一、背景
随着数字化的发展,数据库已成为各企事业单位业务运营的基础,由于数据库运维人员掌握着最高权限,一旦运维操作出现安全问题,比如数据库误操作、恶意删除等,将会给企业或单位带来巨大的损失。
2020年2月25日,“天降横祸”,微盟官方宣称,微盟的业务系统数据库遭遇其公司运维人员的删除。犯罪嫌疑人为微盟研发中心运维部核心运维人员贺某,其在2月23日晚18点56分通过个人VPN登入公司内网跳板机,对微盟线上生产环境进行了恶意破坏。后来,当事人贺某被警方刑事拘留,而微盟在腾讯云的协作下,花了七天七夜才找回数据再加上客户赔付、数据恢复和加班支出,总计高达数千万元。
2021 年1月6日,北京第一中级人民法院公布了一份刑事裁定书,前链家员工因不满工作调整,删了公司 9TB 数据,链家为恢复及重新构建财务系统共计花费人民币 18 万元。
曾经流传在江湖的“删库跑路”传说,没想到真的会发生,而且这样的事件还很多,透过事件看本质,也非常值得深思,其实就是数据安全问题,数据库作为企业或单位最核心的IT信息系统,重要性不言而喻,数据库的安全性就是要保护数据库,以防不合法使用所造成的数据泄露、纂改或破坏。在运维场景下如何进行数据库安全管控,解决“删库跑路”的担忧呢?昂楷结合多年的数据安全建设经验,探讨一下数据库安全管控的思路和技术手段。
二、传统安全手段捉襟见肘
提起数据安全,我们想到的就是组织建设、制度流程、技术工具、人员能力,这是一套体系化的建设思路,也是最完美的方案,解决的是信息安全方面的问题,当然这也需要获得高层支持和资金支持,当没有足够的资金投入到数据安全体系建设中,应该如何利用标准化的产品技术工具来辅助我们提升安全能力,解决信息安全点、线的问题呢?这就是要重点谈的内容。
传统安全手段一般采用堡垒机进行运维安全管控,但是堡垒机也存在安全“盲区”,对运维人员操作行为只能以录屏的方式进行安全监控;对于危险SQL指令操作无法第一时间进行阻断处理,当然不是说堡垒机不好,一个安全产品不能解决所有场景的问题,他的弊端需要依靠其他技术手段或管理手段来弥补。
三、数据库安全管控应对思路
信息安全领域有个概念叫纵深防御,强调是通过多层次、多维度的安全措施来构建一个强大的安全防护体系,纵深防御模型的基本思路就是将信息网络安全保护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全措施能够相互支持和补救,尽可能地阻断攻击者的威胁。针对运维场景下的数据库安全,昂楷有两种应对思路,这也是昂楷数据安全治理理念“精准可视,安全可控”的体现,具体思路如下:
使用数据安全中的数据库防火墙技术,对数据库的协议进行深度解析,通过主动防御机制,实现对数据库访问行为的控制,对危险行为进行阻断,并且对阻断的操作回话进行审计记录,实现事中监控和事后审计的作用。
利旧堡垒机,将传统堡垒机技术与新的数据库防火墙技术相结合,堡垒机做统一账号管理、统一身份认证、过程审计,数据库防火墙做数据库协议操作级别的授权、管控、审批。在网络方面,通过管控堡垒机及堡垒机前置机到数据库的访问关系,限制其他途径访问数据库的通道。
四、数据库安全管控技术手段
数据库防火墙是数据库安全管控的重要技术手段之一,昂楷数据库防火墙充分考虑运维场景的数据安全需求,从多点切实解决运维侧的数据安全。
权限管控。按照“知所必须、最小授权”的原则进行授权,使其只能访问职责所需的数据信息,且具备职责所需的最小数据操作权限。数据库防火墙通过细粒度的策略设置条件如用户账号、IP地址、操作行为、数据库表或字段、影响行数、操作时间等等,制定灵活多变的数据防护策略,覆盖各种具体实际的用户使用场景。
敏感数据防护。数据库防火墙自动发现数据库对象中包含敏感数据类型,并进行智能分类分级,可根据敏感字段定义敏感数据防护规则,进行敏感字段的操作行为审计与防护,可直接阻断敏感数据未授权访问。
高危操作防护。数据库防火墙可以利用运维人员的身份特征,控制使用者的操作权限,对高危操作如drop、truncate、不带where条件的更新、不带where条件的删除、特权操作全程进行审计,并能实现数据库操作命令行级阻断,保持会话连接情况下实现违规操作的命令阻断。
高危操作审批。数据库防火墙集成审批电子流程,也可以与OA系统对接。针对确实需要进行高危操作的运维或开发人员,可在数据库防火墙上提交高危操作的审批的工单,工单审批通过后,操作员可操作工单中的内容,数据库防火墙会在一定时间内放行,通过此功能,可对高危操作进行有效管控,在不影响业务的情况下保障运维安全。
风险数据可视化。根据信息安全管理要求,数据库防火墙记录所有用户对数据库的操作行为,并对行为进行全程细粒度的审计分析,自动化生成风险分析报表。
五、总结
数据安全无小事,对于任何企业或单位,删库跑路带来的不止是经济上的损失,还会带来负面影响,因此,应该在平时就应完善相应的安全机制和管理制度,防患于未然。昂楷专注数据安全多年,可以为用户提供点、线、面的专业数据安全治理解决方案,涵盖需求沟通、方案设计、产品交付、安全服务。