前文中�����,對企業(yè)內(nèi)部面臨的各類數(shù)據(jù)安全風險進行了梳理分析�����。本篇里�,我們將聚焦“對癥下藥”,結(jié)合“產(chǎn)品與方案”��,介紹構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)運維安全管理工作的解決思路����。
今天,企業(yè)內(nèi)部數(shù)據(jù)安全普遍存在諸多安全風險����,除需具備協(xié)議解析等核心技術(shù)能力之外�,還應結(jié)合企業(yè)實際數(shù)據(jù)運維場景���,通過“身份管理��、事前規(guī)范授權(quán)流程����、事中訪問控制及事后追溯”等方法�����,有效落實企業(yè)內(nèi)部數(shù)據(jù)運維安全管理工作��。為此�����,安華金和提出“構(gòu)建安全架構(gòu)五元組方法論”��,即:
1��、身份認證
通過身份交付和身份認證����,確定訪問來源的用戶主體是誰。
2���、授權(quán)
授予某些用戶主體“允許或拒絕訪問數(shù)據(jù)庫資產(chǎn)”的權(quán)限��,形成用戶主體����、數(shù)據(jù)資產(chǎn)與訪問權(quán)限三者之間映射關(guān)系的授權(quán)列表����。
3、訪問控制
通過控制手段�����,依據(jù)授權(quán)列表���,實現(xiàn)訪問過程中的阻斷��、攔截�、放行,構(gòu)建細粒度訪問控制模型����。
4、審計
形成事件追溯日志���。
5���、數(shù)據(jù)資產(chǎn)保護
將數(shù)據(jù)資產(chǎn)分級,針對不同級別的“數(shù)據(jù)庫��、普通數(shù)據(jù)�����、敏感數(shù)據(jù)”等數(shù)據(jù)資產(chǎn)施以相應的保護�����,真正實現(xiàn)分而治之�����。
安華金和DOMS數(shù)據(jù)運維安全架構(gòu)五元組
1�、身份認證
面對企業(yè)內(nèi)部復雜的運維場景���,DOMS提出運維身份認證的概念���,首先將身份認證作為構(gòu)建數(shù)據(jù)運維管理的第一步���,包括身份交付、身份認證兩部分��,目的是梳理出企業(yè)內(nèi)部涉及的運維場景全部納入DOMS管理的范圍內(nèi)�,并賦予對應的運維身份,為后續(xù)的授權(quán)和訪問控制打好基礎(chǔ)����。
(1)身份交付統(tǒng)一管理復雜數(shù)據(jù)運維場景
DOMS對于運維身份的理解,不僅局限于運維人員��,而是結(jié)合企業(yè)內(nèi)部實際運維工作場景�����,將應用程序��、運維主機��、數(shù)據(jù)庫訪問工具、應用服務器�����、以及高權(quán)限數(shù)據(jù)庫賬戶�、普通數(shù)據(jù)庫賬戶等納入到運維身份管理范疇。通過身份交付梳理出復雜的運維場景��,并通過身份定義賦予這些運維身份對應的屬性�,包括:運維人員姓名、工號��、部門�、終端PC機的IP地址、MAC地址����、主機名稱、工具名稱等��;以上屬性��,正是DOMS通過運維身份進行訪問控制的重要判斷依據(jù)之一��。
身份類型與對應定義的屬性舉例
除此之外���,DOMS的運維身份還可與企業(yè)內(nèi)部現(xiàn)有的用戶管理平臺(如LDAP���、AD域等)進行對接,將企業(yè)內(nèi)部上崗��、下崗����、部門變動等帶來的賬號變動同步到DOMS,并實現(xiàn)簡易化管理與自助服務請求�����。
(2)身份認證創(chuàng)建訪問零信任
