安华金和阿里安全峰会分享 公共云数据安全如何应对

如同多年前,当银行刚刚出现,人们担心把财产从后院转移到银行会不会被吞掉?现在,随着公共云服务的逐步推广,虽然深知它的便利性,但用户仍然担心公司各项业务数据交给云平台管理,是不是等于向别人公开了我的商业秘密?

回望过去,虽然我们现在已不再怀疑银行对客户资产的保护能力,但这是基于银行完善而可靠的资产安全体系。那么,对于公共云服务平台,数据安全性的保障同样成为用户的首要考虑。7月13、14日,以“聚力.赋能”为主题的阿里安全峰会在国家会议中心召开,安华金和受邀参会并发表演讲,作为阿里云安全战略合作伙伴在云安全论坛中对于“公共云数据安全面临的挑战与应对”展开分享。


安华金和联合创始人兼副总裁杨海峰

安全性是企业面对云计算的首要考虑

来自知名研究机构IDC的统计结果显示:相比性能、可用性、集成度等问题,用户对于安全性的顾虑排在第一位,占到75%。我们发现,由于对云平台的数据安全性存在顾虑,很多用户不得不选择采用私有云这种折衷方式来规避这种风险,但对于大多数规模、体量不太大的用户来说,建设私有云并不现实,性价比更高的公共云是最好的选择。

公共云数据安全的新挑战和老问题

通过梳理公共云环境的安全现状,我们发现,当用户数据迁移至云端,数据安全依然存在内部运维风险、外部黑客攻击等老问题,同时,由于今天的公共云相比传统数据中心环境发生了一些变化,这给公共云数据安全带来了新的挑战。

 

1、多用户共享云服务环境是否安全

公共云平台的特点是开放的服务环境、多租户环境,这引起用户极大的顾虑,比如同行业的云用户不免产生疑虑:对于这样一个开放的平台,是否我的营销数据、人力资源数据、财务数据等会被竞争对手看到?

2、公共云运维环境是否安全
在云计算架构中,IaaS、PaaS、SaaS各层分别存在数据泄露的风险;IaaS能够从存储层获取数据,PaaS能够从操作系统和RDS获取数据,SaaS能够直接从SaaS系统中获取数据。这些都是公共云环境下会造成用户数据资产不安全的关键问题。

面对公共云数据安全面临的新挑战和老问题,安华金和杨海峰提出:构建公共云数据多层防护框架是真正有效的解决方案。

参考Gartner的云安全防护报告,我们以云数据持续监控与防护为核心思路的公共云数据多层防护框架。框架模型中包含四个象限:数据安全、风险感知、数据合规、威胁防护,形成闭环,实现事前、事中、事后的全阶段安全防护。

一、数据安全是基础,按需加密是关键

我们知道,最根本有效的数据保护是对敏感数据进行加密处理,同时,确保密钥由用户掌控。对于复杂的云运维和多租户环境, 云平台的使用牵涉到四个角色的安全顾虑:

IaaS服务商担心黑客攻击、内部人员数据泄露;
PaaS服务商担心IaaS服务商盗用数据;
SaaS服务商担心IaaS、PaaS服务商盗用数据;

最终用户担心各环节服务商窃取数据。

因此,面对不同角色的安全需求,真正具有高可用性的数据库加密方案决不是单一而通用的策略,针对云计算架构的不同层次,按需采用灵活合理的数据加密技术保护数据资产是关键。

1、文件层透明加密

文件曾加密方案中,密钥存储在云端,解决IaaS服务商通过存储层盗取数据的问题。

2、数据库层透明加密
对于PaaS厂商具有操作系统和操作管理员权限,可以通过操作系统获取数据,使用数据库层透明加密,是相对安全的加密方案。

3、应用层(JDBC层、CASB层)透明加密

前者是在JDBC层自动进行数据加密后存储在数据库中,而CASB层透明加密则需要部署在企业层,企业访问公共云时,PaaS平台对敏感数据进行加密。两种方式同属应用层加密,解决SaaS服务商盗取数据的问题。

二、准确及时的风险感知能力

本次安全峰会中,多家安全企业不约而同的谈到风险感知,不难看出,面对攻击技术的飞跃,安全的定义不再是简单的兵来将挡,事前的风险感知能力越发重要。通过对国内外安全事件的深入研究,我们发现,大多数泄漏事件的攻击目标直指核心数据库资产,安全漏洞攻击、SQL注入、病毒感染等常用手段正在不断演变攻击形态。面对越来越复杂的数据安全威胁,如何准确感知?杨海峰认为:依托持续监控和行为分析,对应用侧和运维侧进行数据库行为的全面采集,形成完善的语句结构模型,能够确保威胁发生的第一时间准确感知来自外部或内部的安全风险。

三、符合数据合规性要求

应对各行业内的数据合规性要求,我们需要保证:

  1. 敏感数据不外流
  2. 数据敏感性处理不遗漏
  3. 数据脱敏后保证有效性
  4. 数据间关联关系不变

基于此,我们使用脱敏产品准确发现全部敏感数据,并进行屏蔽、转换,随机化等方式进行数据处理,并保证处理后的数据不影响业务系统的有效使用。

四、威胁防护与风险感知联动并发

确保防护准确有效,应当基于风险感知能力联动并发。
对于来自运维侧的内部威胁,进行细粒度的强制访问控制,阻断风险行为;对于恶意程序的数据窃取行为,基于风险感知,进行有效识别和阻断拦截。

信息技术的发展没有极限,如同人类追求自由的脚步永不停滞,云计算技术使我们对数据的使用更加自由,而如安华金和一样的安全厂商正在背后为这份自由全力以赴。聚力、赋能,在安华人的眼中,我们将之诠释为:聚全力,赋予数据自由飞翔的能力。

最后编辑于:2016/7/14作者: 安华金和

安华金和

安华金和专注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。