华为云数据库安全服务正式上线 三步打造高效云上数据防护体系

随着大数据、云服务等领域的不断发展，数据量不断的扩大，数据泄漏涉及的行业也愈加广泛，据统计，全球受数据泄露影响最为严重的行业有金融、政府、制造、电商、教育、医疗等，一旦发生损失惨重。一个生动的例子就刚刚发生。据国外媒体报道，在过去几周时间，Facebook就卷入了一起"用户信息泄露"丑闻。受此影响，Facebook市值在上周缩水600多亿美元。

别再让你的数据库裸奔

数据存储的关键位置仍然在数据库中，而现状则是，大量互联互通的企业环境中，数据库普遍缺乏有效安全防护。传统的防护手段通常有规则库机制和旁路审计机制两种，然而不论哪一种都无法完全解决问题。采用规则库机制，部署在网络边界，目的在于防止入侵行为，该类组件阻止了外部入侵后可有效的降低数据泄漏的风险，但不能有效的甚至不能阻止内部用户恶意操作或无意的操作场景，对数据的访问权限无法做到精准的控制。旁路审计机制，则是通过流量镜像的方式，实时的对数据流进行监控审计，从而实现在不影响业务的情况下实时检测和告警，该类方法对于数据保护而言只适合做事件溯源分析，不能够做到数据泄漏的实时保护。总之，两种机制都偏重于在单点或者在入侵发生后进行回溯，而没有前摄的主动防御机制，能够提前对敏感数据进行保护，从而让数据库中的重要资产实质上处于裸奔的状态。

数据库安全服务（Database Security Service）是一个智能的数据库安全防护服务，能够更加全面的解决前文提到的敏感数据泄露的问题。该产品基于反向代理机制，提供敏感数据发现、数据脱敏、数据库审计和防注入攻击等功能，真正实现从事前、事中到事后的全生命周期防护，保障云上数据库的安全。

华为云数据库安全服务（Database Security Service，简称DBSS），经过华为内部大规模实践和广泛邀请各行业企业试用后，已经于3月25日正式商用。下面将详细展开讲解，如何通过三步设计，构筑云上的数据库安全。

第一步：事前，敏感数据早发现

当涉及到数据库安全时，首先需要定位敏感数据在数据库中所处的位置，定位成功后，才能够通过构建安全策略来提早防护。通过内置合规库，华为云数据库安全服务可以按SOX，HIPAA，PCI DSS等法规进行合规分析，通过正则表达式来添加特定的自定义敏感信息，按日期（每天一次、每周一次或每月一次）或模式更改进行计划扫描。对于密级较高的数据，也可以采用密钥管理服务（Key Management Service）来进行加密。

由于数据库业务错综复杂，通过敏感数据的自学习，数据库防火墙会自动生成安全策略规则，用户可以接受或拒绝该规则。学习模式大大降低了执行数据库安全策略的复杂度和运维人员的工作量。

第二步：事中，实时防御恶意攻击，动态脱敏正常访问

未授权的访问和SQL注入，是窃取数据库敏感信息的主要手段，如何能够及时阻断非法的访问行为是首要考虑的问题。除了已有的数据库访问控制手段，包括限制用户和角色的查看权限、限制修改等操作，数据库防火墙还通过定义基于多维度的策略（如源IP地址，数据库用户名，应用名称，计划，表，动作，日志记录，优先级等），阻止应用直接访问数据、利用操作系统和第三方应用程序漏洞的攻击。通过反向代理，系统会过滤进出数据库的所有流量，搜索查询中出现的异常字符及可疑字符串，如果风险高于预设阀值，则会自动阻止并断开该查询。

还有一种场景，为供应商/开发商需要访问数据库中敏感数据，比如医院相关系统的IT外包单位需要调测系统。动态脱敏技术，允许开发人员、测试人员和管理员访问生产和非生产性数据库，但确保数据库用户敏感信息不被泄露。相比传统方式，采用第二个数据源带来的资源浪费，动态数据脱敏可以在已有数据库在运行过程中动态、实时执行。不仅如此，华为云动态数据脱敏，可以做到基于请求的脱敏，即从应用接收到查询，将查询重写为脱敏操作，然后将查询实时发送到数据库。也就说，数据不但对查询方成立，数据库安全服务本身也可以在不触碰用户数据的情况下完成脱敏操作。

第三步，事后，多维审计满足合规

一旦入侵行为发生，除了采取必要措施进行封堵，就是回溯和确认攻击源头，还原恶意行为的蛛丝马迹。数据库安全审计功能，可以针对普通用户、管理员账户的所有活动情况进行审计，并可以生成合规性报告，展示诸如超过N天未更改密码的数据库用户、超过N天未访问数据库的用户、最近的管理员操作及用户权限被修改等诸多内容。通过记录流量、入侵、异常监控、数据脱敏、远程工作等日志，锁定异常操作到人，对特定事件实时告警，对TOP活动进行可视化呈现，满足ISO27001、信息安全等级保护测评等合规场景下对数据库主机审计的要求。

通过三步走的数据库安全防护设计，相信您的数据库系统从此固若金汤，从此告别被动响应的救火队员角色，为您的云上数据资产加把锁。