缺乏安全的資料化轉型将使企業面臨更大的安全風險,頻發的資料安全黑天鵝事件,也讓每一個IT從業者都意識到保護資料安全已經刻不容緩,通過本課程, 将讓開發者了解到如何建構完備的企業級資料庫安全解決方案,通過内置的資料安全保護能力,資料備份恢複能力,資料安全通路方案來全方位的來保障資料這個最重要的生産資料, 同時在新的環境下,為實作最大限度的控制而設計的傳統安全方法将不再使用,通過雲上成熟的資料通路安全方案,在實作安全可控資料通路的基礎上, 還能盡可能讓開發者享受到自助使用資料庫的便利,進而充分提高研發效率。本次分享由阿裡雲資深産品專家周振興為大家系統介紹在雲資料庫時代如何實作完善的企業級資料庫安全解決方案。本次分享将概述企業級資料庫的安全挑戰以及阿裡雲全鍊路資料庫安全保護架構,從五個方面入手詳細介紹如何實作雲資料庫的安全管理,希望大家了解DMS企業級資料管理的理念與做法。
演講嘉賓簡介:周振興(花名:蘇普),阿裡雲資料庫産品事業部資深産品專家。
以下内容根據演講視訊以及PPT整理而成。
觀看回放
https://developer.aliyun.com/live/3099 本次分享主要圍繞以下三個方面:一、企業級資料庫安全挑戰
二、阿裡雲全鍊路的資料庫安全架構
三、雲端資料庫安全管理
一、企業級資料庫安全挑戰
1.三次典型資料庫安全事件
某盟“删庫跑路”:某盟主要向中小企業提供線上電子商務、線上營銷解決方案,有許多新零售領域的大客戶。2020年2月,該公司運維部一核心成員通過VPN登入公司核心業務運作伺服器進行惡意删庫操作,對公司造成巨大惡劣影響。該公司經7天完成資料恢複,向客戶賠付約1.5億,并被競争對手挖客戶,股價最高下跌36%。
此次事件不僅造成了巨大的直接經濟損失,客戶流失、信任度下降等間接損失也非常嚴重。可見該公司資料未備份或者僅備份在本地,未進行備份恢複測試。
Gitlab意外删庫:2017年1月,Gitlab由于黑客攻擊使資料庫中存在大量ddl、dml操作,導緻備庫延遲非常高。資料庫管理者進行備庫重建時“多視窗指令”執行錯誤,意外删除了主庫資料。事件發生後,Gitlab立刻公布了事件起因及詳細處理過程,全程透明。該事件多種備份手段恢複失效,導緻Gitlab 6小時最新資料徹底丢失,包括約4900送出、700客戶資訊。可見其未進行複雜場景的備份與恢複測試。
天津港危化品爆炸:據不完全統計,該爆炸事件影響了約10個資料中心,包括超算中心、一般資料中心。該事件具有突發性、無法預料。避免此類資料安全事件需要區域級的容災方案。
2.安全隐患
資料安全時間每隔一段時間就有發生,是以通過系統方式保障資料庫安全十分重要。以下列舉了幾類資料安全隐患。
外部竊取或攻擊:如網絡安全攻擊、網絡資料竊取等。
内部安全隐患:資料洩露20%~30%是由于内部安全隐患。包括資料庫權限管理困難,敏感資料發現、管理困難,人為誤操作難以避免,系統、軟體bug等。
不可抗力:地震、洪水等自然災害,以及其他導緻資料中心失效的因素,如爆炸、城市施工等。是以資料中心選址往往遠離此類地帶。
二、阿裡雲全鍊路的資料庫安全架構(概述)
資料庫:下圖底層所示為阿裡雲部分主要類型資料庫。阿裡雲有一系列資料安全解決方案,幫助使用者避免各種類型的資料安全事件。
SSL+TDE:SSL可以保證資料在公網傳輸過程的安全。即使有人擷取了資料包,也無法得知資料資訊。TDE對資料落盤進行加密,即使磁盤發生了實體丢失,擷取磁盤者也無法得知具體資料。
賬号/執行個體安全:最貼近資料庫的第一層保障。任何使用者通路資料庫都需要使用者名以及密碼保障賬号安全。另外資料庫賬号在權限控制上可以做到庫、表、列級别。并且在許多企業級資料庫會提供密碼複雜度檢測等功能提高賬号安全等級。以及備份恢複、審計等能力完整地保障賬号/執行個體安全。
資料庫安全通路DMS服務:幫助企業實作統一、高效的資料安全管理。
網絡控制:資料庫執行個體遵循最小通路原則,隻讓需要通路的應用伺服器通路資料庫。包括VPC網絡應用隔離、白名單、安全組快速配置管理等方式。
阿裡雲大安全系統:例如雲盾阻隔一般性攻擊,金融雲等環境有特殊實體/網絡隔離方案,堡壘機安全管理、RAM子賬号管理等。
