一、背景
隨著數字化的發展,數據庫已成為各企事業單位業務運營的基礎,由于數據庫運維人員掌握著最高權限,一旦運維操作出現安全問題,比如數據庫誤操作、惡意刪除等,將會給企業或單位帶來巨大的損失。
2020年2月25日,“天降橫禍”,微盟官方宣稱,微盟的業務系統數據庫遭遇其公司運維人員的刪除。犯罪嫌疑人為微盟研發中心運維部核心運維人員賀某,其在2月23日晚18點56分通過個人VPN登入公司內網跳板機,對微盟線上生產環境進行了惡意破壞。后來,當事人賀某被警方刑事拘留,而微盟在騰訊云的協作下,花了七天七夜才找回數據再加上客戶賠付、數據恢復和加班支出,總計高達數千萬元。
2021 年1月6日,北京第一中級人民法院公布了一份刑事裁定書,前鏈家員工因不滿工作調整,刪了公司 9TB 數據,鏈家為恢復及重新構建財務系統共計花費人民幣 18 萬元。
曾經流傳在江湖的“刪庫跑路”傳說,沒想到真的會發生,而且這樣的事件還很多,透過事件看本質,也非常值得深思,其實就是數據安全問題,數據庫作為企業或單位最核心的IT信息系統,重要性不言而喻,數據庫的安全性就是要保護數據庫,以防不合法使用所造成的數據泄露、纂改或破壞。在運維場景下如何進行數據庫安全管控,解決“刪庫跑路”的擔憂呢?昂楷結合多年的數據安全建設經驗,探討一下數據庫安全管控的思路和技術手段。
二、傳統安全手段捉襟見肘
提起數據安全,我們想到的就是組織建設、制度流程、技術工具、人員能力,這是一套體系化的建設思路,也是最完美的方案,解決的是信息安全方面的問題,當然這也需要獲得高層支持和資金支持,當沒有足夠的資金投入到數據安全體系建設中,應該如何利用標準化的產品技術工具來輔助我們提升安全能力,解決信息安全點、線的問題呢?這就是要重點談的內容。
傳統安全手段一般采用堡壘機進行運維安全管控,但是堡壘機也存在安全“盲區”,對運維人員操作行為只能以錄屏的方式進行安全監控;對于危險SQL指令操作無法第一時間進行阻斷處理,當然不是說堡壘機不好,一個安全產品不能解決所有場景的問題,他的弊端需要依靠其他技術手段或管理手段來彌補。
三、數據庫安全管控應對思路
信息安全領域有個概念叫縱深防御,強調是通過多層次、多維度的安全措施來構建一個強大的安全防護體系,縱深防御模型的基本思路就是將信息網絡安全保護措施有機組合起來,針對保護對象,部署合適的安全措施,形成多道保護線,各安全措施能夠相互支持和補救,盡可能地阻斷攻擊者的威脅。針對運維場景下的數據庫安全,昂楷有兩種應對思路,這也是Ankki數據安全治理理念“精準可視,安全可控”的體現,具體思路如下:
使用數據安全中的數據庫防火墻技術,對數據庫的協議進行深度解析,通過主動防御機制,實現對數據庫訪問行為的控制,對危險行為進行阻斷,并且對阻斷的操作回話進行審計記錄,實現事中監控和事后審計的作用。
利舊堡壘機,將傳統堡壘機技術與新的數據庫防火墻技術相結合,堡壘機做統一賬號管理、統一身份認證、過程審計,數據庫防火墻做數據庫協議操作級別的授權、管控、審批。在網絡方面,通過管控堡壘機及堡壘機前置機到數據庫的訪問關系,限制其他途徑訪問數據庫的通道。
四、數據庫安全管控技術手段
數據庫防火墻是數據庫安全管控的重要技術手段之一,Ankki數據庫防火墻充分考慮運維場景的數據安全需求,從多點切實解決運維側的數據安全。
權限管控。按照“知所必須、最小授權”的原則進行授權,使其只能訪問職責所需的數據信息,且具備職責所需的最小數據操作權限。數據庫防火墻通過細粒度的策略設置條件如用戶賬號、IP地址、操作行為、數據庫表或字段、影響行數、操作時間等等,制定靈活多變的數據防護策略,覆蓋各種具體實際的用戶使用場景。
敏感數據防護。數據庫防火墻自動發現數據庫對象中包含敏感數據類型,并進行智能分類分級,可根據敏感字段定義敏感數據防護規則,進行敏感字段的操作行為審計與防護,可直接阻斷敏感數據未授權訪問。
高危操作防護。數據庫防火墻可以利用運維人員的身份特征,控制使用者的操作權限,對高危操作如drop、truncate、不帶where條件的更新、不帶where條件的刪除、特權操作全程進行審計,并能實現數據庫操作命令行級阻斷,保持會話連接情況下實現違規操作的命令阻斷。
高危操作審批。數據庫防火墻集成審批電子流程,也可以與OA系統對接。針對確實需要進行高危操作的運維或開發人員,可在數據庫防火墻上提交高危操作的審批的工單,工單審批通過后,操作員可操作工單中的內容,數據庫防火墻會在一定時間內放行,通過此功能,可對高危操作進行有效管控,在不影響業務的情況下保障運維安全。
風險數據可視化。根據信息安全管理要求,數據庫防火墻記錄所有用戶對數據庫的操作行為,并對行為進行全程細粒度的審計分析,自動化生成風險分析報表。
五、總結
數據安全無小事,對于任何企業或單位,刪庫跑路帶來的不止是經濟上的損失,還會帶來負面影響,因此,應該在平時就應完善相應的安全機制和管理制度,防患于未然。昂楷專注數據安全多年,可以為用戶提供點、線、面的專業數據安全治理解決方案,涵蓋需求溝通、方案設計、產品交付、安全服務。
