如何防止敏感信息泄露?且看華為云集合三大組合拳,打造的數(shù)據(jù)庫(kù)安全服務(wù)(DBSS)實(shí)現(xiàn)“數(shù)據(jù)安全”。
組合拳一:數(shù)據(jù)庫(kù)防火墻
實(shí)時(shí)發(fā)現(xiàn)、攔截如SQL注入等惡意攻擊
拖庫(kù)、SQL注入等攻擊,是從外部竊取數(shù)據(jù)庫(kù)敏感信息的主要手段。在入侵行為發(fā)生時(shí),數(shù)據(jù)庫(kù)安全服務(wù)內(nèi)置的數(shù)據(jù)庫(kù)防火墻,可以實(shí)時(shí)阻斷入侵行為,增強(qiáng)數(shù)據(jù)庫(kù)抗攻擊能力。同時(shí),用戶(hù)可通過(guò)自定義策略(多種維度,如源IP地址、數(shù)據(jù)庫(kù)用戶(hù)名、應(yīng)用名稱(chēng)、動(dòng)作等),阻止應(yīng)用直接訪問(wèn)數(shù)據(jù)、利用操作系統(tǒng)和第三方應(yīng)用程序漏洞的攻擊。通過(guò)反向代理,數(shù)據(jù)庫(kù)防火墻可過(guò)濾進(jìn)出數(shù)據(jù)庫(kù)的所有流量,搜索查詢(xún)中出現(xiàn)的異;蚩梢勺址绻L(fēng)險(xiǎn)高于預(yù)設(shè)閾值,則會(huì)自動(dòng)阻止并斷開(kāi)該查詢(xún)。
組合拳二:數(shù)據(jù)脫敏和加密
讓數(shù)據(jù)密不透風(fēng)
要保護(hù)敏感數(shù)據(jù),首先要定位數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)的位置。數(shù)據(jù)庫(kù)安全服務(wù)根據(jù)GDPR(個(gè)人數(shù)據(jù))/PCI-DSS(支付)/SOX(金融)/HIPPA(醫(yī)療)等法規(guī)要求,自動(dòng)識(shí)別和發(fā)現(xiàn)敏感數(shù)據(jù),一鍵生成脫敏規(guī)則。動(dòng)態(tài)數(shù)據(jù)脫敏,對(duì)非授權(quán)讀取的敏感數(shù)據(jù)實(shí)時(shí)隱藏,防止未授權(quán)用戶(hù)訪問(wèn)敏感信息。對(duì)于密級(jí)較高的數(shù)據(jù),建議采用數(shù)據(jù)加密,通過(guò)密鑰對(duì)數(shù)據(jù)進(jìn)行加解密,用戶(hù)可以自帶密鑰,使其對(duì)云服務(wù)商也不可見(jiàn)。這意味著,可以在不觸碰用戶(hù)數(shù)據(jù)的情況下完成數(shù)據(jù)脫敏或加密,真正實(shí)現(xiàn)數(shù)據(jù)中立。
組合拳三:數(shù)據(jù)庫(kù)審計(jì)
對(duì)安全事件進(jìn)行回溯
數(shù)據(jù)庫(kù)安全審計(jì),可以對(duì)所有用戶(hù)的所有活動(dòng)進(jìn)行審計(jì),并可以生成合規(guī)性報(bào)告,展示諸如超過(guò)N天未更改密碼的數(shù)據(jù)庫(kù)用戶(hù)、超過(guò)N天未訪問(wèn)數(shù)據(jù)庫(kù)的用戶(hù)、最近的管理員操作及用戶(hù)權(quán)限被修改等諸多內(nèi)容。通過(guò)記錄流量、入侵、異常監(jiān)控、數(shù)據(jù)脫敏、遠(yuǎn)程工作等日志,直接定位到具體個(gè)人,并對(duì)拖庫(kù)、SQL攻擊等入侵事件實(shí)時(shí)告警,從而滿(mǎn)足網(wǎng)絡(luò)安全法等對(duì)數(shù)據(jù)庫(kù)審計(jì)的要求。
這三大組合拳,在數(shù)據(jù)庫(kù)安全服務(wù)中得到了實(shí)現(xiàn),從事前、事中、事后全方位保護(hù)云上核心數(shù)據(jù),真正做到讓數(shù)據(jù)密不透風(fēng),防止敏感信息泄露。