三、雲端資料庫安全管理
1.SSL+TDE
SSL鍊路加密:保障傳輸安全。當使用者資料庫需要通過公網通路傳輸,或在阿裡雲環境下需要通過經典網絡通路時,建議開啟SSL。
其優勢是每一次資料通路與資料互動都以加密資料的形式進行傳輸,使用戶端與資料庫之間的所有通信加密傳輸,防止第三方竊取資料。另外SSL加密的資料不可篡改,避免第三方篡改攻擊。
阿裡雲SSL配置簡單靈活,可以指定某些賬号強制開啟SSL。無需配置和管理證書,即開即用。建議在網際網路和經典網絡中開啟SSL,增強安全性。
目前SSL加密是普遍通用的資料加密方式。
TDE存儲加密:任何資料落盤時通過密鑰對資料加密。使用TDE加密,即使資料在實體或磁盤層面被第三方擷取,沒有密鑰無法獲得具體資料。
其特點是可以支援執行個體級存儲加密。可通過OSS中的備份資料雙層加密。密鑰管理目前支援KMS系統以及BYOK兩種方式。TDE加密可一鍵開啟,配置簡單。
SSL/TDE配置簡單靈活:①登入RDS管理控制台;②頁面左上角選擇執行個體所在地域;③找到目标執行個體,點選執行個體ID;④左側菜單欄單擊資料安全性(如下圖左下頁面);⑤選擇SSL/TDE标簽頁。
2.VPC、安全白名單、使用者名/密碼
如何實作最小化權限與通路原則,在資料傳輸鍊路上盡可能避免不必要的人、伺服器或機器通路資料庫?例如應用A需要通路資料庫,如何配置僅對部署應用A的IP打開限制?
VPC:提供隔離的網絡環境。相同類型的應用才會放在同一個VPC中,并且隻有該VPC内部伺服器才能通路VPC内的資料庫,保證無關應用不能通路該資料庫。
安全白名單:更細粒度的網絡控制。若僅A、B、C三台應用伺服器需要通路資料庫a,可在該資料庫執行個體上以白名單方式配置隻允許A、B、C三台應用伺服器通路。可實作最小化權限與通路原則,使盡可能少的伺服器通路到資料庫。
使用者名/密碼:進入資料庫的鑰匙。合理使用者名/密碼的最佳實踐包含以下方案。第一,保證密碼複雜度并且定期更新密碼。第二,實作列、庫、表多級别權限控制。例如某個應用系統無需通路A列,可不為A列授權,實作最小化通路。第三,使用者名/密碼可與IP位址組合授權。
實際上使用者名/密碼最佳實踐的使用比較少。存在密碼多年不變更、通用賬号(賬号權限大)等情況。
3.企業級資料管理DMS
資料管理DMS:基于阿裡巴巴集團十餘年的資料庫服務平台的雲版本,提供免安裝、免運維、即開即用、多種資料庫類型與多種環境統一的Web資料庫管理終端。資料管理DMS可以為企業快速複制搭建與阿裡集團同等安全、高效、規範的資料庫DevOps研發流程解決方案,用以解決企業級環境下的資料管理挑戰。
企業級環境特點:研發人員多,人員增加及流失導緻使用者名/密碼難以管理,資料庫使用者名/密碼安全面臨問題;資料庫執行個體多,管理複雜度高;資料敏感度高。
企業級環境挑戰:存在賬号管理困難、誤操作威脅資料安全、敏感資料識别困難、資料庫審計粒度粗,資料庫變更難以流程化執行等多種問題。
核心功能大圖:如下圖所示。
以下通過具體業務場景講解企業級資料管理DMS的用處。
典型場景1:公司的營運、研發、測試、審計、實習生都可能需要對資料庫進行操作。當然資料庫不可能讓如此多員工全部登入資料庫進行操作。如果每個人都可以登入資料庫查詢資料,賬号密碼體系難以管理,資料安全隐患大,并且審計困難,資料庫穩定性難以保障。
經典解決方案是将所有查詢發送到DBA,DBA查詢完成後将資料發送給需要方。但是公司規模大、人員多時該方案人工查詢溝通效率低。
為了平衡安全與效率,使用DMS統一授權管理。所有資料查詢都通過DMS平台操作。查詢資料首先需要申請對應的資料庫權限。目前權限控制已經達到非常細粒度,包括權限類型、時間、目标。
DMS統一授權管理體系可以友善地管理權限。第一,當有人員職責變更,可以快速回收權限。第二,達到列級别粒度的權限管控。第三,面向個人雲賬号。第四,權限過期提醒。
典型場景2:第一,暴力查詢拖庫。例如将一個賬号給研發人員或營運人員,該人員可以從資料庫查詢到大量資料,将資料庫拖走。第二,有ddl權限者可以删庫跑路。另外還有資料洩露、慢查詢拖垮資料庫、誤操作等問題。
