据统计,全球受数据泄露影响最为严重的行业有金融、政府、制造、电商、教育、医疗等,一旦发生损失惨重。去年发生了多起数据泄露事件,如视频弹幕网站ACFUN因黑客攻击泄露数千万条数据,包括用户账号、个人信息以及经过加密处理的密码;还有12306被曝泄露大量信息并被出售。这些提醒着我们以及保存用户数据的企业,数据安全问题不容忽视。

数据外泄一般都是由于密码加密强度不高、权限管理混乱、安全措施做得不够造成的。如何做好数据库层面的保护,使你的数据库系统免受灾难是每一个数据库管理员从业人员管理员应尽得职责,由于云时代的到来,很多企业开始拥抱互联网,本文针对利用云计算的基础实施如何做好数据库防护做个浅显的分享:

云计算在我们生活中无处不在。那么云安全的问题是不是要刻不容缓?

一、做好数据库攻击的事前预防:

做好权限管理:

云计算厂商一般都会提供访问控制(Cloud Access Management,CAM)的Web服务,主要用于帮助客户安全管理账户下的资源的访问权限。通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用云资源的权限。对于密级较高的数据,也可以采用密钥管理服务(Key Management Service)来进行加密。

自定义专属私有网络( VPC ):

目前云计算厂商均会提供私有网络访问,在云上自定义的逻辑隔离网络空间。私有网络下的实例可被启动在预设的、自定义的网段下,与其他云租户相互隔离。

利用安全组控制访问权限:

安全组是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台服务器的网络访问控制,运维人员需要控制好相应机器的访问列表,严格控制安全组的访问列表。

二、加强数据库攻击的事中防护:

做好多重认证信息:

做好密码的强认证,强制要求数据库密码的复杂度,防止被黑客暴力破解;针对高危的操作,如drop table,drop database操作做好权限控制禁止,添加短信密码的认证,当然这块的开发成本也是非常高昂。

加强数据通信加密:

有条件的可以采取 IPsec VPN数据通道加密,或者使用SSL的传输加密,当然要承担30%左右的性能损失。

数据加密: 

开启数据存储加密(如TDE),防止数据意外泄露后直接被黑客解密相应核心数据。

三、做好事后审查纠正:

一旦入侵行为发生,除了采取必要措施进行封堵,就是回溯和确认攻击源头,还原恶意行为的蛛丝马迹。我们需要一个详细的审计日志的记录和存储,便于查出”对手”的详细信息以及准确的损失评估,便于后面的长期预防和业务止血。