云端數(shù)據(jù)安全，是云安全中最核心的問題之一。要實現(xiàn)云數(shù)據(jù)安全，需要從多個角度去努力。對數(shù)據(jù)訪問情況的跟蹤記錄審計，是云數(shù)據(jù)安全的最基本要求。本文從數(shù)據(jù)源頭——數(shù)據(jù)庫的保護角度，以幾個問題的問答方式，分析數(shù)據(jù)庫的安全審計問題。

1.什么是云端數(shù)據(jù)庫?

廣義的說，云端數(shù)據(jù)庫就是把數(shù)據(jù)庫放到了云端。這里包括三類：1)公有云服務(wù)商以SAAS的方式，提供給租戶的數(shù)據(jù)庫服務(wù)器;2)私有云上預(yù)先搭建好的SAAS方式的數(shù)據(jù)庫服務(wù)器;3)租戶租用云端服務(wù)器，自己安裝和搭建的數(shù)據(jù)庫。而狹義的說，僅指公有云服務(wù)商提供的SAAS形式的數(shù)據(jù)庫服務(wù)器，通常包含一個虛擬機系統(tǒng)和已經(jīng)安裝在上面的數(shù)據(jù)庫系統(tǒng)。本文后續(xù)部分如果沒有特別指出，云端數(shù)據(jù)庫僅指公有云端的SAAS數(shù)據(jù)庫。至于數(shù)據(jù)庫的種類，在每個云平臺上有所區(qū)別，但是主要的有關(guān)系型數(shù)據(jù)庫RDB以及非關(guān)系型數(shù)據(jù)庫NOSQL。

2.云端數(shù)據(jù)庫有哪些特殊性?

得益于云計算的特性，相比于傳統(tǒng)環(huán)境下的數(shù)據(jù)庫，在云端的數(shù)據(jù)庫具有如下優(yōu)勢：

1) 搭建速度快。云服務(wù)商預(yù)先搭建好數(shù)據(jù)庫模板，租戶只需要根據(jù)需求，操作鼠標調(diào)整各種參數(shù)，在秒級時間內(nèi)，就能夠快速部署好所需要的數(shù)據(jù)庫;

2) 構(gòu)建成本低。不需要一次性投入，只需要按照實際使用的計算資源和使用時間付費;

3) 彈性可伸縮。數(shù)據(jù)庫服務(wù)器的性能參數(shù)，可以根據(jù)實際情況動態(tài)調(diào)整;

4) 可靠性高。云服務(wù)商已經(jīng)解決了硬件設(shè)備和數(shù)據(jù)的容災(zāi)和備份問題，可靠性很高;

5) 維護量小。租戶只需要少量對數(shù)據(jù)的維護，不需要對服務(wù)器硬件、OS等進行維護。

除去以上優(yōu)勢，云端數(shù)據(jù)庫的一個問題是可控性較低。這里說的可控性是指租戶對數(shù)據(jù)庫系統(tǒng)的控制能力。云服務(wù)商為了實現(xiàn)如上優(yōu)勢，云端數(shù)據(jù)庫通常只對租戶開放數(shù)據(jù)庫訪問接口。就是說租戶對數(shù)據(jù)庫的所有訪問和維護，都只能通過這個接口進行。租戶甚至不能登錄到數(shù)據(jù)庫所在的操作系統(tǒng)，以實現(xiàn)對數(shù)據(jù)庫系統(tǒng)的更多管理。

3.云端數(shù)據(jù)庫面臨哪些安全問題?

數(shù)據(jù)庫存儲著系統(tǒng)的核心數(shù)據(jù)，其安全方面的問題在傳統(tǒng)環(huán)境中已經(jīng)很突出，成為數(shù)據(jù)泄漏的重要根源。而在云端，數(shù)據(jù)庫所面臨的威脅被進一步的放大。其安全問題主要來自于以下幾方面：

