当前位置:首页>解决方案

公有云

方案特点:

当前,云计算成为流行的IT系统解决方案。它的可扩展、可伸缩的弹性计算能力,极大的减小了IT建设和管理的难度。并且其以租代购的方式极大的减少了投资。公有云是最重要的一种云计算方式,可以为全球的用户建立起应用系统。但是在公有云中,应用系统和支撑其运转的数据库都迁移到云端,数据的安全是十分重要的问题。越来越多的云端数据泄漏事件,比如最近的部署于云端的某游戏160多万用户数据的泄漏,给云中数据库的安全拉响警钟。相比于传统计算环境,云计算的开放性和虚拟化的特性,传统的数据安全方案变得复杂甚至问能为力,给云端的数据库的防护带来了更大的挑战。




  传统技术方案的限制

为解决数据的安全管理,国保信安提供数据库审计、防火墙、透明加密、脱敏等产品,形成数据在其生命周期中的产生、使用、存储、备份等阶段的安全解决方案。其中,对数据库系统部署数据库审计和防火墙,实现对数据的访问状况的监控和访问控制,是最基本的安全需求。在传统网络环境中,通常采用旁路镜像、直连、OS代理等方式实现。在公有云环境中,仍然有必要部署数据库安全加固产品,对数据生命周期中的各个阶段的安全加固。并且部署数据库审计和防火墙仍然是最基础和最必要的防护手段。在公有云环境中,数据库审计和防火墙的旁路镜像、直连、OS代理等实现方式理论上都是可行的,但是在实际的场景中会受到具有各种限制。

1)镜像方式:在传统环境中,在交换机上配置端口镜像,将数据库访问流量镜像到数据库审计设备即可。然而此种部署方式需要云计算平台通过SDN定义出网络镜像,使得实施变得复杂,给云计算环境带来管理工作量的增大。而且租户并不能接受数据库的通信流量被云平台旁路。

2)直连方式:在传统环境中,通过代理或者透明网桥方式,将数据库审计或者防火墙部署于数据库之前,从而监控或者过滤到数据库的访问。同样的,这种部署方式需要云计算平台通过SDN定义出网络直连方式,使得实施变得复杂。而且,主流的云主机都只有一个虚拟网络接口,而这种部署方式至少需要两个接口。这就需要云平台对虚拟机做出调整,从而给实施带来进一步的困难。

3)OS代理方式:这种方式通过在数据库服务所在的OS上安装代理程序,将对数据库的访问镜像到审计服务器,或者对访问进行过滤。在公有云环境下,大多数的云服务厂商对外提供的RDS数据库服务是以SQL访问接口形式体现的,并不会给租户提供数据库服务器OS操作的权限,更不允许给RDS服务器上安装任何软件之类的。这就需要云平台对虚拟机做出调整,从而给实施带来进一步的困难。

并且,以上3种方式,都不能实现对数据库访问的完整监控。比如通过虚拟机逃逸,或者攻击者直接登录数据库服务器OS并直接对数据库进行的操作等,都不能被记录或者过滤。


  实现方案

为实现云端数据库的审计和细粒度访问控制,国保信安厚积薄发,在多年积累基础上,推出了适应于云计算环境的产品和解决方案。针对具体环境的不同,有两种具体的实现方案。

方案一:LOCAL探针,实现数据库审计。利用数据库自身的日志记录机制,使用SQL语句实现探针,获取并记录对数据库的一切访问,发送到独立运行的数据库审计服务器中。如下图所示。




该方案的优势如下:

1)没有任何侵入性:完全基于数据库的机制,使用SQL接口实现,对系统不做任何侵入式修改;

2) 不会丢包,任何峰值的访问,都能够完整记录;

3) 不会漏审,从任何方式访问数据库,都会被记录;

4) 实施简单,不需要云供应商做任何OS级和软件级的改动,甚至可以独立于云供应商,租户购买云主机后,自行部署数据库审计系统;

5) 弹性审计,根据实际的审计工作量,弹性的调整审计服务器的处理能力;

