據統計,全球受數據洩露影響最為嚴重的行業有金融、政府、製造、電商、教育、醫療等,一旦發生損失慘重。彈幕視頻網站 AcFun(A 站)2018年6月13日在官網發佈 稱受到黑客攻擊,"近千萬條用戶數據外洩",其中包括用戶 ID、暱稱、"加密存儲"的密碼等信息。
數據外洩一般都是由於密碼加密強度不高、權限管理混亂、安全措施做得不夠造成的。如何做好數據庫層面的保護,使你的數據庫系統免受黑客攻擊是每一個數據庫從業者應盡的職責,本文將針對雲計算時代,企業如何做好數據庫防護分享幾個小技巧。
1、 做好數據庫攻擊的事前預防:
· 做好權限管理:雲計算廠商一般都會提供訪問控制(Cloud Access Management,CAM)的Web服務,主要用於幫助客戶安全管理賬戶下資源的訪問權限。通過 CAM 創建、管理和銷燬用戶(組),並使用身份管理和策略管理控制其他用戶使用雲資源的權限。對於密級較高的數據,也可以採用密鑰管理服務(Key Management Service)來進行加密。
· 自定義專屬私有網絡( VPC ):目前雲計算廠商均會提供私有網絡訪問,在雲上自定義的邏輯隔離網絡空間。私有網絡下的實例可被啟動在預設的、自定義的網段下,與其他雲租戶相互隔離。
· 利用安全組控制訪問權限 :安全組是一種有狀態的包含過濾功能的虛擬防火牆,用於設置單臺或多臺服務器的網絡訪問控制,運維人員需要控制好相應機器的訪問列表,嚴格控制安全組的訪問列表。
2、 加強數據庫攻擊的事中防護:
· 做好多重認證信息:
做好密碼的強認證,強制要求數據庫密碼的複雜度,防止被黑客暴力破解;
針對高危的操作,如drop table,drop database操作做好權限控制禁止,添加短信密碼的認證,當然這塊的開發成本也是非常高昂。
· 加強數據通信加密:有條件的可以採取 IPsec VPN數據通道加密,或者使用SSL的傳輸加密,當然要承擔30%左右的性能損失。
· 數據加密: 開啟數據存儲加密(如TDE),防止數據意外洩露後直接被黑客解密相應核心數據。
3、 做好事後審查糾正 :
一旦入侵行為發生,除了採取必要措施進行封堵,就是回溯和確認攻擊源頭,還原惡意行為的蛛絲馬跡。我們需要一個詳細的審計日誌的記錄和存儲,便於查出"對手"的詳細信息以及準確的損失評估,便於後面的長期預防和業務止血。
其實,企業想做好上述詳細的數據庫安全防護,需要投入大量的開發及DBA同學進行長期的建設。雲計算時代的到來,讓企業用戶可以以較少的投入就可以獲得和大型互聯網公司媲美的安全防護。
隨著企業"上雲"逐步加速,利用雲數據庫已經成為企業部署核心業務的一大趨勢。為用戶提供穩定、安全、可靠的雲數據庫服務也因此成為雲廠商必備的基本功。作為騰訊科技的平臺,騰訊雲基於騰訊多年安全防禦經驗,在雲數據庫層面為用戶提供防火牆,帳號安全、訪問控制、入侵防禦、隔離、加密、備份恢復、數據庫審計等多重安全機制,保護用戶數據安全,讓企業安心聚焦自身的業務拓展。
遵從不同行業、領域、國家的安全合規性要求,騰訊雲積極建設和運行安全可靠的雲生態環境。其中,騰訊雲數據庫在安全合規方面擁有多項國內第一。
同時,作為行業標杆,騰訊雲數據庫將持續在安全層面加強自身建設與內外合作,和生態鏈上的合作伙伴共同打造一個安全健康的雲端環境,助力企業業務平穩快速發展。
如需瞭解關於騰訊雲數據庫的更多信息,請訪問
https://cloud.tencent.com/product/cdb-overview
閱讀更多 科技課 的文章
