在云平臺(tái)上的數(shù)據(jù)庫(kù)主要面臨哪些安全問題��?
數(shù)據(jù)庫(kù)存儲(chǔ)著系統(tǒng)的核心數(shù)據(jù),其安全方面的問題在傳統(tǒng)環(huán)境中已經(jīng)很突出����,成為數(shù)據(jù)泄漏的重要根源�����。而在云端�,數(shù)據(jù)庫(kù)所面臨的威脅被進(jìn)一步的放大。其安全問題主要來自于以下幾方面:
專注于為中小企業(yè)提供成都網(wǎng)站制作����、成都網(wǎng)站建設(shè)���、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)夏津免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都�,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了上1000家企業(yè)的穩(wěn)健成長(zhǎng)��,幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變�����。
1) 云運(yùn)營(yíng)商的“上帝之手”��。如上所述��,云端數(shù)據(jù)庫(kù)的租戶對(duì)數(shù)據(jù)庫(kù)的可控性是很低的�,而云運(yùn)營(yíng)商卻具有對(duì)數(shù)據(jù)庫(kù)的所有權(quán)限。從技術(shù)上來說����,云運(yùn)營(yíng)商完全可以在租戶毫無察覺的情況下進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng);或者進(jìn)入數(shù)據(jù)庫(kù)服務(wù)器所在的虛擬機(jī)���;或者進(jìn)入虛擬機(jī)所在的宿主物理服務(wù)器���;或者直接獲取到數(shù)據(jù)庫(kù)文件所在的存儲(chǔ)設(shè)備����。也就是說�����,任何租戶的數(shù)據(jù)���,對(duì)云運(yùn)營(yíng)商來說,幾乎是完全開放的���。而對(duì)于有商業(yè)價(jià)值的數(shù)據(jù)���,對(duì)云運(yùn)營(yíng)商的眾多技術(shù)人員來說,絕對(duì)有足夠的吸引力���;
2) 來自于其它租戶的攻擊�����。同一個(gè)云平臺(tái)上的其它租戶�����,有可能通過虛擬機(jī)逃逸等攻擊方法��,得到數(shù)據(jù)庫(kù)中的數(shù)據(jù)��;
3) 來自租戶自身內(nèi)部人員的威脅�����。租戶內(nèi)部人員能夠直接使用帳號(hào)密碼登錄到云數(shù)據(jù)庫(kù)�,從而進(jìn)行越權(quán)或者違規(guī)的數(shù)據(jù)操作;
4) 更廣泛的攻擊�。有價(jià)值的數(shù)據(jù)放在云上之后,各種來源的攻擊者�,都“惦記”著這些數(shù)據(jù)?���?赡芡ㄟ^各種方法來進(jìn)行攻擊以獲取數(shù)據(jù),如近年來頻發(fā)的SQL注入攻擊事件�,就導(dǎo)致了大量云端數(shù)據(jù)的泄漏。
要解決如上所述的數(shù)據(jù)安全問題�����,需要多方面的防御手段。但是對(duì)數(shù)據(jù)庫(kù)訪問情況的記錄和審計(jì)�����,是最基本的安全需求�����。租戶需要清楚的知道���,自己的數(shù)據(jù)庫(kù),在什么時(shí)間�����,被什么人����,以什么工具,具體做什么訪問�����,又拿到了什么數(shù)據(jù)��。并且需要知道什么時(shí)候出現(xiàn)了攻擊行為和異常的訪問情況。這些功能��,正是合格數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品所必須具有的功能��。
云數(shù)據(jù)庫(kù)真的那么安全嗎����?將數(shù)據(jù)傳上云后,數(shù)據(jù)安全風(fēng)險(xiǎn)該如何避免�?
風(fēng)險(xiǎn)無處不在,關(guān)鍵在于如何進(jìn)行有效防范�。
應(yīng)對(duì)方法:
檢測(cè)發(fā)現(xiàn)
可以利用云應(yīng)用檢測(cè)工具發(fā)現(xiàn)當(dāng)前所使用軟件(包括誰使用及使用頻率),同時(shí)確定業(yè)務(wù)數(shù)據(jù)是否涉入���。采用云訪問安全代理(簡(jiǎn)稱CASB)解決方案要求供應(yīng)商提供影子IT評(píng)估意見以了解當(dāng)前企業(yè)內(nèi)部的IT問題嚴(yán)重程度�����。
風(fēng)險(xiǎn)評(píng)估
對(duì)特定應(yīng)用進(jìn)行制裁�、監(jiān)控及制止����,才能構(gòu)建良好的云應(yīng)用環(huán)境。利用評(píng)級(jí)系統(tǒng)確定云應(yīng)用風(fēng)險(xiǎn)特點(diǎn)�����。保證此評(píng)級(jí)與陳述體系能夠?qū)τ白覫T進(jìn)行分析并便捷地上傳、匿名化�、壓縮并緩存日志數(shù)據(jù),然后輕松交付自動(dòng)化風(fēng)險(xiǎn)評(píng)估陳述����。
用戶引導(dǎo)
