實(shí)施帶來(lái)進(jìn)一步的困難。

并且，以上3種方式，都不能實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的完整監(jiān)控。比如通過(guò)虛擬機(jī)逃逸，或者攻擊者直接登錄數(shù)據(jù)庫(kù)服務(wù)器OS并直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行的操作等，都不能被記錄或者過(guò)濾。

2、實(shí)現(xiàn)方案

為實(shí)現(xiàn)云端數(shù)據(jù)庫(kù)的審計(jì)和細(xì)粒度訪問(wèn)控制，中安威士厚積薄發(fā)，在多年積累基礎(chǔ)上，推出了適應(yīng)于云計(jì)算環(huán)境的產(chǎn)品和解決方案。針對(duì)具體環(huán)境的不同，有兩種具體的實(shí)現(xiàn)方案。

方案一：LOCAL探針，實(shí)現(xiàn)數(shù)據(jù)庫(kù)審計(jì)。利用數(shù)據(jù)庫(kù)自身的日志記錄機(jī)制，使用SQL語(yǔ)句實(shí)現(xiàn)探針，獲取并記錄對(duì)數(shù)據(jù)庫(kù)的一切訪問(wèn)，發(fā)送到獨(dú)立運(yùn)行的數(shù)據(jù)庫(kù)審計(jì)服務(wù)器中。如下圖所示。

該方案的優(yōu)勢(shì)如下：

1) 沒(méi)有任何侵入性：完全基于數(shù)據(jù)庫(kù)的機(jī)制，使用SQL接口實(shí)現(xiàn)，對(duì)系統(tǒng)不做任何侵入式修改；

2) 不會(huì)丟包：任何峰值的訪問(wèn)，都能夠完整記錄；

3) 不會(huì)漏審：從任何方式訪問(wèn)數(shù)據(jù)庫(kù)，都會(huì)被記錄；

4) 實(shí)施簡(jiǎn)單：不需要云供應(yīng)商做任何OS級(jí)和軟件級(jí)的改動(dòng)，甚至可以獨(dú)立于云供應(yīng)商，租戶(hù)購(gòu)買(mǎi)云主機(jī)后，自行部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)；

5) 彈性審計(jì)：根據(jù)實(shí)際的審計(jì)工作量，彈性的調(diào)整審計(jì)服務(wù)器的處理能力；

6) 高安全性：用戶(hù)自主選擇的第三方的安全產(chǎn)品，云平臺(tái)運(yùn)維人員也不能操作和控制審計(jì)內(nèi)容。

方案二：?jiǎn)伪鄞?，?shí)現(xiàn)數(shù)據(jù)庫(kù)審計(jì)和數(shù)據(jù)庫(kù)防火墻。中安威士數(shù)據(jù)庫(kù)審計(jì)/防火墻運(yùn)行于獨(dú)立的虛擬主機(jī)，APP/WEB服務(wù)器對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)指向中安威士主機(jī)，并且修改數(shù)據(jù)庫(kù)配置，只響應(yīng)來(lái)自中安威士主機(jī)的請(qǐng)求。中安威士主機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)訪問(wèn)通信流量的同時(shí)，對(duì)訪問(wèn)情況進(jìn)行記錄或者過(guò)濾。如下圖所示。

該方案的優(yōu)勢(shì)如下：

1) 沒(méi)有任何侵入性：完全獨(dú)立于數(shù)據(jù)庫(kù)服務(wù)器和APP/WEB服務(wù)器，對(duì)系統(tǒng)不做任何侵入式修改；

2) 不會(huì)丟包：任何峰值的訪問(wèn)，都能夠完整記錄；

3) 實(shí)施簡(jiǎn)單：不需要云供應(yīng)商做任何OS級(jí)和軟件級(jí)的改動(dòng)，甚至可以獨(dú)立于云供應(yīng)商，租戶(hù)購(gòu)買(mǎi)云主機(jī)后，自行部署數(shù)據(jù)庫(kù)審計(jì)/防火墻系統(tǒng)；

4) 彈性審計(jì)：根據(jù)實(shí)際的審計(jì)工作量，彈性的調(diào)整審計(jì)/防火墻服務(wù)器的處理能力；

5) 高安全性：用戶(hù)自主選擇的第三方的安全產(chǎn)品，云平臺(tái)運(yùn)維人員也不能操作和控制審計(jì)內(nèi)容。

3、 測(cè)試結(jié)果

我們將如上方案部署于多個(gè)公有云系統(tǒng)，并進(jìn)行了長(zhǎng)時(shí)間的壓力測(cè)試和穩(wěn)定性測(cè)試，結(jié)論如下：

