1、 爲何企業須要數據庫運維審計?
數據庫做爲現代IT業務系統中必不可少的核心組成部分,對於企業來講,數據庫一般都保存着內部相當重要的信息,隨着互聯網的急速發展,企業數據庫信息的價值及可訪問性獲得了很大提高,致使數據庫的安全風險大大增長,企業在對數據庫平常運維的過程當中常常會面臨以下一些問題:web
- 運維工程師以怎樣的帳號身份訪問哪些數據庫?這些訪問信息一旦泄露如何處理?
- 如何避免工程師在執行SQL語句時出現誤操做或者惡意操做?
- 如何在不影響工程師正常工做的基礎上對核心業務的敏感數據進行脫敏?
- 如何將每一個工程師的全部操做所有記錄下來,以供往後出現問題時能夠回溯追責?
由此,企業急需一套數據庫運維審計產品以保證企業內部數據庫信息安全。
2、 行雲管家數據庫運維審計解決方案
針對以上痛點問題,行雲管家爲企業提供了完整的數據庫安全運維解決方案。數據庫
2.1 行雲管家數據庫運維審計的主要特性
支持雲端與本地數據庫
行雲管家支持業界全部主流數據庫,包括本地數據庫與公有云的雲端數據庫;瀏覽器
訪問信息託管
可在行雲管家中託管數據庫的訪問信息,杜絕非法訪問並避免真實訪問信息的泄露;安全
SQL指令攔截
支持SQL指令攔截,可設置敏感指令攔截規則,避免誤操做與非法操做運維
敏感數據脫敏
支持對數據量的敏感業務數據進行脫敏,避免信息泄露ide
SQL指令審計
支持雲端錄像與SQL指令審計記錄,出現啊問題可回溯追責工具
2.2 行雲管家數據庫運維審計實現原理
本質上,行雲管家數據庫運維審計是一種基於協議代理與攔截的機制。在行雲管家中,用戶並不會訪問到真實數據庫,而是經過訪問行雲管家數據庫代理服務(內置在行雲管家proxy和會話中轉服務模塊)從而完成SQL指令攔截、數據脫敏、指令審計等特性。
阿里雲
2.3 數據庫協議代理與攔截
基於數據庫協議進行代理與攔截,意味着咱們須要很是瞭解數據庫的底層通信協議,但大部分商業數據庫的通信協議是私有的,通過行雲管家研發團隊的不懈努力,目前咱們已經支持的主流數據庫以下表所示;加密
2.4 支持SSL加密通訊
運維工程師經過行雲管家運維管理數據庫時,支持SSL加密通訊,這意味着即使在企業內部經過互聯網運維管理公有云環境中的雲端數據庫時(如阿里雲RDS),也不會產生信息泄露。spa
2.5 數據庫訪問串
用戶訪問的是行雲管家數據庫代理服務而不是真實的數據庫,行雲管家會爲每一個用戶生成一個特定的數據庫訪問串,數據庫訪問串包括IP地址、端口、用戶名、密碼等基礎的數據庫鏈接信息。
用戶經過數據庫訪問串而不是真實的數據庫訪問信息,若是訪問串泄露直接更換新的便可,不會產生數據庫真實訪問信息的泄露。
2.6 不限制客戶端工具
用戶經過數據庫訪問串使用哪一種客戶端工具訪問數據庫,行雲管家沒有任何限制,同時,行雲管家還支持在web瀏覽器中對本地客戶端工具的一鍵喚醒,並支持客戶端供給的密碼代填。
2.7 訪問方案
可在行雲管家中定義不一樣的訪問方案,對數據庫進行訪問。
2.7.1 訪問方案之訪問規則
可在行雲管家訪問規則中定義容許用戶訪問數據庫時的訪問時段、客戶端IP限制,以及容許使用的數據庫工具;可對數據進行脫敏,定義針對哪些表格的那些特定字段進行脫敏;定義敏感指令規則;
2.7.2 訪問方案之數據脫敏
可在行雲管家「數據脫敏」中定義針對哪些表格的那些特定字段進行脫敏,一旦設置生效,當用戶檢索該字段信息時,將會以「MASKED」 代替真實內容;
2.7.3 訪問方案之SQL指令攔截
可在行雲管家「SQL攔截」中定義敏感指令規則,當用戶的SQL操做觸發攔截規則時,能夠中斷用戶的操做並予以提醒,甚至能夠強行中斷用戶當前的數據庫鏈接並禁止後續訪問;
2.8 數據庫活躍會話
可在行雲管家中查看生成的全部訪問串並可決定是否予以禁用,從而禁止用戶的繼續訪問,可在行雲管家中查看當前數據庫的全部活躍會話,並可決定是否強制結束;
2.9 SQL指令記錄
經過行雲管家運維管理數據庫時,用戶全部的SQL操做均會被全程記錄,另外,行雲管家還支持雲端錄像功能,能夠知足用戶對運維過程全程雲端錄像需求。這意味着一旦出現問題,可隨時回溯追責。
數據庫運維審計的核心價值不只是在發生數據庫安全事件後,爲追責、定責提供依據,還能夠針數據庫操做的風險行爲進行實時告警。行雲管家爲企業提供完整的數據庫安全運維解決方案,幫助企業有效規避數據庫的安全風險,保障資源安全。
導航:百度搜索「行雲管家」