DOMS通過“身份認證”功能在每個運維身份�����、用戶���、資產(chǎn)和數(shù)據(jù)交換過程中創(chuàng)建訪問零信任�,目的是將數(shù)據(jù)的訪問權(quán)限進行收斂����,集中管理����,防止高權(quán)限用戶濫用�。
通過硬Ukey、軟證書���、Web頁面認證��、雙因素認證等工具����,將上述所有定義的運維身份進行唯一標識����,在數(shù)據(jù)訪問過程中進行身份認證,并與DOMS的訪問控制策略交互��;認證通過后���,根據(jù)授權(quán)列表實現(xiàn)數(shù)據(jù)庫準入����、細粒度訪問控制等管理���。
我們把運維訪問場景比作去動物園���,購買門票就是身份交付,刷票進園就好比是身份認證���,只有手握門票的人才能夠有資格入園觀光��;而入園后�����,能看園區(qū)內(nèi)哪些景點����,觀看哪些動物�����,就要看所持門票賦予的資格了���,即下面要詳細介紹的授權(quán)與訪問控制��。
DOMS運維身份���、授權(quán)���、訪問控制邏輯關(guān)系
2、授權(quán)
(1)依據(jù)運維身份授予數(shù)據(jù)資產(chǎn)訪問權(quán)限
授權(quán)的目的是將運維身份�、數(shù)據(jù)資產(chǎn)、訪問權(quán)限三者建立映射關(guān)系����,使得所有數(shù)據(jù)訪問權(quán)限能夠按照運維身份恰如其分的進行分配,實現(xiàn)對運維工作的最小化權(quán)限劃分����,包括數(shù)據(jù)庫用戶名、密碼的統(tǒng)一管理以及授權(quán)下發(fā)�����,并會對授權(quán)流程進行規(guī)范化的申請�����、審批���,只有審批通過后����,才有權(quán)限執(zhí)行具體的SQL語句���、訪問操作����。
(2)數(shù)據(jù)庫用戶名密碼統(tǒng)一管理��、授權(quán)
DOMS會為企業(yè)提供數(shù)據(jù)庫用戶名���、密碼統(tǒng)一管理能力��,目的是防止運維過程中泄露密碼以及運維人員隨意創(chuàng)建數(shù)據(jù)庫用戶����。主要依托的是安華金和獨立研發(fā)并獲取專利的“密碼橋”技術(shù)���,DOMS根據(jù)運維身份直接授權(quán)或經(jīng)過申請�����、審批的流程����,將DOMS創(chuàng)建的一套“虛假的數(shù)據(jù)庫用戶名、密碼”來替代數(shù)據(jù)庫真實的數(shù)據(jù)庫用戶名����、密碼,進行數(shù)據(jù)庫登陸�����,并在創(chuàng)建初期同時進行運維身份的定義���,所以登陸數(shù)據(jù)庫的同時還會進行身份認證�,若在授權(quán)的范圍內(nèi)才可成功登陸數(shù)據(jù)庫�����。此外����,由于安華金和的“密碼橋”技術(shù)是基于秘鑰計算方式實現(xiàn)的,所以DOMS可與客戶現(xiàn)有密碼管理平臺對接��,實現(xiàn)一套賬號無縫銜接登陸數(shù)據(jù)庫�,并進行認證�。
(3)通過“申請審批”規(guī)范運維授權(quán)流程
對于運維管理����,最重要的一步就是預前處理�,通過規(guī)范化的授權(quán)流程���,提前將風險縮小到可控范圍內(nèi)����。DOMS提供的申請��、審批流程��,在運維人員對重要SQL語句�����、SQL腳本���、核心數(shù)據(jù)執(zhí)行訪問前��,必須先通過“申請?zhí)岢龉?����,并?jīng)過負責人審批通過后”�����,才可獲得執(zhí)行權(quán)限�,否則會被攔截、阻斷�����。這一事前干預處理�����,能夠大大減少運維操作中經(jīng)常出現(xiàn)的誤操作(no where全表更新)、高風險操作(delete���、truncate數(shù)據(jù)批量刪除)�、泄露數(shù)據(jù)(expdp數(shù)據(jù)批量導出)等問題�����,并提供與企業(yè)現(xiàn)有ITSM��、OA等系統(tǒng)的標準對外接口��,從而實現(xiàn)面向不同平臺的統(tǒng)一申請及審批操作流程�����。
