从云泄露事件谈云数据库的攻防之道

据E安全7月19日讯：网络安全公司UpGuard的网络风险小组发布报告指出：世界一流的商业财经信息提供商、新闻媒体出版集团道琼斯公司至少有220万客户信息外泄。此次暴露的数据存储库为一个Amazon Web Services S3存储桶，管理人员通过权限设置将其配置为允许任何AWS“认证用户”通过该存储库的URL进行数据下载。此次云数据泄露事件说明不安全的数据管理机制会带来持续威胁，而错误的安全设置则直接导致数百万道琼斯客户的敏感信息被他人窥探。

企业自建一套IT系统，需要投资机房、设备和软硬件，建设周期长，再加上运维的成本，这给企业造成很大负担和浪费。公有云的出现，企业可以租用供应商提供的计算资源开发他们自己的应用程序，并支付他们实际使用的计算资源即可，这样极大程度的降低了企业成本、提高了资源利用率。而公有云存在的数据安全问题也是显而易见的，基于Internet的公有云服务，其在云上的数据更容易受到复杂繁多的威胁，同时用户的个人隐私也极易泄漏。

安全、可靠、规范成了公有云平台的3大软肋

中安威士致力于数据安全领域多年，对于云端数据安全有着丰富的解决方案经验，目前已在国内主流的阿里云、腾讯云、百度云、青云等云平台部署了数据安全产品，实现云端数据安全合规。

中安威士数据库审计系统（简称VS-AD），是由中安威士（北京）科技有限公司开发具有完全自主知识产权的数据库审计产品。该系统通过监控数据库的多重状态和通信内容，准确评估数据库所面临的风险，并通过日志记录提供事后追查机制。主要功能包括：敏感数据发现、性能审计、风险评估、数据活动监控等。支持旁路、直连、软件探针等多种部署方式。该系统具有性能卓越、报表完善和审计全面等优势，能帮助企业提高数据安全管理能力，并快速且经济的满足合规要求。

产品功能：

敏感数据发现和评估

通过服务发现、数据库敏感数据发现、分类等功能帮助企业了解数据库服务器和敏感数据的分布情况。

数据库性能审计

实时监控数据库运行状态，在状态异常时进行预警，防止业务瘫痪，保障业务系统的可用性。

数据库风险评估

全面发现各种配置、管理和系统的风险，帮助修复风险和漏洞。

业务审计

常规审计规则

常规审计规则包括： - 加固点名称、数据库实例、数据库类型 - 数据库用户、操作系统用户、主机

- 数据库IP、客户端IP

- 数据库MAC、客户端MAC

- 客户端程序、客户端用户名、客户端端口

- 请求发生时间、执行时长

- SQL内容关键字、SQL结果关键字

- ……

高级审计规则

- 多关键字：基于自主的高速多关键字匹配算法，当多个关键字同时出现时，触发该规则。如一个语句中同时出现“delete”、“table1”和“江小白”

- 正则表达式：可以使用正则表达式定义复杂审计规则，如身份证号码、邮件地址等

- 语句级规则: SQL语句代表的句型的规则，如select t1.f1 from t1 where f1 = 5

基线—自动建立访问模型

系统将自动学习每一个应用的访问语句，进行模式提取和分类，自动生成行为特征模型，并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。

运维审计

针对运维人员对数据库服务器的运维操作进行审计，支持的协议有：TELNET、POP3、SMTP、IMAP、SSH和VNC等。

FTP文件审计

提供对企业的非结构化数据审计并缓存FTP文件传输行为，还可以对审计文件进行检索和下载查看。

Web应用审计

对Web应用系统提供实时监控、行为翻译识别、自动告警和事后追溯的全面功能。

三层审计

追溯到最终用户，提供完整审计记录。

特性优势：

技术优势

- 完全自主技术体系：形成高技术壁垒

- 硬件零拷贝技术：特殊数据包获取技术，可实现高效获取网络通信内容

- 多级缓存技术：多级分析结果缓存，高效分析通信内容

- 基于BigTable和MapReduce的存储：单机环境高效、海量存储

- 基于倒排索引的检索：高效、灵活日志检索，报表生成

高性能安全管理专家

- 连续处理能力：2万~10万SQL/s

- 日志检索速度: <1分钟，1亿记录，带通配符模糊检索

- 日志存储能力: 30亿~100亿SQL/TB

全面审计

全面审计涵盖了可能访问数据的所有途径，无论是内部、外部，还是直接、间接。

完美报表

提供大量报告模板，包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义。

我们可以为客户带来的价值：

- 帮助企业实现核心数据访问状态的可视化、可控化，并提供智能化报告

- 帮助企业审核和保护关键数据库和文件

- 帮助企业保护敏感数据，防止权限滥用，防止漏洞被利用

- 帮助企业简化业务治理流程，提高数据安全管理能力

- 帮助企业满足合规要求，快速通过评测