В настоящее время облачные вычисления становятся популярными IT системными решениями. Это масштабируемая, эластичная, упругая вычислительная мощность, что значительно снижает сложность строительства и управления ИТ. И сдает в аренду покупки таким образом, что значительно снижает инвестиции. Открытое облако является наиболее важным типом облачных вычислений образом, вы можете создавать приложения для пользователей во всем мире. Но в публичном облаке, приложения и базы данных для поддержки его работы будут перенесены в облако, безопасность данных является очень важным вопросом. Все больше и больше облаков нарушения данных, например, в последнее время развертывания в облаке игры более 1,6 миллионов пользователей утечки данных, защищенной базе данных облака установить насторожить. По сравнению с традиционной вычислительной среде, открытых облачных вычислений и виртуализации функций, традиционные решения безопасности данных усложнять или даже в состоянии задать силу, чтобы защитить базу данных в облаке принесла большие проблемы.
Пекин находится в AMBIT ANVIZ Technology Co., Ltd. является эксклюзивным брендом и зарегистрированной торговой маркой. В ANVIZ акценте на управлении безопасностью данных, после более чем десяти лет накопления технологии, мы имеем обширную базу данных внутренней безопасности линий армирования продуктов, включая аудит базы данных, брандмауэр базы данных, шифрование базы данных, десенсибилизации данных и другие продукты, помогают заказчикам снизить безопасность данных риск и легко удовлетворить требование соответствия. Решения по обеспечению безопасности данных для облачных вычислений в ANVIZ обеспечивает всестороннюю безопасность для облачных вычислений и больших сред данных активов данных.
Ограничения традиционных технологических решений
Для решения данных управления безопасностью, в ANVIZ обеспечивают аудит базы данных , межсетевой экран, прозрачное шифрование, десенсибилизации и других продуктов, формирование данных , полученных в его жизненного цикла, использование, этапы хранения, резервного копирования и других решений в области безопасности. Среди них, развертывание систем баз данных и аудита брандмауэра базы данных, мониторинга и контроля доступа для получения данных о состоянии доступа, это самые основные потребности в области безопасности. В обычной сетевой среде, как правило , обходят зеркало непосредственно связаны, ОС , как агенты образом. В среде общественного облака, по- прежнему необходимо развернуть усилительные средства обеспечения безопасности баз данных, данные о безопасности на всех этапах жизненного цикла арматуры. И развернуть аудит базы данных и межсетевой экран по - прежнему самые основные и самые необходимые средства защиты. В публичных облачных средах, аудита баз данных и шунтирующего брандмауэр зеркала, прямые, OS агенты и другие реализации возможны в теории, но на практике будет сцена имеет различные ограничения.
1) режим зеркала. В традиционной среде, расположенный на порту коммутатора зеркального отображения, зеркальное отображение базы данных устройства трафика аудита базы данных. Тем не менее, этот подход требует развертываний сети платформы облачных вычислений определяется зеркало SDN, такие варианты осуществления сложных для управления облаком вычислительной среды приносит возросший объем работы. И арендатор не принимает трафик пропускается платформа базы данных облака.
2) прямое соединение. В традиционной среде, по доверенности или в режиме прозрачного моста, аудит базы данных или брандмауэр развернут до базы данных, чтобы следить за фильтром или для доступа к базе данных. Аналогичным образом , этот подход требует развертывание сетевой платформы облачных вычислений определяются режим прямого подключения SDN, таким образом, что вариант усложняется. Кроме того, основные узлы облака имеют только виртуальный сетевой интерфейс, и это развертывание требует по меньшей мере , два интерфейса. Это требует облачной платформы , чтобы внести изменения в виртуальную машину, с тем чтобы привести дополнительные трудности для реализации.
