雲端資料安全,是雲安全中核心的問題之一。要實作雲資料安全,需要從多個角度去努力。對資料通路情況的跟蹤記錄審計,是雲資料安全的基本要求。本文從資料源頭——資料庫的保護角度,以幾個問題的問答方式,分析資料庫的安全審計問題。
1.什麼是雲端資料庫?
廣義的說,雲端資料庫就是把資料庫放到了雲端。這裡包括三類:1)公有雲服務商以SAAS的方式,提供給租戶的資料庫伺服器;2)私有雲上預先搭建好的SAAS方式的資料庫伺服器;3)租戶租用雲端伺服器,自己安裝和搭建的資料庫。而狹義的說,僅指公有雲服務商提供的SAAS形式的資料庫伺服器,通常包含一個虛拟機系統和已經安裝在上面的資料庫系統。本文後續部分如果沒有特别指出,雲端資料庫僅指公有雲端的SAAS資料庫。至于資料庫的種類,在每個雲平台上有所差別,但是主要的有關系型資料庫RDB以及非關系型資料庫NOSQL。
2.雲端資料庫有哪些特殊性?
得益于雲計算的特性,相比于傳統環境下的資料庫,在雲端的資料庫具有如下優勢:
- 搭建速度快。雲服務商預先搭建好資料庫模闆,租戶隻需要根據需求,操作滑鼠調整各種參數,在秒級時間内,就能夠快速部署好所需要的資料庫;
- 建構成本低。不需要一次性投入,隻需要按照實際使用的計算資源和使用時間付費;
- 彈性可伸縮。資料庫伺服器的性能參數,可以根據實際情況動态調整;
- 可靠性高。雲服務商已經解決了硬體裝置和資料的容災和備份問題,可靠性很高;
- 維護量小。租戶隻需要少量對資料的維護,不需要對伺服器硬體、OS等進行維護。
除去以上優勢,雲端資料庫的一個問題是可控性較低。這裡說的可控性是指租戶對資料庫系統的控制能力。雲服務商為了實作如上優勢,雲端資料庫通常隻對租戶開放資料庫通路接口。就是說租戶對資料庫的所有通路和維護,都隻能通過這個接口進行。租戶甚至不能登入到資料庫所在的作業系統,以實作對資料庫系統的更多管理。
3.雲端資料庫面臨哪些安全問題?
資料庫存儲着系統的核心資料,其安全方面的問題在傳統環境中已經很突出,成為資料洩漏的重要根源。而在雲端,資料庫所面臨的威脅被進一步的放大。其安全問題主要來自于以下幾方面:
1) 雲營運商的“上帝之手”。如上所述,雲端資料庫的租戶對資料庫的可控性是很低的,而雲營運商卻具有對資料庫的所有權限。從技術上來說,雲營運商完全可以在租戶毫無察覺的情況下進入資料庫系統;或者進入資料庫伺服器所在的虛拟機;或者進入虛拟機所在的宿主實體伺服器;或者直接擷取到資料庫檔案所在的儲存設備。也就是說,任何租戶的資料,對雲營運商來說,幾乎是完全開放的。而對于有商業價值的資料,對雲營運商的衆多技術人員來說,絕對有足夠的吸引力;
2) 來自于其它租戶的攻擊。同一個雲平台上的其它租戶,有可能通過虛拟機逃逸等攻擊方法,得到資料庫中的資料;
3) 來自租戶自身内部人員的威脅。租戶内部人員能夠直接使用帳号密碼登入到雲資料庫,進而進行越權或者違規的資料操作;
4) 更廣泛的攻擊。有價值的資料放在雲上之後,各種來源的攻擊者,都“惦記”着這些資料。可能通過各種方法來進行攻擊以擷取資料,如近年來頻發的SQL注入攻擊事件,就導緻了大量雲端資料的洩漏。
4.為什麼需要資料庫審計?
要解決如上所述的資料安全問題,需要多方面的防禦手段。但是對資料庫通路情況的記錄和審計,是最基本的安全需求。租戶需要清楚的知道,自己的資料庫,在什麼時間,被什麼人,以什麼工具,具體做什麼通路,又拿到了什麼資料。并且需要知道什麼時候出現了攻擊行為和異常的通路情況。這些功能,正是合格資料庫審計産品所必須具有的功能。
5.誰需要資料庫審計?
雲營運商:雲營運商需要引入資料庫審計産品,以友善快捷的方式,為其租戶提供資料安全服務。這既是提高其雲平台競争力的手段,同時也是“自證清白”的有效途徑。
租戶:租戶需要資料庫審計,以增強資料安全防護能力。
6.雲端資料庫審計有哪些特殊要求?