1) 云運營商的“上帝之手”。如上所述，云端數(shù)據(jù)庫的租戶對數(shù)據(jù)庫的可控性是很低的，而云運營商卻具有對數(shù)據(jù)庫的所有權(quán)限。從技術(shù)上來說，云運營商完全可以在租戶毫無察覺的情況下進入數(shù)據(jù)庫系統(tǒng);或者進入數(shù)據(jù)庫服務(wù)器所在的虛擬機;或者進入虛擬機所在的宿主物理服務(wù)器;或者直接獲取到數(shù)據(jù)庫文件所在的存儲設(shè)備。也就是說，任何租戶的數(shù)據(jù)，對云運營商來說，幾乎是完全開放的。而對于有商業(yè)價值的數(shù)據(jù)，對云運營商的眾多技術(shù)人員來說，絕對有足夠的吸引力;

2) 來自于其它租戶的攻擊。同一個云平臺上的其它租戶，有可能通過虛擬機逃逸等攻擊方法，得到數(shù)據(jù)庫中的數(shù)據(jù);

3) 來自租戶自身內(nèi)部人員的威脅。租戶內(nèi)部人員能夠直接使用帳號密碼登錄到云數(shù)據(jù)庫，從而進行越權(quán)或者違規(guī)的數(shù)據(jù)操作;

4) 更廣泛的攻擊。有價值的數(shù)據(jù)放在云上之后，各種來源的攻擊者，都“惦記”著這些數(shù)據(jù)。可能通過各種方法來進行攻擊以獲取數(shù)據(jù)，如近年來頻發(fā)的SQL注入攻擊事件，就導(dǎo)致了大量云端數(shù)據(jù)的泄漏。

4.為什么需要數(shù)據(jù)庫審計?

要解決如上所述的數(shù)據(jù)安全問題，需要多方面的防御手段。但是對數(shù)據(jù)庫訪問情況的記錄和審計，是最基本的安全需求。租戶需要清楚的知道，自己的數(shù)據(jù)庫，在什么時間，被什么人，以什么工具，具體做什么訪問，又拿到了什么數(shù)據(jù)。并且需要知道什么時候出現(xiàn)了攻擊行為和異常的訪問情況。這些功能，正是合格數(shù)據(jù)庫審計產(chǎn)品所必須具有的功能。

5.誰需要數(shù)據(jù)庫審計?

云運營商：云運營商需要引入數(shù)據(jù)庫審計產(chǎn)品，以方便快捷的方式，為其租戶提供數(shù)據(jù)安全服務(wù)。這既是提高其云平臺競爭力的手段，同時也是“自證清白”的有效途徑。

租戶：租戶需要數(shù)據(jù)庫審計，以增強數(shù)據(jù)安全防護能力。

6.云端數(shù)據(jù)庫審計有哪些特殊要求?

跟傳統(tǒng)環(huán)境相比較，對于部署在云端的數(shù)據(jù)庫審計，具有一些特殊的要求。具體體現(xiàn)在：

1)高性能。“性能、性能、性能”，重要的事說三遍。在云上，對性能的要求是苛刻的。最主要的原因就在于云計算“資源即費用”的收費模式。對于同樣的數(shù)據(jù)庫審計能力，產(chǎn)品性能越低，需要的計算資源越高，費用自然就越高。反之，產(chǎn)品性能越高，需要的計算資源越少，費用自然就越低。

2)中立性。對于云端的數(shù)據(jù)安全措施，最好的方式就是第三方的。所謂的“第三方”，就是指這種安全措施，不是由云運營商提供的，而是由其它獨立廠家提供的。之所以這樣要求的原因很簡單，就好比云運營商給了我們一把鎖和一把鑰匙來保護你的數(shù)據(jù)，我們怎么能保證他沒有另一把鑰匙呢?況且這個鎖每天就放在他們院子里。顯然，數(shù)據(jù)庫審計最好也是第三方的。

3)與云平臺解耦。也就是產(chǎn)品的實現(xiàn)獨立于具體的云平臺，不需要云運營商的研發(fā)做對接即可完成。這樣的好處是既能減少了云運營商的工作量，方便今后的升級;同時也能減少云運營商對審計過程進行干擾的可能性，進一步的保證中立性;而對數(shù)據(jù)庫審計提供商來說，則可以低成本、快速的在多個云平臺上進行部署。

