10月22日,新云南皇冠假日酒店�,第七屆中國系統(tǒng)架構(gòu)師大會拉開帷幕,這里成為2000多位以上架構(gòu)師����、CTO、工程師���、IT經(jīng)理�����、運維總監(jiān)���、開發(fā)經(jīng)理等技術(shù)群體的聚集地����,恰逢大數(shù)據(jù)時代�,本屆大會以 “互聯(lián)網(wǎng)+ 重塑IT架構(gòu)”為核心主題,大會內(nèi)容從IT架構(gòu)設(shè)計����、系統(tǒng)管理運維、安全保障支撐等不同角度���,為與會人員獻上一場饕餮盛宴��。
數(shù)據(jù)存量的爆炸性增長�、傳統(tǒng)的安全藩籬被打破���,核心數(shù)據(jù)亟待安全保障�����,風險安全責任全員化����,數(shù)據(jù)庫安全已是重要運維責任,已經(jīng)成為運維2.0時代下的顯著特性���。面對大流量��、高并發(fā)��、高相應(yīng)的業(yè)務(wù)需求�,給運維人員提出了更新的挑戰(zhàn)和更高的要求����,安華金和CEO受本次大會特邀,聚焦于數(shù)據(jù)庫��,面向運維人員清晰闡述了Security運維的必要性和技術(shù)原理�,分別就傳統(tǒng)行業(yè)IT架構(gòu)下如何對數(shù)據(jù)庫進行安全運維和互聯(lián)網(wǎng)+形態(tài)下催生的云環(huán)境下——具體到私有云���、公有云���、行業(yè)云下實現(xiàn)云安全運維,展開技術(shù)分享�����。
基于怎樣的背景,安華金和提出數(shù)據(jù)庫Security運維理念
類似網(wǎng)易郵箱拖庫這類層出不窮的數(shù)據(jù)泄密事件���,已經(jīng)讓我們清晰的認識到數(shù)據(jù)庫安全成為安全體系建設(shè)的關(guān)鍵所在��,從近兩年verizon全球數(shù)據(jù)泄露調(diào)查報告數(shù)據(jù)顯示��,數(shù)據(jù)庫中泄露的數(shù)據(jù)是數(shù)據(jù)泄漏事件發(fā)生的主要來源���。對于數(shù)據(jù)庫本身而言,其應(yīng)用環(huán)境相隊其他系統(tǒng)要復(fù)雜得多�,B/S架構(gòu)使數(shù)據(jù)庫間接暴露到互聯(lián)網(wǎng);各種運維人員和IT外包人員直接訪問數(shù)據(jù)庫�;應(yīng)用方式的變更使數(shù)據(jù)庫訪問形式多樣化這種境遇下,迫使我們對數(shù)據(jù)庫的運維安全升級���。從運維人員的意識形態(tài)上�����,分享幾組數(shù)據(jù)�,根據(jù)Oracle對全球430為獨立用戶成員進行數(shù)據(jù)庫安全調(diào)查�,結(jié)果顯示:
3/4 的成員不清楚特權(quán)用戶對數(shù)據(jù)庫進行過何種操作
2/3 的成員不能有效防止特權(quán)用戶對數(shù)據(jù)庫的非授權(quán)訪問
85% 的成員將真實數(shù)據(jù)不加防范地交與開發(fā)人員或第三方人員
50% 的成員對其非特權(quán)用戶訪問敏感數(shù)據(jù)毫無措施
傳統(tǒng)行業(yè)數(shù)據(jù)庫安全運維存在哪些問題
(1)應(yīng)用系統(tǒng)量大復(fù)雜:營銷系統(tǒng)、生產(chǎn)MIS�����、人事系統(tǒng)、財務(wù)系統(tǒng)�����、調(diào)度系統(tǒng)����、ERP系統(tǒng)、OA系統(tǒng)等等(2)甲方技術(shù)人員匱乏��,大部分的運維工作都外包給第三方��,運維人員素質(zhì)參差不齊�;(3)核心的數(shù)據(jù)庫賬號和權(quán)限不在甲方掌控之中,基本都在運維人員手中����;(4)數(shù)據(jù)庫賬號的使用和管理比較混亂�,甲方不知道有多少高權(quán)限賬號,這些賬號的權(quán)限是否合理����,是否有越權(quán)行為從而造成安全事故等。對此安華金和給予了數(shù)據(jù)庫安全運維建議:
DB Security運維的安全建議
云環(huán)境下對數(shù)據(jù)庫安全運維提出了怎樣的挑戰(zhàn)
云計算的發(fā)展,用戶在私有云���、公有云�、行業(yè)云�、政府專有云上,逐漸接受和使用�。我們不得不接受一個現(xiàn)實,對于DBA而言���,云環(huán)境下��,IaaS干掉了基礎(chǔ)運維����,公司不再需要人各地出差服務(wù)器上架了�����,機房值班更加不需要了��;PaaS部分干掉了應(yīng)用運維�,甚至技術(shù)含量高的DBA,需求量都將銳減���。SaaS甚至干掉連研發(fā)都干掉了�,使得公有云的使用更加傻瓜化。但是由于云環(huán)境下數(shù)據(jù)集中化存儲與共享���,加劇了數(shù)據(jù)泄密的風險��,用戶對于Security�����,即安全運維的意識和要求��,只會越來越高����。
首先����,用戶需要確認數(shù)據(jù)在云上是安全的,云環(huán)境的維護者無法看到這些數(shù)據(jù)���,即使進入數(shù)據(jù)庫也無法看到敏感的真實數(shù)據(jù),其次����,只有掌握密鑰的應(yīng)用系統(tǒng)或企業(yè)用戶才能得到真實數(shù)據(jù)�;系統(tǒng)中的敏感數(shù)據(jù)的保護需要按照企業(yè)用戶來區(qū)分�����,鑰匙需要掌握在企業(yè)用戶的手中��,不能是一個公共的鑰匙���;最后���,安全要“銜接線下”,將“秘鑰”做O2O包裝���,一定要能夠以線下Key�����、證卡等實物形式來體現(xiàn)��,這樣能夠大幅改善Online完全不受控的感受��,讓用戶能夠心里踏實�。
產(chǎn)品咨詢:4000 258 365 