6) 高安全性,用户自主选择的第三方的安全产品,云平台运维人员也不能操作和控制审计内容。

方案二:单臂代理,实现数据库审计和数据库防火墙。国保信安数据库审计/防火墙运行于独立的虚拟主机,APP/WEB服务器对数据库的访问指向国保信安主机,并且修改数据库配置,只响应来自国保信安主机的请求。国保信安主机在转发数据库访问通信流量的同时,对访问情况进行记录或者过滤。如下图所示。





该方案的优势如下:

1) 没有任何侵入性:完全独立于数据库服务器和APP/WEB服务器,对系统不做任何侵入式修改;

2) 不会丢包,任何峰值的访问,都能够完整记录;

3) 实施简单,不需要云供应商做任何OS级和软件级的改动,甚至可以独立于云供应商,租户购买云主机后,自行部署数据库审计/防火墙系统;

4) 弹性审计,根据实际的审计工作量,弹性的调整审计/防火墙服务器的处理能力;

5) 高安全性,用户自主选择的第三方的安全产品,云平台运维人员也不能操作和控制审计内容。


  测试结果

我们将如上方案部署于多个公有云系统,并进行了长时间的压力测试和稳定性测试,结论如下。

方案一结论:

1) 在通常情况下,数据库服务压力不大时,审计系统对公有云RDB服务几乎没有性能影响

2) 在数据库服务压力比较大时,审计系统对RDB性能稍有影响

3) 在极端情况下,当数据库服务压力持续100%时,仅仅降低原来性能的11.4%

4) 在超高性能主机环境下,当数据库服务压力持续100%时,审计系统RDB性能影响仅1%

5) 建议当用户数据库服务压力较大时,增加数据库服务器性能,基本可以消除审计系统对公有云数据库服务的性能影响

6) 经过长时间满负载压力测试,而使用本方案完全消除了传统部署方式中难以避免的丢包现象,100%的获取数据库操作,且运行稳定

方案二结论:

1) 国保信安数据库审计/防火墙未满负荷运行时,对访问的延迟在微秒级,对业务处理吞吐量的影响几乎为零;

2) 经过长时间高压力测试,本方案没有丢包现象,且运行稳定。



由于该业务模式比较新,国保信安目前正和多家公有云平台对接商业模式,基本达成的要点如下:

1)公有云平台辅助国保信安产品加入应用商场并上线,方便租户购买并部署产品;

2)国保信安线下辅助用户完成上线,并辅助设置上线后的审计或者防护规则;

3)云平台做线上推广,国保信安做线下客户拓展;

4)数据库安全加固产品价格为虚拟主机费用的一个系数。云平台收取国保信安产品所运行的虚拟主机的折扣费用,国保信安收取附加的产品费用,和部分虚拟主机推广费用。



国保信安云端数据库安全审计和防火墙方案,基于十余年技术积累,为云端数据提供必要的和弹性的安全管理能力。除了上文所述优势,本方案还具有如下突出优势:

快:业界最高的处理性能。

      · 连续处理能力:1~10SQL/s;

      · 日志检索速度: <10钟,1亿记录,任意关键字组合查询;

      · 日志存储能力: 30~100亿SQL/TB。

智:智能化自动学习,基本实现零配置。

稳:十余年技术积累,国内最早专利技术,上千实际案例,产品运行稳定;

全:全面的功能和全面的审计。

      · 不丢包:高峰流量不丢包,完全审计;

      · 不漏审:全方位的审计,不漏掉从任何途径对数据库的访问;

      · 全功能:具有敏感数据发现、性能审计、漏洞扫描和风险评估;

      · 能够部署于任何环境。

美:美观的报表和界面。提供大量报告模板,包括各种审计报告、安全趋势等。可实现报表格式和模板的自定义。

细:细粒度的审计和访问控制,达到字段、语句级。



— 价值特点 —

  • 快速优质的服务,产品生命周期管理

  • 完善的施工过程管理

  • 专业的技术方案实现实力

  • 优质的售前售后服务

联系我们

CONTACT US

在线留言
公司位置