DOMS申請審批流程示意圖
3����、訪問控制
DOMS首先從網(wǎng)絡(luò)部署層面出發(fā)�����,以數(shù)據(jù)庫為中心進行 “代理部署”;同時���,在“數(shù)據(jù)庫本地建立訪問控制”���,通過“兩手抓”的方式建立全面、無死角的運維網(wǎng)絡(luò)鏈接控制����。之后,依據(jù)運維身份進行數(shù)據(jù)庫級的準入控制�����,繼而進行實例��、表級訪問控制���,最后細粒度達到字段級��、數(shù)據(jù)級訪問控制���。通過層層把關(guān)、逐步認證��,最終構(gòu)建一個全面的、細粒度的訪問控制模型���。
(1)代理部署+本地訪問控制
以數(shù)據(jù)庫為中心����,DOMS進行代理部署���,從根本上解決運維人員直接接觸數(shù)據(jù)庫的問題����。所有的訪問源通過訪問DOMS的代理IP�����、PORT來替代真實的數(shù)據(jù)庫IP�����、PORT��;DOMS則通過“代理劫持+轉(zhuǎn)發(fā)”的技術(shù)實現(xiàn)訪問控制�。此外����,為防“繞過”����,DOMS還支持在數(shù)據(jù)庫本地安裝插件以實現(xiàn)本地訪問控制的功能����,從而達到“無后門”式全面承接運維管控工作的能力,無論是普通權(quán)限還是高權(quán)限都將被納入到DOMS統(tǒng)一的訪問控制管理內(nèi)�。
DOMS“代理部署+本地訪問控制”部署示意圖
(2)數(shù)據(jù)庫準入
DOMS采用雙因素、WEB認證以及上文所述的密碼橋等技術(shù)手段�,實現(xiàn)了數(shù)據(jù)庫級的身份認證�;認證通過后�,才僅允許合法的���、可信任的人或設(shè)備接入數(shù)據(jù)庫���,即實現(xiàn)數(shù)據(jù)庫準入��;并實時檢測密碼猜測和密碼泄露風險�,全面防御密碼攻擊�,構(gòu)建數(shù)據(jù)庫“第一道”防御體系���。
WEB認證實現(xiàn)數(shù)據(jù)庫登陸準入
(3)構(gòu)建細粒度訪問控制模型
DOMS以協(xié)議解析技術(shù)為基礎(chǔ)����,從全流量中抽取出SQL語句����、表對象���、字段、操作類型(DDL�、DCL、DML等)、訪問源�、訪問目標等信息�����,依據(jù)這些細粒度元素創(chuàng)建多種類型訪問控制規(guī)則�����,DOMS的訪問控制規(guī)則類型如下:
DOMS訪問控制規(guī)則類型
在不同的運維場景下,通過身份認證識別出針對不同運維身份所授予的數(shù)據(jù)訪問權(quán)限后�����,DOMS會按照事先配置的訪問規(guī)則準確執(zhí)行阻斷��、攔截�����、放行等控制動作,達到依據(jù)運維身份授權(quán)構(gòu)建細粒度訪問控制模型的目的��。
DOMS依據(jù)運維身份構(gòu)建數(shù)據(jù)資產(chǎn)細粒度訪問控制矩陣模型
4、審計
(1)“實名化”審計用于事后追溯
