中安威士数据库安全加固方案之公有云解决方案

一、 背景

当前，云计算成为流行的IT系统解决方案。它的可扩展、可伸缩的弹性计算能力，极大的减小了IT建设和管理的难度。并且其以租代购的方式极大的减少了投资。公有云是最重要的一种云计算方式，可以为全球的用户建立起应用系统。但是在公有云中，应用系统和支撑其运转的数据库都迁移到云端，数据的安全是十分重要的问题。越来越多的云端数据泄漏事件，比如最近的部署于云端的某游戏160多万用户数据的泄漏，给云中数据库的安全拉响警钟。相比于传统计算环境，云计算的开放性和虚拟化的特性，传统的数据安全方案变得复杂甚至无能为力，给云端的数据库的防护带来了更大的挑战。

二、 中安威士简介

中安威士是北京中安比特科技有限公司专属品牌和注册商标。中安比特专注于数据安全管理领域，经过十余年技术积累，已拥有国内最全面的数据库安全加固产品线——中安威士数据库安全加固系列产品，包括数据库审计、数据库防火墙、数据库加密、数据库脱敏等，能帮助客户降低数据安全风险并轻松满足合规要求。中安威士面向云计算的数据安全管理方案可为云计算和大数据环境中的数据资产提供全面的安全保护。

三、 技术方案

1、 传统技术方案的限制

为解决数据的安全管理，中安威士提供数据库审计、防火墙、透明加密、脱敏等产品，形成数据在其生命周期中的产生、使用、存储、备份等阶段的安全解决方案。其中，对数据库系统部署数据库审计和防火墙，实现对数据的访问状况的监控和访问控制，是最基本的安全需求。在传统网络环境中，通常采用旁路镜像、直连、OS代理等方式实现。在公有云环境中，仍然有必要部署数据库安全加固产品，对数据生命周期中的各个阶段的安全加固。并且部署数据库审计和防火墙仍然是最基础和最必要的防护手段。在公有云环境中，数据库审计和防火墙的旁路镜像、直连、OS代理等实现方式理论上都是可行的，但是在实际的场景中会受到具有各种限制。

1）镜像方式。在传统环境中，在交换机上配置端口镜像，将数据库访问流量镜像到数据库审计设备即可。然而此种部署方式需要云计算平台通过SDN定义出网络镜像，使得实施变得复杂，给云计算环境带来管理工作量的增大。而且租户并不能接受数据库的通信流量被云平台旁路。

2）直连方式。在传统环境中，通过代理或者透明网桥方式，将数据库审计或者防火墙部署于数据库之前，从而监控或者过滤到数据库的访问。同样的，这种部署方式需要云计算平台通过SDN定义出网络直连方式，使得实施变得复杂。而且，主流的云主机都只有一个虚拟网络接口，而这种部署方式至少需要两个接口。这就需要云平台对虚拟机做出调整，从而给实施带来进一步的困难。

3）OS代理方式。这种方式通过在数据库服务所在的OS上安装代理程序，将对数据库的访问镜像到审计服务器，或者对访问进行过滤。在公有云环境下，大多数的云服务厂商对外提供的RDS数据库服务是以SQL访问接口形式体现的，并不会给租户提供数据库服务器OS操作的权限，更不允许给RDS服务器上安装任何软件之类的。这就需要云平台对虚拟机做出调整，从而给实施带来进一步的困难。

并且，以上3种方式，都不能实现对数据库访问的完整监控。比如通过虚拟机逃逸，或者攻击者直接登录数据库服务器OS并直接对数据库进行的操作等，都不能被记录或者过滤。

2、实现方案

为实现云端数据库的审计和细粒度访问控制，中安威士厚积薄发，在多年积累基础上，推出了适应于云计算环境的产品和解决方案。针对具体环境的不同，有两种具体的实现方案。

方案一：LOCAL探针，实现数据库审计。利用数据库自身的日志记录机制，使用SQL语句实现探针，获取并记录对数据库的一切访问，发送到独立运行的数据库审计服务器中。如下图所示。

该方案的优势如下：

1) 没有任何侵入性：完全基于数据库的机制，使用SQL接口实现，对系统不做任何侵入式修改；

2) 不会丢包：任何峰值的访问，都能够完整记录；

3) 不会漏审：从任何方式访问数据库，都会被记录；

4) 实施简单：不需要云供应商做任何OS级和软件级的改动，甚至可以独立于云供应商，租户购买云主机后，自行部署数据库审计系统；

5) 弹性审计：根据实际的审计工作量，弹性的调整审计服务器的处理能力；

6) 高安全性：用户自主选择的第三方的安全产品，云平台运维人员也不能操作和控制审计内容。

方案二：单臂代理，实现数据库审计和数据库防火墙。中安威士数据库审计/防火墙运行于独立的虚拟主机，APP/WEB服务器对数据库的访问指向中安威士主机，并且修改数据库配置，只响应来自中安威士主机的请求。中安威士主机在转发数据库访问通信流量的同时，对访问情况进行记录或者过滤。如下图所示。

该方案的优势如下：

1) 没有任何侵入性：完全独立于数据库服务器和APP/WEB服务器，对系统不做任何侵入式修改；

2) 不会丢包：任何峰值的访问，都能够完整记录；

3) 实施简单：不需要云供应商做任何OS级和软件级的改动，甚至可以独立于云供应商，租户购买云主机后，自行部署数据库审计/防火墙系统；

4) 弹性审计：根据实际的审计工作量，弹性的调整审计/防火墙服务器的处理能力；

5) 高安全性：用户自主选择的第三方的安全产品，云平台运维人员也不能操作和控制审计内容。

3、 测试结果

我们将如上方案部署于多个公有云系统，并进行了长时间的压力测试和稳定性测试，结论如下：

方案一结论：

1) 在通常情况下，数据库服务压力不大时，审计系统对公有云RDB服务几乎没有性能影响；

2) 在数据库服务压力比较大时，审计系统对RDB性能稍有影响；

3) 在极端情况下，当数据库服务压力持续100%时，仅仅降低原来性能的10%左右；

4) 在超高性能主机环境下，当数据库服务压力持续100%时，审计系统RDB性能影响不超过1%；

5) 当用户数据库服务压力较大时，增加数据库服务器性能，基本可以消除审计系统对公有云数据库服务的性能影响；

6) 经过长时间满负载压力测试，而使用本方案完全消除了传统部署方式中难以避免的丢包现象，100%的获取数据库操作，且运行稳定。

方案二结论：

1) 当中安威士数据库审计/防火墙未满负荷运行时，对访问的延迟在微秒级，对业务处理吞吐量的影响几乎为零；

2) 经过长时间高压力测试，本方案没有丢包现象，且运行稳定。

四、 方案优势

中安威士云端数据库安全审计和防火墙方案，基于十余年技术积累，为云端数据提供必要的和弹性的安全管理能力。除了上文所述优势，本方案还具有如下突出优势：

快：业界最高的处理性能。

     ►超高的连续处理、入库能力

     ►超高的日志检索速度，支持排除查询，支持任意关键字组合查询

     ►超高的日志存储能力

智：智能化自动学习，基本实现零配置。

稳：十余年技术积累，国内最早专利技术，上千实际案例，产品运行稳定。

全：全面的功能和全面的审计。

►不丢包：高峰流量不丢包，完全审计

►不漏审：全方位的审计，不漏掉从任何途径对数据库的访问

►全功能：具有敏感数据发现、性能审计、漏洞扫描和风险评估

►能够部署于任何环境

美：美观的报表和界面。提供大量报告模板，包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义。

细：细粒度的审计和访问控制，达到字段、语句级。