云端数据库审计,你不能不知道的秘密

发布时间:2016-12-13

端数据安全,是云安全中核心的问题之一。要实现云数据安全,需要从多个角度去努力。对数据访问情况的跟踪记录审计,是云数据安全的基本要求。本文从数据源头——数据库保护角度,以几个问题的问答方式,分析数据库的安全审计问题。

1.什么是云端数据库?

广义云端数据库就是把数据库放到了云端。这里包括三类1)公有云服务商以SAAS的方式,提供给租户的数据库服务器;2)私有云上预先搭建好的SAAS方式的数据库服务器;3)租户租用云端服务器,自己安装和搭建的数据库。而狭义公有云服务提供的SAAS形式数据库服务器,通常包含一个虚拟机系统和已经安装在上面的数据库系统。本文后续部分如果没有特别指出,云端数据库仅指公有云端的SAAS数据库至于数据库的种类每个云平台上所区别,但是主要的有关系型数据库RDB以及非关系型数据库NOSQL


2.云端数据库有哪些特殊性?

得益于计算的特性,相比于传统环境的数据库,在云端的数据库具有如下优势:

1) 搭建速度快。云服务商预先搭建好数据库模板租户只需要根据需求操作鼠标调整各种参数,在秒级时间内,就能够快速部署好需要的数据库

2) 构建成本低。不需要一次性投入,只需要按照实际使用的计算资源使用时间付费;

3) 弹性可伸缩。数据库服务器的性能参数,可以根据实际情况动态调整

4) 可靠性。云服务商已经解决了硬件设备数据的容灾和备份问题可靠性很高;

5) 维护量小。租户只需要少量对数据的维护,不需要服务器硬件、OS等进行维护。

除去以上优势,云端数据库的一个问题是可控性较低这里说的可控性是指租户对数据库系统的控制能力。服务商为了实现如上优势,云端数据库通常只对租户开放数据库访问接口。就是说租户对数据库的所有访问和维护,都只能通过这个接口进行租户甚至不能登录到数据库所在的操作系统以实现对数据库系统的更多管理

3.云端数据库面临哪些安全问题?

数据库存储着系统的核心数据,其安全方面的问题在传统环境中已经很突出,成为数据泄漏重要根源。在云端,数据库的威胁被进一步的放大。安全问题要来自于以下几方面


1) 云运营商的“上帝之手”如上所述,云端数据库的租户数据库的可控性是很低的,而云运营商具有对数据库所有权限。技术上来说,运营商完全可以在租户毫无察觉的情况下进入数据库系统或者进入数据库服务器所在虚拟或者进入虚拟机所在的宿主物理服务器或者直接获取到数据库文件所在的存储设备。也就是说任何租户的数据,对云运营商来说,几乎完全的。对于有商业价值的数据,对运营商的众多技术人员来说,绝对有足够的吸引力;

2) 来自于其它租户的攻击。同一个云平台上的其它租户,有可能通过虚拟机逃逸等攻击方法得到数据库中的数据

3) 来自租户自身内部人员的威胁租户内部人员能够直接使用帐号密码登录到云数据库,从而进行越权或者违规的数据操作

4) 更广泛的攻击有价值数据放在云上之后,各种来源攻击者,都“惦记这些数据可能通过各种方法来进行攻击获取数据,如近年来频发的SQL注入攻击事件导致了大量云端数据的泄漏。

4.为什么需要数据库审计?

解决如上所述的数据安全问题,需要多方面的防御手段。但是数据库访问情况的记录和审计,是最基本的安全需求。租户需要清楚的知道,自己的数据库,在什么时间,被什么人,以什么工具具体做什么访问,拿到了什么数据。并且需要知道什么时候出现了攻击行为和异常的访问情况。这些功能,合格数据库审计产品所必须具有的功能

5.谁需要数据库审计?

运营商:运营商需要引入数据库审计产品以方便快捷的方式为其租户提供数据安全服务。既是提高其云平台竞争力的手段,同时也是自证清白”的有效途径。

租户:租户需要数据库审计,以增强数据安全防护能力。

6.云端数据库审计有哪些特殊要求?

传统环境相比较,对于部署在云端的数据库审计,具有一些特殊的要求具体体现在

1)高性能。“性能、性能、性能”重要的事说三遍。云上,对性能的要求是苛刻的。主要<

上一条:教你数据库漏洞防护技术 下一条:关于数据库加密,你不能不知道的秘密(一)