4)審計內(nèi)容不會泄漏。這涉及到審計產(chǎn)品獲取數(shù)據(jù)的方式以及部署的方式。如果審計產(chǎn)品通過流量復(fù)制(鏡像)的方式獲取數(shù)據(jù)庫通信內(nèi)容，那么這些被復(fù)制的通信內(nèi)容就存在被泄漏的可能，而這些內(nèi)容中含有大量的敏感內(nèi)容。或者，如果采用由數(shù)據(jù)庫審計服務(wù)商集中管理所有租戶審計內(nèi)容的方式，那么審計服務(wù)商則有機會看到所有租戶審計內(nèi)容中的敏感信息，同樣存在泄漏的可能。

5)審計所有訪問數(shù)據(jù)庫的途徑。合格的云端數(shù)據(jù)庫審計產(chǎn)品，應(yīng)該能夠?qū)徲嫷饺缦聨讉€途徑對數(shù)據(jù)的訪問：

a) 云運營商直接登錄數(shù)據(jù)庫所在服務(wù)器，訪問數(shù)據(jù)庫，即所謂的“上帝之手”;

b) 其它租戶通過虛擬機逃逸，連接到數(shù)據(jù)庫進行訪問;

c) 租戶內(nèi)部人員對數(shù)據(jù)庫的所有訪問;

d) 外部攻擊者通過SQL注入、網(wǎng)站后門等方式對數(shù)據(jù)庫的違規(guī)訪問;

e) 應(yīng)用程序正常的數(shù)據(jù)庫訪問。

7.如何選擇云端數(shù)據(jù)庫審計?

云端數(shù)據(jù)庫審計提供彈性審計能力，以及以"審計即服務(wù)"的方式進行交付，保證了快速的交付和低成本。但是在具體選擇云端數(shù)據(jù)庫審計產(chǎn)品的時候，還需要從以下幾個方面進行考慮。

1)選擇中立性的廠商。在云端，包括數(shù)據(jù)庫審計產(chǎn)品在內(nèi)的所有數(shù)據(jù)安全產(chǎn)品的廠家都應(yīng)該是絕對中立的，也就是說云服務(wù)商自身不能是數(shù)據(jù)庫安全廠家，甚至不能與數(shù)據(jù)庫安全廠家有過于緊密的利益關(guān)系，比如股權(quán)合作。云服務(wù)廠家也應(yīng)該優(yōu)先推薦中立公司的數(shù)據(jù)安全產(chǎn)品。

另外，租戶可以選擇在多個云平臺上都已成功部署的廠家，這也能部分的確保其中立性。

2)選擇高性能的數(shù)據(jù)庫審計產(chǎn)品。在云端，數(shù)據(jù)庫審計產(chǎn)品的性能越高，租戶投入的成本越低。在對數(shù)據(jù)庫審計產(chǎn)品進行性能評估的時候，租戶需要搞清楚三個性能，以確保選擇到心儀的產(chǎn)品。

其一是連續(xù)處理性能。這是最最重要的性能，甚至是很多租戶需要真正關(guān)心的唯一性能，也是數(shù)據(jù)庫審計產(chǎn)品的首要質(zhì)量因素。所謂的連續(xù)處理性能很好理解，就是產(chǎn)品能一直以這個性能進行長時間的工作，不會出現(xiàn)漏審現(xiàn)象。技術(shù)上講，連續(xù)處理包括收包、協(xié)議解析、SQL解析、規(guī)則匹配和風(fēng)險識別、入庫等處理環(huán)節(jié)。我們需要所有這些處理環(huán)節(jié)都達到一個穩(wěn)定的性能，不存在性能瓶頸。

很多廠家宣傳時候，避重就輕，只宣傳峰值處理能力，而不提連續(xù)處理能力。其所謂的峰值處理能力，一般指收包的能力，或者最多到規(guī)則匹配的能力。這個能力，實際并不是產(chǎn)品的真正處理能力，其產(chǎn)品很可能存在性能瓶頸。因為收包或者處理很快，但是不能即時完成分析、入庫，結(jié)果就是在流量稍大于其性能瓶頸時造成漏審。用戶在選擇數(shù)據(jù)庫審計產(chǎn)品時，需要識別出其連續(xù)處理性能，而不要被峰值性能混淆。比如市場上某幾款產(chǎn)品的入庫性能即是其連續(xù)處理性能。