跟傳統環境相比較,對于部署在雲端的資料庫審計,具有一些特殊的要求。具體展現在:
1)高性能。“性能、性能、性能”,重要的事說三遍。在雲上,對性能的要求是苛刻的。主要的原因就在于雲計算“資源即費用”的收費模式。對于同樣的資料庫審計能力,産品性能越低,需要的計算資源越高,費用自然就越高。反之,産品性能越高,需要的計算資源越少,費用自然就越低。
2)中立性。對于雲端的資料安全措施,好的方式就是第三方的。所謂的“第三方”,就是指這種安全措施,不是由雲營運商提供的,而是由其它獨立廠家提供的。之是以這樣要求的原因很簡單,就好比雲營運商給了我們一把鎖和一把鑰匙來保護你的資料,我們怎麼能保證他沒有另一把鑰匙呢?況且這個鎖每天就放在他們院子裡。顯然,資料庫審計最好也是第三方的。
3)與雲平台解耦。也就是産品的實作獨立于具體的雲平台,不需要雲營運商的研發做對接即可完成。這樣的好處是既能減少了雲營運商的工作量,友善今後的更新;同時也能減少雲營運商對審計過程進行幹擾的可能性,進一步的保證中立性;而對資料庫審計提供商來說,則可以低成本、快速的在多個雲平台上進行部署。
4)審計内容不會洩漏。這涉及到審計産品擷取資料的方式以及部署的方式。如果審計産品通過流量複制(鏡像)的方式擷取資料庫通信内容,那麼這些被複制的通信内容就存在被洩漏的可能,而這些内容中含有大量的敏感内容。或者,如果采用由資料庫審計服務商集中管理所有租戶審計内容的方式,那麼審計服務商則有機會看到所有租戶審計内容中的敏感資訊,同樣存在洩漏的可能。
5)審計所有通路資料庫的途徑。合格的雲端資料庫審計産品,應該能夠審計到如下幾個途徑對資料的通路:
a) 雲營運商直接登入資料庫所在伺服器,通路資料庫,即所謂的“上帝之手”;
b) 其它租戶通過虛拟機逃逸,連接配接到資料庫進行通路;
c) 租戶内部人員對資料庫的所有通路;
d) 外部攻擊者通過SQL注入、網站後門等方式對資料庫的違規通路;
e) 應用程式正常的資料庫通路。
7.如何選擇雲端資料庫審計?
雲端資料庫審計提供彈性審計能力,以及以"審計即服務"的方式進行傳遞,保證了快速的傳遞和低成本。但是在具體選擇雲端資料庫審計産品的時候,還需要從以下幾個方面進行考慮。
1)選擇中立性的廠商。在雲端,包括資料庫審計産品在内的所有資料安全産品的廠家都應該是絕對中立的,也就是說雲服務商自身不能是資料庫安全廠家,甚至不能與資料庫安全廠家有過于緊密的利益關系,比如股權合作。雲服務廠家也應該優先推薦中立公司的資料安全産品。
另外,租戶可以選擇在多個雲平台上都已成功部署的廠家,這也能部分的確定其中立性。
2)選擇高性能的資料庫審計産品。在雲端,資料庫審計産品的性能越高,租戶投入的成本越低。在對資料庫審計産品進行性能評估的時候,租戶需要搞清楚三個性能,以確定選擇到心儀的産品。
其一是連續處理性能。這是最最重要的性能,甚至是很多租戶需要真正關心的唯一性能,也是資料庫審計産品的首要品質因素。所謂的連續處理性能很好了解,就是産品能一直以這個性能進行長時間的工作,不會出現漏審現象。技術上講,連續處理包括收包、協定解析、SQL解析、規則比對和風險識别、入庫等處理環節。我們需要所有這些處理環節都達到一個穩定的性能,不存在性能瓶頸。
很多廠家宣傳時候,避重就輕,隻宣傳峰值處理能力,而不提連續處理能力。其所謂的峰值處理能力,一般指收包的能力,或者最多到規則比對的能力。這個能力,實際并不是産品的真正處理能力,其産品很可能存在性能瓶頸。因為收包或者處理很快,但是不能即時完成分析、入庫,結果就是在流量稍大于其性能瓶頸時造成漏審。使用者在選擇資料庫審計産品時,需要識别出其連續處理性能,而不要被峰值性能混淆。比如市場上某幾款産品的入庫性能即是其連續處理性能。
其二是内容檢索性能。這是第二重要的性能,直接關系到租戶的體驗和産品的價值。對于分析存儲後的審計内容,需要在随時以高效的速度進行檢索。而且,這種檢索必須是任意關鍵字的檢索,因為我們需要檢索資料庫通路日志中的具體内容。比如檢索“張三”、“李四”、STUDENT(表名)等的通路情況。如果檢索性能很低,那麼存儲的審計内容越多,産品的可用性就越低,産品的價值就越低。
很多廠家在宣傳的時候,宣稱檢索性能很快,實際指的并不是這種任意關鍵字檢索的性能,而是對對結構化部分内容的檢索。對于諸如IP位址、使用者名、時間等結構化的内容,幾乎所有的資料庫審計産品能夠達到很高的檢索性能。但是任意關鍵字檢索才是租戶真正關心的功能,其功能和性能都必須單獨提出,不能被回避。
