公有云 OR 私有云,数据安全不再是个问题

互联网时代的众多产物中,如果说有哪些让用户“又爱又怕”,时下正流行的“云平台”想必要排在前面。IDC 调查显示,对于是否上云,用户顾虑重重:内部IT集成、自定义能力、付费成本等等……,但这些都不是重点,IDC发现75%的用户焦虑的是:上云后的数据安全性如何保障?

因此,很多用户开始考虑采用私有云这种折衷方式来规避这种风险,但对于大多数规模、体量不太大的用户来说,建设私有云并不现实,性价比更高的公有云才是最好的选择,但事实上,无论私有云和公有云,在数据安全方面都面对不同的安全挑战。如何为不同云环境下的用户提供有针对性的数据安全解决方案,安华金和已经有了答案。

8月9日,北京国际会议中心,阿里云栖大会.北京站拉开帷幕,安华金和作为阿里云战略合作方受邀参展。针对私有云与公有云的环境差异,安华金和针对云数据安全给出完美解答,不同云环境,不同防护方案。

20160809-3.jpg

私有云环境下,兼顾合规,全面防护

基于信息化水平、资金实力等原因,选择私有云的用户大多分布在政府、金融、运营商、央企等行业。私有云环境相对纯净,安全性方面可以自己把控,不存在过多的安全威胁,但我国信息安全等级保护要求中,对于数据安全提出明确要求,因此满足合规是私有云用户最为关心的问题。

针对合规性要求安华金和给出四点解决方案:

数据保密性:通过数据库加密产品,对数据库中敏感信息按列进行加密保存。

访问控制:通过数据库漏扫数据库防火墙数据库加密实现最小授权,使得用户的权限最小化,对重要信息资源设置敏感标记。

安全审计:通过数据库审计实现对用户行为、安全事件等记录,事后可追查。

漏洞修复:通过数据库防火墙的虚拟补丁功能,在不影响业务正常运转的情况下,保持系统补丁及时得到更新。

在满足数据安全合规性的前提下,全面的安全防护是最终目的。安华金和提出构建数据库安全纵深防御体系,通过对数据库建立四道安全防线机制,从根本上防御内外部对数据库中核心数据的窃取和不良操作等行为。

1)检查预警:数据库漏洞扫描

定期进行数据库安全检查,评估是否存在安全漏洞并提供修复建议,为数据库系统安全基线的提升提供参考。

2)主动防御:数据库防火墙

采用数据库防火墙技术对内外部访问行为进行过滤,防止高危及未授权访问、SQL 注入、权限或角色的非法提升以及敏感数据非法访问等行为,并通过虚拟补丁技术避免数据库因无法进行补丁升级,而造成的恶意访问。

3)底线防守:数据库加密数据库脱敏

对敏感数据加密和脱敏处理,有效防止内部人员随意接触敏感信息,导致数据泄露。满足企业保护敏感数据的同时,保证监管合规。

4)事后追查:数据库审计

实时记录数据库操作,进行细粒度审计,对数据库遭受到的风险行为进行告警。通过对用户访问行为的记录、分析,帮助用户生成合规报告、事故追根溯源,提高数据资产安全性。

20160809-2.jpg

公有云环境下,多层架构,持续监控和防护

相比私有云,公有云环境相对复杂的多,开放的云服务环境、多租户状态,让用户上云顾虑重重。一方面,传统环境下的外部攻击在公有云平台同样存在;另一方面,围绕云平台的各类服务商或多或少的接触用户数据,同样存在泄露风险。

IaaS厂商,具有从存储层直接访问数据的能力,是潜在的数据非法访问者和泄露者;

PaaS厂商,具有超级管理员权限,可以从操作系统层直接访问到数据;

SaaS厂商,可以直接获得SaaS用户的系统资料,存在潜在泄露路径;

黑客突破系统防御,入侵数据库系统,获得数据(和传统环境面临的威胁基本相同,在云端影响会被放大)。

针对公有云环境中复杂而多变的威胁来源,安华金和提出以云数据持续监控与防护为核心思路的公有云数据多层防护框架。

1、数据库风险感知

大多数泄漏事件的攻击目标直指核心数据库资产,安全漏洞攻击、SQL注入、病毒感染等常用手段正在不断演变攻击形态。通过数据库审计对应用侧和运维侧进行的数据库行为采集,能够帮助我们形成完善的语句结构模型,确保威胁发生的第一时间准确感知来自外部或内部的安全风险。

2、数据库数据加密

数据库加密技术是整个公有云安全防护思路的关键点,当威胁渗透至核心数据库,对数据库加密是底线防守的终极武器。在确保企业对密钥可控的同时,按需采用灵活合理的数据加密技术保护数据资产的核心数据库是关键。

3、数据库威胁防护

确保防护准确有效,应当基于风险感知能力联动并发。通过数据库防火墙,对来自运维侧的内部威胁,进行细粒度的强制访问控制,阻断风险行为;对恶意程序的数据窃取行为,基于风险感知,进行有效识别和阻断拦截。

4、数据库安全合规

回到合规性,依然是数据安全防护的最后一关,通过数据库脱敏准确发现全部敏感数据,并进行屏蔽、转换,随机化等方式进行数据处理,并保证处理后的数据不影响业务系统的有效使用。

20160809-1.jpg

云时代已来临,或主动、或被动,大多数企业终将加入上云的队伍。是否解决了云端数据的安全可控问题,决定用户步伐轻松或是步履沉重。让用户不再纠结,安华金和始终坚守一句承诺:数据在哪里,安全就在哪里。

最后编辑于:2016/8/24作者: 安华金和

安华金和

安华金和专注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。