其二是內(nèi)容檢索性能。這是第二重要的性能，直接關(guān)系到租戶的體驗和產(chǎn)品的價值。對于分析存儲后的審計內(nèi)容，需要在隨時以高效的速度進行檢索。而且，這種檢索必須是任意關(guān)鍵字的檢索，因為我們需要檢索數(shù)據(jù)庫訪問日志中的具體內(nèi)容。比如檢索“張三”、“李四”、STUDENT(表名)等的訪問情況。如果檢索性能很低，那么存儲的審計內(nèi)容越多，產(chǎn)品的可用性就越低，產(chǎn)品的價值就越低。

很多廠家在宣傳的時候，宣稱檢索性能很快，實際指的并不是這種任意關(guān)鍵字檢索的性能，而是對對結(jié)構(gòu)化部分內(nèi)容的檢索。對于諸如IP地址、用戶名、時間等結(jié)構(gòu)化的內(nèi)容，幾乎所有的數(shù)據(jù)庫審計產(chǎn)品能夠達到很高的檢索性能。但是任意關(guān)鍵字檢索才是租戶真正關(guān)心的功能，其功能和性能都必須單獨提出，不能被回避。

其三是存儲性能。云端的存儲也是需要付費的，所以我們希望單位硬盤空間能夠存儲的審計內(nèi)容越多越好。很多廠家在宣傳的時候，都只說能存儲多少條SQL，但是沒有明確用了多大的硬盤空間。我們需要明確知道單位硬盤空間的存儲能力，比如1TB硬盤空間能夠存儲多少條SQL日志。

3)選擇能夠?qū)徲?ldquo;上帝之手”的產(chǎn)品。“上帝之手”的存在，是每個云租戶的夢魘。云端數(shù)據(jù)庫審計產(chǎn)品必須能夠?qū)徲嫷缴系壑謱?shù)據(jù)的訪問，這是云廠家和租戶都關(guān)心的功能。這就要求審計產(chǎn)品有特殊的內(nèi)容獲取方式。有些廠家通過軟件定義網(wǎng)絡(luò)，以旁路復(fù)制(鏡像)流量的方式獲取數(shù)據(jù)庫訪問流量，這種方法既不安全，也容易丟包，更不能防止這種“上帝之手”。因為上帝之手訪問數(shù)據(jù)庫時，完全可以繞開這種審計機制。

4)選擇風(fēng)險識別能力高的產(chǎn)品。云數(shù)據(jù)庫審計關(guān)系到云端數(shù)據(jù)安全的問題，風(fēng)險識別能力一定要高。由于產(chǎn)品防護內(nèi)容的特殊性，需要在應(yīng)用層進行規(guī)則設(shè)置，這比傳統(tǒng)的防火墻的配置更復(fù)雜。這就要求產(chǎn)品具有細粒度的風(fēng)險識別能力，包括表、字段、語句級，并且這些規(guī)則最好是由產(chǎn)品自動學(xué)習(xí)完成的。此處“語句”級是最細的一個粒度，代表數(shù)據(jù)能夠被合法訪問的最具體的方式。目前絕大多數(shù)的數(shù)據(jù)庫審計產(chǎn)品，都還不支持語句級粒度，租戶要注意分辨。

5)選擇租戶可以完全控制的系統(tǒng)。數(shù)據(jù)庫安全產(chǎn)品保護敏感數(shù)據(jù)，最好是租戶可以完全控制的。這就要求：首先，數(shù)據(jù)庫安全廠商交付給租戶的數(shù)據(jù)庫審計產(chǎn)品，應(yīng)該是一個獨立的虛擬機，就好像傳統(tǒng)環(huán)境中的一個獨立設(shè)備，從而可以控制審計內(nèi)容的存儲主體;其次，這個虛擬機應(yīng)該部署于租戶的虛擬局域網(wǎng)中，從而防止審計內(nèi)容外發(fā);然后，這個虛擬機的登錄口令應(yīng)該完全由租戶掌握，只有租戶自己能夠登錄。

8.中安威士的云端數(shù)據(jù)庫審計是個什么樣的產(chǎn)品?