DMS企業級資料管理通過以下方式避免上述問題。首先,針對暴力查詢拖庫場景,當DMS中查詢操作超過一定量,需要進行額外審批,否則平台進行自動截斷,對安全性提供了巨大保障。第二,針對删庫跑路場景,若公司所有人員都通過DMS平台進行資料管理,所有危險操作都會觸發DMS平台的審批流程。第三,針對慢查詢場景,DMS具有kill機制,可以自動停止過慢查詢,保障資料安全。
典型場景3:敏感資料管理。随着對個人資訊的保護越來越強,個人資訊不僅影響着企業資料安全、企業信用,甚至涉及法律層面。敏感資料的管理達到了新的高度。
DMS提供了自動敏感資料發現能力,可以自動識别位址、電話号碼、身份證件等敏感資訊,并預設不允許查詢敏感資料。如果出于業務需要查詢敏感資訊,需要申請權限。
如下圖右下角頁面所示,敏感資訊預設為密文形式,大大保障了敏感資訊安全。
典型場景4:在一家企業的最佳實踐中,基本所有研發、測試、營運、産品等人員都需要進行查詢操作,是以審計非常重要。如果使用傳統審計方式,需要專業DBA介入,并且耗時長。
DMS平台具有完善的審計流程。DMS中所有操作都會記錄在DMS日志中心,支援多元度搜尋,包括人員、資料庫、表、功能子產品、操作時間等相關記錄檔。
綜上所述,DMS平台可以幫助使用者實作高效、安全的企業級資料庫安全管理。
4.備份與恢複
備份是最後一道資料保護措施,同時也是一種事後的資料保護措施,即出現問題後通過備份恢複資料。上文描述的Gitlab案例,出現重大問題後多種備份方式失效,導緻了重大損失。是以備份安全與恢複十分重要。
備份可以修複存儲媒體錯誤、應用程式錯誤、人為錯誤、自然災害與網絡攻擊導緻的問題。同時備份資料具有合規要求,也可以發現額外的資料價值。
一般備份與恢複注意事項:首先需要配置資料庫備份,定義備份計劃。其次需要對各類場景進行備份與恢複測試,驗證有效性。第三,需要日常監視、優化備份與恢複。第四,從備份恢複資料時,需要按照具體時間點進行恢複。
雲端實作安全可靠的資料庫備份:阿裡雲以及一般資料庫都具有下圖左側所示RDS自帶的備份能力。另外阿裡雲可以使用DBS(資料庫備份)産品進行資料庫備份。
DBS:下圖左下角所示頁面為官網介紹。使用DBS可以實作多雲、多環境的資料庫備份。無論是ECS自建資料庫、本地資料中心還是其他雲上資料庫,DBS都可以進行資料庫備份。關系型資料庫目前支援MySQL、ORACLE、SQL Server,以及支援一些NoSQL資料庫備份。
DBS備份支援全量資料與增量日志備份,可以進行基于時間點的恢複。可通過SSL線路、VPN、專線方式連接配接到本地資料中心或者其他雲環境進行資料庫備份。
下圖右側所示為DBS産品相關元件。可以通過KMS密鑰管理系統對備份資料進行加密。也可以将不同環境的資料庫備份恢複到RDS進行資料驗證,甚至實作資料遷移。
5.SQL審計
SQL審計會記錄所有資料庫相關操作,包括人、系統、應用的操作,可以幫助使用者發現誰在某時間對某對象進行了某操作。SQL審計的量往往巨大,所記錄的資訊非常全面,可以做的事很多,也正因如此有時會比較慢
如果使用阿裡雲SQL審計,可利用以下功能加快操作速度。
攻擊事件識别:可通過SQL審計發現漏洞攻擊、SQL注入、暴力破解、資料竊取等。
操作權限監控:可識别越權操作。
合規審查分析:幫助企業完成等保合規審查、資訊安全管理合規審查。
以上三項為較低頻操作。
輔助業務優化:由于SQL審計記錄了所有SQL執行情況,可以有效分析SQL執行時長、頻率以及資料庫操作分布和資料庫對象使用分析。
在阿裡雲資料庫上使用SQL審計操作非常簡單。①登入RDS管理控制台;②找到目标執行個體,單擊執行個體ID;③左側導航欄單擊SQL洞察;④單擊立即開通。
SQL審計量非常大。阿裡雲SQL審計提供了一些能力優化,支援對關鍵字、時間範圍、使用者、資料庫、操作類型等進行搜尋與查詢。有效幫助使用者在海量SQL審計資料中查詢到所需資料。
希望本次分享可以令有興趣的使用者了解阿裡雲全鍊路的資料庫安全保護的理念與做法,也可以将部分理念引入到自己的企業,實作高效便捷的資料庫安全保護。