其三是存儲性能。雲端的存儲也是需要付費的,是以我們希望機關硬碟空間能夠存儲的審計内容越多越好。很多廠家在宣傳的時候,都隻說能存儲多少條SQL,但是沒有明确用了多大的硬碟空間。我們需要明确知道機關硬碟空間的存儲能力,比如1TB硬碟空間能夠存儲多少條SQL日志。
3)選擇能夠審計“上帝之手”的産品。“上帝之手”的存在,是每個雲租戶的夢魇。雲端資料庫審計産品必須能夠審計到上帝之手對資料的通路,這是雲廠家和租戶都關心的功能。這就要求審計産品有特殊的内容擷取方式。有些廠家通過軟體定義網絡,以旁路複制(鏡像)流量的方式擷取資料庫通路流量,這種方法既不安全,也容易丢包,更不能防止這種“上帝之手”。因為上帝之手通路資料庫時,完全可以繞開這種審計機制。
4)選擇風險識别能力高的産品。雲資料庫審計關系到雲端資料安全的問題,風險識别能力一定要高。由于産品防護内容的特殊性,需要在應用層進行規則設定,這比傳統的防火牆的配置更複雜。這就要求産品具有細粒度的風險識别能力,包括表、字段、語句級,并且這些規則最好是由産品自動學習完成的。此處“語句”級是極細的一個粒度,代表資料能夠被合法通路的最具體的方式。目前絕大多數的資料庫審計産品,都還不支援語句級粒度,租戶要注意分辨。
5)選擇租戶可以完全控制的系統。資料庫安全産品保護敏感資料,最好是租戶可以完全控制的。這就要求:首先,資料庫安全廠商傳遞給租戶的資料庫審計産品,應該是一個獨立的虛拟機,就好像傳統環境中的一個獨立裝置,進而可以控制審計内容的存儲主體;其次,這個虛拟機應該部署于租戶的虛拟區域網路中,進而防止審計内容外發;然後,這個虛拟機的登入密碼應該完全由租戶掌握,隻有租戶自己能夠登入。
8.中安威士的雲端資料庫審計是個什麼樣的産品?
中安威士雲端資料庫審計産品釋出于2016年10月,得益于産品的優秀特質,迅速的完成了阿裡雲、騰訊雲、華為雲、青雲等多個公有雲平台的上線。目前在公有雲上的覆寫率遙居第一位,并且與多個私有雲實作了商業合作。具體來說,中安威士雲端資料庫審計具有以下特質。
1)完全中立的第三方審計。為了給市場提供可信賴的産品,中安威士在早期發展中堅持“不站隊”的政策,既不接受安全廠商的投資,也不接受雲廠家的投資。在多個公有雲的迅速快速上線,也間接的證明了這種中立性;
2)業界高性能。得益于技術團隊深厚的技術積累和十年磨一劍的決心,中安威士資料庫審計産品具有業界領先的處理能力,傲視群雄,“不服跑個分?”。
· 連續處理性能方面,在低配I3-CPU配置下,能夠實作每秒超過3萬條SQL語句的連續處理能力,在I7-CPU配置下,能夠實作每秒超過10萬條SQL語句的連續處理能力。而且峰值能力更是達到連續處理能力的2倍以上;
· 内容檢索性能方面,在低配I3-CPU配置下,從1億條審計内容中檢索任意關鍵字,能在在5秒之内完成;
· 存儲性能方面,得益于獨有的資料壓縮技術,每TB硬碟空間能夠存儲30-70億條SQL。
· 并發處理能力方面,配備I3-CPU的低配版本也能輕松突破10萬。
3)嚴防“上帝之手”。得益于特殊的審計内容擷取技術,中安威士資料庫審計能夠審計一切租戶對資料庫的通路,包括加密連接配接和雲平台的“上帝之手”。
4)風險識别能力高。中安威士資料庫審計能以自動學習的方式完成表、字段、語句級的規則設定。其中語句級規則能夠嚴格的描述合規通路的模式,具有非常高的風險識别能力。目前國内隻有極少數資料庫審計産品能做到這一粒度。
5)租戶完全控制。中安威士資料庫審計系統以獨立的虛拟裝置方式,部署于租戶的虛拟區域網路内。所有的審計内容不會轉發到區域網路之外,并且僅有租戶可以正常登入通路審計系統,由此確定了租戶對審計裝置的完全控制權。
9.對于雲資料庫安全,僅僅資料庫審計夠嗎?
雲端的資料防護是個系統工程。資料庫審計是一個非常有必要的、基礎性的資料安全政策。但是僅有資料庫審計是遠遠不夠的。比如,資料庫審計雖然能發現來自“上帝之手”、租戶管理者、外部攻擊者的SQL注入等違規和攻擊,但是卻不能實時的阻止。又比如,資料庫審計也不能阻止“上帝之手”直接分析資料庫伺服器的存儲檔案系統,獲得資料庫内容。
中安威士将繼續釋出雲端資料庫防火牆、雲端資料庫加密等雲端資料庫安全産品,進一步解決如上資料安全問題。