方案一結(jié)論：

1) 在通常情況下，數(shù)據(jù)庫(kù)服務(wù)壓力不大時(shí)，審計(jì)系統(tǒng)對(duì)公有云RDB服務(wù)幾乎沒(méi)有性能影響；

2) 在數(shù)據(jù)庫(kù)服務(wù)壓力比較大時(shí)，審計(jì)系統(tǒng)對(duì)RDB性能稍有影響；

3) 在極端情況下，當(dāng)數(shù)據(jù)庫(kù)服務(wù)壓力持續(xù)100%時(shí)，僅僅降低原來(lái)性能的10%左右；

4) 在超高性能主機(jī)環(huán)境下，當(dāng)數(shù)據(jù)庫(kù)服務(wù)壓力持續(xù)100%時(shí)，審計(jì)系統(tǒng)RDB性能影響不超過(guò)1%；

5) 當(dāng)用戶(hù)數(shù)據(jù)庫(kù)服務(wù)壓力較大時(shí)，增加數(shù)據(jù)庫(kù)服務(wù)器性能，基本可以消除審計(jì)系統(tǒng)對(duì)公有云數(shù)據(jù)庫(kù)服務(wù)的性能影響；

6) 經(jīng)過(guò)長(zhǎng)時(shí)間滿(mǎn)負(fù)載壓力測(cè)試，而使用本方案完全消除了傳統(tǒng)部署方式中難以避免的丟包現(xiàn)象，100%的獲取數(shù)據(jù)庫(kù)操作，且運(yùn)行穩(wěn)定。

方案二結(jié)論：

1) 當(dāng)中安威士數(shù)據(jù)庫(kù)審計(jì)/防火墻未滿(mǎn)負(fù)荷運(yùn)行時(shí)，對(duì)訪問(wèn)的延遲在微秒級(jí)，對(duì)業(yè)務(wù)處理吞吐量的影響幾乎為零；

2) 經(jīng)過(guò)長(zhǎng)時(shí)間高壓力測(cè)試，本方案沒(méi)有丟包現(xiàn)象，且運(yùn)行穩(wěn)定。

四、 方案優(yōu)勢(shì)

中安威士云端數(shù)據(jù)庫(kù)安全審計(jì)和防火墻方案，基于十余年技術(shù)積累，為云端數(shù)據(jù)提供必要的和彈性的安全管理能力。除了上文所述優(yōu)勢(shì)，本方案還具有如下突出優(yōu)勢(shì)：

快：業(yè)界最高的處理性能。

     ?超高的連續(xù)處理、入庫(kù)能力

     ?超高的日志檢索速度，支持排除查詢(xún)，支持任意關(guān)鍵字組合查詢(xún)

     ?超高的日志存儲(chǔ)能力

智：智能化自動(dòng)學(xué)習(xí)，基本實(shí)現(xiàn)零配置。

穩(wěn)：十余年技術(shù)積累，國(guó)內(nèi)最早專(zhuān)利技術(shù)，上千實(shí)際案例，產(chǎn)品運(yùn)行穩(wěn)定。

全：全面的功能和全面的審計(jì)。

?不丟包：高峰流量不丟包，完全審計(jì)

?不漏審：全方位的審計(jì)，不漏掉從任何途徑對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)

?全功能：具有敏感數(shù)據(jù)發(fā)現(xiàn)、性能審計(jì)、漏洞掃描和風(fēng)險(xiǎn)評(píng)估

?能夠部署于任何環(huán)境

美：美觀的報(bào)表和界面。提供大量報(bào)告模板，包括各種審計(jì)報(bào)告、安全趨勢(shì)等?？蓪?shí)現(xiàn)報(bào)表格式和模板的自定義。

細(xì)：細(xì)粒度的審計(jì)和訪問(wèn)控制，達(dá)到字段、語(yǔ)句級(jí)。

文章名稱(chēng)：中安威士數(shù)據(jù)庫(kù)安全加固方案之公有云解決方案
本文來(lái)源：http://m.5511xx.com/article/cdgisss.html