1、 为何企业须要数据库运维审计?
数据库做为现代IT业务系统中必不可少的核心组成部分,对于企业来讲,数据库一般都保存着内部相当重要的信息,随着互联网的急速发展,企业数据库信息的价值及可访问性获得了很大提高,致使数据库的安全风险大大增长,企业在对数据库平常运维的过程当中常常会面临以下一些问题:web
- 运维工程师以怎样的帐号身份访问哪些数据库?这些访问信息一旦泄露如何处理?
- 如何避免工程师在执行SQL语句时出现误操做或者恶意操做?
- 如何在不影响工程师正常工做的基础上对核心业务的敏感数据进行脱敏?
- 如何将每一个工程师的全部操做所有记录下来,以供往后出现问题时能够回溯追责?
由此,企业急需一套数据库运维审计产品以保证企业内部数据库信息安全。
2、 行云管家数据库运维审计解决方案
针对以上痛点问题,行云管家为企业提供了完整的数据库安全运维解决方案。数据库
2.1 行云管家数据库运维审计的主要特性
支持云端与本地数据库
行云管家支持业界全部主流数据库,包括本地数据库与公有云的云端数据库;浏览器
访问信息托管
可在行云管家中托管数据库的访问信息,杜绝非法访问并避免真实访问信息的泄露;安全
SQL指令拦截
支持SQL指令拦截,可设置敏感指令拦截规则,避免误操做与非法操做运维
敏感数据脱敏
支持对数据量的敏感业务数据进行脱敏,避免信息泄露ide
SQL指令审计
支持云端录像与SQL指令审计记录,出现啊问题可回溯追责工具
2.2 行云管家数据库运维审计实现原理
本质上,行云管家数据库运维审计是一种基于协议代理与拦截的机制。在行云管家中,用户并不会访问到真实数据库,而是经过访问行云管家数据库代理服务(内置在行云管家proxy和会话中转服务模块)从而完成SQL指令拦截、数据脱敏、指令审计等特性。
阿里云
2.3 数据库协议代理与拦截
基于数据库协议进行代理与拦截,意味着咱们须要很是了解数据库的底层通信协议,但大部分商业数据库的通信协议是私有的,通过行云管家研发团队的不懈努力,目前咱们已经支持的主流数据库以下表所示;加密
2.4 支持SSL加密通讯
运维工程师经过行云管家运维管理数据库时,支持SSL加密通讯,这意味着即使在企业内部经过互联网运维管理公有云环境中的云端数据库时(如阿里云RDS),也不会产生信息泄露。spa
2.5 数据库访问串
用户访问的是行云管家数据库代理服务而不是真实的数据库,行云管家会为每一个用户生成一个特定的数据库访问串,数据库访问串包括IP地址、端口、用户名、密码等基础的数据库链接信息。
用户经过数据库访问串而不是真实的数据库访问信息,若是访问串泄露直接更换新的便可,不会产生数据库真实访问信息的泄露。
2.6 不限制客户端工具
用户经过数据库访问串使用哪一种客户端工具访问数据库,行云管家没有任何限制,同时,行云管家还支持在web浏览器中对本地客户端工具的一键唤醒,并支持客户端供给的密码代填。
2.7 访问方案
可在行云管家中定义不一样的访问方案,对数据库进行访问。
2.7.1 访问方案之访问规则
可在行云管家访问规则中定义容许用户访问数据库时的访问时段、客户端IP限制,以及容许使用的数据库工具;可对数据进行脱敏,定义针对哪些表格的那些特定字段进行脱敏;定义敏感指令规则;
2.7.2 访问方案之数据脱敏
可在行云管家“数据脱敏”中定义针对哪些表格的那些特定字段进行脱敏,一旦设置生效,当用户检索该字段信息时,将会以“MASKED” 代替真实内容;
2.7.3 访问方案之SQL指令拦截
可在行云管家“SQL拦截”中定义敏感指令规则,当用户的SQL操做触发拦截规则时,能够中断用户的操做并予以提醒,甚至能够强行中断用户当前的数据库链接并禁止后续访问;
2.8 数据库活跃会话
可在行云管家中查看生成的全部访问串并可决定是否予以禁用,从而禁止用户的继续访问,可在行云管家中查看当前数据库的全部活跃会话,并可决定是否强制结束;
2.9 SQL指令记录
经过行云管家运维管理数据库时,用户全部的SQL操做均会被全程记录,另外,行云管家还支持云端录像功能,能够知足用户对运维过程全程云端录像需求。这意味着一旦出现问题,可随时回溯追责。
数据库运维审计的核心价值不只是在发生数据库安全事件后,为追责、定责提供依据,还能够针数据库操做的风险行为进行实时告警。行云管家为企业提供完整的数据库安全运维解决方案,帮助企业有效规避数据库的安全风险,保障资源安全。
导航:百度搜索“行云管家”