一、背景
隨著數(shù)字化的發(fā)展,數(shù)據(jù)庫已成為各企事業(yè)單位業(yè)務(wù)運營的基礎(chǔ),由于數(shù)據(jù)庫運維人員掌握著最高權(quán)限,一旦運維操作出現(xiàn)安全問題,比如數(shù)據(jù)庫誤操作、惡意刪除等,將會給企業(yè)或單位帶來巨大的損失。
2020年2月25日,“天降橫禍”,微盟官方宣稱,微盟的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫遭遇其公司運維人員的刪除。犯罪嫌疑人為微盟研發(fā)中心運維部核心運維人員賀某,其在2月23日晚18點56分通過個人VPN登入公司內(nèi)網(wǎng)跳板機,對微盟線上生產(chǎn)環(huán)境進行了惡意破壞。后來,當(dāng)事人賀某被警方刑事拘留,而微盟在騰訊云的協(xié)作下,花了七天七夜才找回數(shù)據(jù)再加上客戶賠付、數(shù)據(jù)恢復(fù)和加班支出,總計高達數(shù)千萬元。
2021 年1月6日,北京第一中級人民法院公布了一份刑事裁定書,前鏈家員工因不滿工作調(diào)整,刪了公司 9TB 數(shù)據(jù),鏈家為恢復(fù)及重新構(gòu)建財務(wù)系統(tǒng)共計花費人民幣 18 萬元。
曾經(jīng)流傳在江湖的“刪庫跑路”傳說,沒想到真的會發(fā)生,而且這樣的事件還很多,透過事件看本質(zhì),也非常值得深思,其實就是數(shù)據(jù)安全問題,數(shù)據(jù)庫作為企業(yè)或單位最核心的IT信息系統(tǒng),重要性不言而喻,數(shù)據(jù)庫的安全性就是要保護數(shù)據(jù)庫,以防不合法使用所造成的數(shù)據(jù)泄露、纂改或破壞。在運維場景下如何進行數(shù)據(jù)庫安全管控,解決“刪庫跑路”的擔(dān)憂呢?昂楷結(jié)合多年的數(shù)據(jù)安全建設(shè)經(jīng)驗,探討一下數(shù)據(jù)庫安全管控的思路和技術(shù)手段。
二、傳統(tǒng)安全手段捉襟見肘
提起數(shù)據(jù)安全,我們想到的就是組織建設(shè)、制度流程、技術(shù)工具、人員能力,這是一套體系化的建設(shè)思路,也是最完美的方案,解決的是信息安全方面的問題,當(dāng)然這也需要獲得高層支持和資金支持,當(dāng)沒有足夠的資金投入到數(shù)據(jù)安全體系建設(shè)中,應(yīng)該如何利用標(biāo)準(zhǔn)化的產(chǎn)品技術(shù)工具來輔助我們提升安全能力,解決信息安全點、線的問題呢?這就是要重點談的內(nèi)容。
傳統(tǒng)安全手段一般采用堡壘機進行運維安全管控,但是堡壘機也存在安全“盲區(qū)”,對運維人員操作行為只能以錄屏的方式進行安全監(jiān)控;對于危險SQL指令操作無法第一時間進行阻斷處理,當(dāng)然不是說堡壘機不好,一個安全產(chǎn)品不能解決所有場景的問題,他的弊端需要依靠其他技術(shù)手段或管理手段來彌補。
三、數(shù)據(jù)庫安全管控應(yīng)對思路
信息安全領(lǐng)域有個概念叫縱深防御,強調(diào)是通過多層次、多維度的安全措施來構(gòu)建一個強大的安全防護體系,縱深防御模型的基本思路就是將信息網(wǎng)絡(luò)安全保護措施有機組合起來,針對保護對象,部署合適的安全措施,形成多道保護線,各安全措施能夠相互支持和補救,盡可能地阻斷攻擊者的威脅。針對運維場景下的數(shù)據(jù)庫安全,昂楷有兩種應(yīng)對思路,這也是Ankki數(shù)據(jù)安全治理理念“精準(zhǔn)可視,安全可控”的體現(xiàn),具體思路如下:
使用數(shù)據(jù)安全中的數(shù)據(jù)庫防火墻技術(shù),對數(shù)據(jù)庫的協(xié)議進行深度解析,通過主動防御機制,實現(xiàn)對數(shù)據(jù)庫訪問行為的控制,對危險行為進行阻斷,并且對阻斷的操作回話進行審計記錄,實現(xiàn)事中監(jiān)控和事后審計的作用。
利舊堡壘機,將傳統(tǒng)堡壘機技術(shù)與新的數(shù)據(jù)庫防火墻技術(shù)相結(jié)合,堡壘機做統(tǒng)一賬號管理、統(tǒng)一身份認(rèn)證、過程審計,數(shù)據(jù)庫防火墻做數(shù)據(jù)庫協(xié)議操作級別的授權(quán)、管控、審批。在網(wǎng)絡(luò)方面,通過管控堡壘機及堡壘機前置機到數(shù)據(jù)庫的訪問關(guān)系,限制其他途徑訪問數(shù)據(jù)庫的通道。
四、數(shù)據(jù)庫安全管控技術(shù)手段
數(shù)據(jù)庫防火墻是數(shù)據(jù)庫安全管控的重要技術(shù)手段之一,Ankki數(shù)據(jù)庫防火墻充分考慮運維場景的數(shù)據(jù)安全需求,從多點切實解決運維側(cè)的數(shù)據(jù)安全。
權(quán)限管控。按照“知所必須、最小授權(quán)”的原則進行授權(quán),使其只能訪問職責(zé)所需的數(shù)據(jù)信息,且具備職責(zé)所需的最小數(shù)據(jù)操作權(quán)限。數(shù)據(jù)庫防火墻通過細(xì)粒度的策略設(shè)置條件如用戶賬號、IP地址、操作行為、數(shù)據(jù)庫表或字段、影響行數(shù)、操作時間等等,制定靈活多變的數(shù)據(jù)防護策略,覆蓋各種具體實際的用戶使用場景。
敏感數(shù)據(jù)防護。數(shù)據(jù)庫防火墻自動發(fā)現(xiàn)數(shù)據(jù)庫對象中包含敏感數(shù)據(jù)類型,并進行智能分類分級,可根據(jù)敏感字段定義敏感數(shù)據(jù)防護規(guī)則,進行敏感字段的操作行為審計與防護,可直接阻斷敏感數(shù)據(jù)未授權(quán)訪問。
高危操作防護。數(shù)據(jù)庫防火墻可以利用運維人員的身份特征,控制使用者的操作權(quán)限,對高危操作如drop、truncate、不帶where條件的更新、不帶where條件的刪除、特權(quán)操作全程進行審計,并能實現(xiàn)數(shù)據(jù)庫操作命令行級阻斷,保持會話連接情況下實現(xiàn)違規(guī)操作的命令阻斷。
高危操作審批。數(shù)據(jù)庫防火墻集成審批電子流程,也可以與OA系統(tǒng)對接。針對確實需要進行高危操作的運維或開發(fā)人員,可在數(shù)據(jù)庫防火墻上提交高危操作的審批的工單,工單審批通過后,操作員可操作工單中的內(nèi)容,數(shù)據(jù)庫防火墻會在一定時間內(nèi)放行,通過此功能,可對高危操作進行有效管控,在不影響業(yè)務(wù)的情況下保障運維安全。
風(fēng)險數(shù)據(jù)可視化。根據(jù)信息安全管理要求,數(shù)據(jù)庫防火墻記錄所有用戶對數(shù)據(jù)庫的操作行為,并對行為進行全程細(xì)粒度的審計分析,自動化生成風(fēng)險分析報表。
五、總結(jié)
數(shù)據(jù)安全無小事,對于任何企業(yè)或單位,刪庫跑路帶來的不止是經(jīng)濟上的損失,還會帶來負(fù)面影響,因此,應(yīng)該在平時就應(yīng)完善相應(yīng)的安全機制和管理制度,防患于未然。昂楷專注數(shù)據(jù)安全多年,可以為用戶提供點、線、面的專業(yè)數(shù)據(jù)安全治理解決方案,涵蓋需求溝通、方案設(shè)計、產(chǎn)品交付、安全服務(wù)。