確保全部員工了解常見網(wǎng)絡(luò)違法戰(zhàn)術(shù)。降低未知威脅帶來的影響�。未知威脅永久存在,但杰出的安全意識(shí)訓(xùn)練有助于緩解其后果���。定期發(fā)布提醒并組織季度訓(xùn)練,這樣能夠輕松并以較低成本削減惡意軟件風(fēng)險(xiǎn)��。
策略執(zhí)行
安全策略執(zhí)行必須擁有高粒度與實(shí)時(shí)性��。這些要求在云應(yīng)用領(lǐng)域可能較難完成�����。根據(jù)用戶做法���、所用工具及事務(wù)規(guī)則設(shè)定策略控制方案��,從而立足于用戶群組����、設(shè)備、方位���、瀏覽器以及代理為背景設(shè)計(jì)相關(guān)內(nèi)容���。考慮使用安全網(wǎng)關(guān)(內(nèi)部����、公有云或混合云),同時(shí)配合具備數(shù)據(jù)丟失預(yù)防(簡(jiǎn)稱DLP)功能的CASB解決方案�。
隱私與治理
云環(huán)境中的數(shù)據(jù)需要使用特殊的以數(shù)據(jù)為中心的安全策略。加密機(jī)制在各類環(huán)境下皆有其必要性�����,但加密令牌機(jī)制在云安全領(lǐng)域的作用往往尤為突出����。保證加密機(jī)制不會(huì)影響到應(yīng)用中的查找、排序、報(bào)告以及郵件發(fā)送等功能���。如果加密機(jī)制令上述功能的正常使用受到不良影響����,則用戶往往會(huì)想辦法回避加密��。
加密流量管理
對(duì)于需要過超過五成流量進(jìn)行加密的行業(yè)(例如金融服務(wù)及醫(yī)療衛(wèi)生)���,基于策略的流量解密可能需要匹配專門的SSL可視化子系統(tǒng)及/或?qū)S镁W(wǎng)絡(luò)架構(gòu)���。
事件響應(yīng)
需要立足于低層級(jí)進(jìn)行云部署以建立直觀的人機(jī)界面,從而實(shí)現(xiàn)事件響應(yīng)(例如多種格式查找���、可視化��、過濾及集成第三方SIEM系統(tǒng))。
云服務(wù)器如何才能更安全更穩(wěn)定��?
云服務(wù)器優(yōu)勢(shì)之一是不用維護(hù)服務(wù)器底層硬件�。只需關(guān)心操作系統(tǒng)和應(yīng)用的維護(hù)。從一點(diǎn)來看����,想要云服務(wù)器安全穩(wěn)定的運(yùn)行下去�����,我簡(jiǎn)單給大家列幾個(gè)方法:
1.優(yōu)化數(shù)據(jù)庫(kù)���,定期備份:數(shù)據(jù)庫(kù)長(zhǎng)期不間斷的運(yùn)行,需要調(diào)整數(shù)據(jù)庫(kù)性能�����,使之進(jìn)入最優(yōu)化狀態(tài)���。同時(shí)數(shù)據(jù)庫(kù)的數(shù)據(jù)需要定期備份����,以防萬一����。
2.維護(hù)操作系統(tǒng):操作系統(tǒng)是應(yīng)用軟件運(yùn)行的基礎(chǔ),多數(shù)的操作系統(tǒng)使用Windows和linux作為操作系統(tǒng)����,維護(hù)起來還是比較容易的。定期到系統(tǒng)日志、安全日志和應(yīng)用程序日志中查看有沒有特別異常的記錄�����。并且操作系統(tǒng)的官方網(wǎng)站上下載最新的ServicePack(升級(jí)服務(wù)包)安裝包���,及時(shí)補(bǔ)上安全漏洞����。
3.網(wǎng)絡(luò)服務(wù)的維護(hù):網(wǎng)絡(luò)服務(wù)有很多���,如VPN����、WWW服務(wù)��、DNS服務(wù)�����、SMTP服務(wù)等����,隨著提供的服務(wù)越來越多,系統(tǒng)也容易混亂����,此時(shí)需要重新設(shè)定各個(gè)服務(wù)的參數(shù),使之正常運(yùn)行�。
4.檢查事件日志輸出:云廠商都會(huì)提供日志服務(wù),日志中記錄著豐富的信息����,管理人員應(yīng)該仔細(xì)審查系統(tǒng)日志。
5.查看當(dāng)前端口開放情況:查看當(dāng)前的端口連接情況�����,尤其是注意與外部連接著的端口情況����,看是否有未經(jīng)允許的端口與外界在通信。如有����,立即關(guān)閉該端口并記錄下該端口對(duì)應(yīng)的程序并記錄,將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析�。
6.入侵檢測(cè)工作:云服務(wù)器的日常管理中,入侵檢測(cè)是一項(xiàng)非常重要的工作����,日常的檢測(cè)包含日常服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查�,特別需要檢測(cè)一些系統(tǒng)中最脆弱的地方����,這些地方往往是日常的安全檢測(cè)的重點(diǎn)所在。
7.定期修改密碼:系統(tǒng)登錄密碼�,數(shù)據(jù)庫(kù)登錄密碼,其他應(yīng)用的登錄密碼需要定期修改����。并且要盡量復(fù)雜無規(guī)律。
文章名稱:開發(fā)數(shù)據(jù)庫(kù)云服務(wù)器安全 開發(fā)數(shù)據(jù)庫(kù)云服務(wù)器安全問題
網(wǎng)站URL:
http://weahome.cn/article/ddjspje.html
重慶分公司
重慶分公司