中安威士云端數(shù)據(jù)庫審計產(chǎn)品發(fā)布于2016年10月，得益于產(chǎn)品的優(yōu)秀特質(zhì)，迅速的完成了阿里云、騰訊云、華為云、青云等多個公有云平臺的上線。目前在公有云上的覆蓋率遙居第一位，并且與多個私有云實現(xiàn)了商業(yè)合作。具體來說，中安威士云端數(shù)據(jù)庫審計具有以下特質(zhì)。

1)完全中立的第三方審計。為了給市場提供可信賴的產(chǎn)品，中安威士在早期發(fā)展中堅持“不站隊”的策略，既不接受安全廠商的投資，也不接受云廠家的投資。在多個公有云的迅速快速上線，也間接的證明了這種中立性;

2)業(yè)界最高性能。得益于技術(shù)團隊深厚的技術(shù)積累和十年磨一劍的決心，中安威士數(shù)據(jù)庫審計產(chǎn)品具有業(yè)界最高的處理能力，傲視群雄，“不服跑個分?”。

• 連續(xù)處理性能方面，在低配I3-CPU配置下，能夠?qū)崿F(xiàn)每秒超過3萬條SQL語句的連續(xù)處理能力，在I7-CPU配置下，能夠?qū)崿F(xiàn)每秒超過10萬條SQL語句的連續(xù)處理能力。而且峰值能力更是達到連續(xù)處理能力的2倍以上;
• 內(nèi)容檢索性能方面，在低配I3-CPU配置下，從1億條審計內(nèi)容中檢索任意關(guān)鍵字，能在在5秒之內(nèi)完成;
• 存儲性能方面，得益于獨有的數(shù)據(jù)壓縮技術(shù)，每TB硬盤空間能夠存儲30-70億條SQL。
• 并發(fā)處理能力方面，配備I3-CPU的低配版本也能輕松突破10萬。

3)嚴防“上帝之手”。得益于特殊的審計內(nèi)容獲取技術(shù)，中安威士數(shù)據(jù)庫審計能夠?qū)徲嬕磺凶鈶魧?shù)據(jù)庫的訪問，包括加密連接和云平臺的“上帝之手”。

4)風(fēng)險識別能力高。中安威士數(shù)據(jù)庫審計能以自動學(xué)習(xí)的方式完成表、字段、語句級的規(guī)則設(shè)置。其中語句級規(guī)則能夠嚴格的描述合規(guī)訪問的模式，具有非常高的風(fēng)險識別能力。目前國內(nèi)只有極少數(shù)數(shù)據(jù)庫審計產(chǎn)品能做到這一粒度。

5)租戶完全控制。中安威士數(shù)據(jù)庫審計系統(tǒng)以獨立的虛擬設(shè)備方式，部署于租戶的虛擬局域網(wǎng)內(nèi)。所有的審計內(nèi)容不會轉(zhuǎn)發(fā)到局域網(wǎng)之外，并且僅有租戶可以正常登錄訪問審計系統(tǒng)，由此確保了租戶對審計設(shè)備的完全控制權(quán)。

9.對于云數(shù)據(jù)庫安全，僅僅數(shù)據(jù)庫審計夠嗎?

云端的數(shù)據(jù)防護是個系統(tǒng)工程。數(shù)據(jù)庫審計是一個非常有必要的、基礎(chǔ)性的數(shù)據(jù)安全策略。但是僅有數(shù)據(jù)庫審計是遠遠不夠的。比如，數(shù)據(jù)庫審計雖然能發(fā)現(xiàn)來自“上帝之手”、租戶管理員、外部攻擊者的SQL注入等違規(guī)和攻擊，但是卻不能實時的阻止。又比如，數(shù)據(jù)庫審計也不能阻止“上帝之手”直接分析數(shù)據(jù)庫服務(wù)器的存儲文件系統(tǒng)，獲得數(shù)據(jù)庫內(nèi)容。

中安威士將繼續(xù)發(fā)布云端數(shù)據(jù)庫防火墻、云端數(shù)據(jù)庫加密等云端數(shù)據(jù)庫安全產(chǎn)品，進一步解決如上數(shù)據(jù)安全問題。