對于數(shù)據(jù)庫的運維操作行為,企業(yè)必須進行全面的日制記錄用于事后追溯�����。DOMS基于數(shù)據(jù)庫協(xié)議���,結(jié)合身份認證手段����,將每一個數(shù)據(jù)運維操作都標識到具體的運維人員�����,即“是誰在什么時間�、以哪個客戶端IP、通過哪個數(shù)據(jù)庫用戶�����、訪問了哪個數(shù)據(jù)庫��、執(zhí)行了什么sql語句”等等��,這樣經(jīng)過“實名化”的每一條sql語句和每次一數(shù)據(jù)庫訪問操作行為,都是風險事后追溯一組無法推翻的���、完整的證據(jù)鏈�。
DOMS“實名化”操作日志記錄
(2)審計日志統(tǒng)計分析內(nèi)部數(shù)據(jù)運維風險
DOMS基于審計日志�,以運維人員、觸發(fā)風險top���、會話����、SQL等維度進行統(tǒng)計分析�,形成展示界面及報表,為日后企業(yè)內(nèi)部數(shù)據(jù)的整體運維管理工作提供有效依據(jù)�����。
5���、數(shù)據(jù)資產(chǎn)保護
(1)敏感數(shù)據(jù)與普通數(shù)據(jù)的運維分而治之
數(shù)據(jù)資產(chǎn)保護���,首要就是將普通數(shù)據(jù)與敏感數(shù)據(jù)的安全訪問管控能力進行有效隔離,針對不同數(shù)據(jù)進行不同的處理��。除上述細粒度訪問控制模型外,還需要針對核心敏感數(shù)據(jù)資產(chǎn)實現(xiàn)訪問過程中的實時動態(tài)脫敏����,以確保不同用戶具備不同的敏感數(shù)據(jù)訪問權(quán)限,從而達到敏感數(shù)據(jù)與普通數(shù)據(jù)在運維過程中的“分而治之”����。
(2)敏感數(shù)據(jù)資產(chǎn)梳理
DOMS敏感數(shù)據(jù)資產(chǎn)梳理能力�����,是從企業(yè)內(nèi)部龐大的數(shù)據(jù)資產(chǎn)中有效梳理出敏感數(shù)據(jù)的所在位置��,達到“庫—>表—>字段級”的細粒度�����,以整體展現(xiàn)敏感數(shù)據(jù)的分布情況�����,從而為構(gòu)建敏感數(shù)據(jù)訪問控制��、動態(tài)脫敏等防控能力打下基礎(chǔ)�����。
(3)敏感數(shù)據(jù)動態(tài)脫敏
DOMS為防止企業(yè)核心敏感數(shù)據(jù)資產(chǎn)的泄露,可提供敏感數(shù)據(jù)在訪問過程中的實時動態(tài)脫敏能力����,脫敏的同時也支持敏感數(shù)據(jù)細粒度訪問控制,還可通過申請審批流程獲取訪問授權(quán)���。除此之外���,結(jié)合身份認證手段,達到針對不同的訪問運維身份實現(xiàn)不同的脫敏效果���,保障敏感數(shù)據(jù)資產(chǎn)安全���。
DOMS依據(jù)不同運維身份脫敏不同效果示意圖
面對企業(yè)內(nèi)部數(shù)據(jù)安全存在的風險,安華金和DOMS以訪問控制為手段�����,以運維身份為抓手���,以流程為規(guī)范���,制定適當?shù)脑L問決策�����,并允許風險/合規(guī)管理人員權(quán)限分離�����,快速識別違規(guī)行為,幫助確定風險區(qū)域和訪問優(yōu)化����,提供針對風險用戶及其行為清晰直觀的視覺洞察與審計能力。
此外����,安華金和可提供DOMS與堡壘機聯(lián)動的整體解決方案,通過將訪問來源定位到堡壘機訪問的真實自然人���,達到針對真實自然人的訪問控制和審計����,實現(xiàn)從網(wǎng)絡(luò)層到數(shù)據(jù)層�����,全面、有效落實企業(yè)內(nèi)部數(shù)據(jù)運維安全����。
拓展閱讀:「安華金和」如何有效落實企業(yè)內(nèi)部數(shù)據(jù)運維安全(一)
產(chǎn)品咨詢:4000 258 365 