3) OS режим прокси. Таким образом , установлена база данных по ОС , где служба брокера, зеркальное отображение базы данных будет иметь доступ к серверу аудита, или доступ к фильтру. В среде открытого облака, обслуживание базы данных RDS большинство поставщиков облачных услуг обеспечивают как интерфейс доступа к SQL воплощается в форме, не дает арендаторам сервер баз данных операции OS права, но не имеет право устанавливать какое - либо программное обеспечение на сервере RDS и тому подобное. Это требует облачной платформы , чтобы внести изменения в виртуальную машину, с тем чтобы привести дополнительные трудности для реализации.
И, прежде тремя способами, мы не можем достичь полного контроля доступа к базе данных. Например, виртуальная машина бежать, или злоумышленнику войти ОС сервера базы данных и непосредственно в работе базы данных, не должны быть записаны или фильтрации.
реализация
Для достижения аудита облачной базы данных и детализированный контроля доступа, в ANVIZ окупился, накопленная за эти года на основе внедрения облачных вычислений среды для адаптации продуктов и решений. Для различных специфических условий, существует два конкретных реализации.
Вариант первый: ЛОКАЛЬНЫЙ зонд осуществлять аудит баз данных. Используя свою собственную базу данных механизма регистрации, используйте оператор SQL для достижения зонда, получать и записывать весь доступ к базе данных, посланный в управлении независимого аудита сервера баз данных. Как показано на фиг.
Преимущество этой программы заключается в следующем:
1) без какого - либо инвазивный : полностью основаны на механизме базы данных, использовать интерфейс SQL, систему без каких - либо интрузивных модификаций;
2) не будет потери : нет доступа к пикам, способны завершить запись;
3) не просочиться судом : доступ к базе данных будет записан с каким - либо образом;
4) осуществлять простой : не нужно делать каких - либо изменений на уровне поставщиков облачных и на уровне операционной системы программного обеспечения, даже независимо от провайдера облачных, облако хостинг жилец покупки, развертывания собственно аудита системы баз данных;
5) эластичный аудит : Фактическая нагрузка аудит, аудит упругой возможность обработки регулировки сервера;
6) Высокий уровень безопасности : пользователь , чтобы выбрать продукты безопасности сторонних, эксплуатация облака платформы и обслуживающий персонал не может работать и контролировать содержание аудита.
Вариант второй: однорукавная брокеры для аудита база данных и брандмауэра базы данных. В ходе проверки базы данных ANVIZ / файрвол на отдельных виртуальных хостов, точек доступа к базам данных APP / сервер WEB в ANVIZ хоста и изменить конфигурацию базы данных, только в ответ на запросы от ANVIZ хоста. В ANVIZ хозяина и прямой доступ к базе данных трафика связи, доступ к случаю записи или фильтрации. Как показано на фиг.
Преимущество этой программы заключается в следующем:
1) Нет инвазивной : полностью независимо от сервера базы данных и / сервер веб - приложение, в системе без каких - либо навязчивых изменений;
2) 不会丢包:任何峰值的访问,都能够完整记录;
3)实施简单:不需要云供应商做任何OS级和软件级的改动,甚至可以独立于云供应商,租户购买云主机后,自行部署数据库审计/防火墙系统;
4) 弹性审计:根据实际的审计工作量,弹性的调整审计/防火墙服务器的处理能力;
5)高安全性:用户自主选择的第三方的安全产品,云平台运维人员也不能操作和控制审计内容。
测试结果
我们将如上方案部署于多个公有云系统,并进行了长时间的压力测试和稳定性测试,结论如下。
方案一结论:
1) 在通常情况下,数据库服务压力不大时,审计系统对公有云RDB服务几乎没有性能影响;
2) 在数据库服务压力比较大时,审计系统对RDB性能稍有影响;
3) 在极端情况下,当数据库服务压力持续100%时,仅仅降低原来性能的10%左右;
4) 在超高性能主机环境下,当数据库服务压力持续100%时,审计系统RDB性能影响不超过1%;
5) 当用户数据库服务压力较大时,增加数据库服务器性能,基本可以消除审计系统对公有云数据库服务的性能影响;
6) 经过长时间满负载压力测试,而使用本方案完全消除了传统部署方式中难以避免的丢包现象,100%的获取数据库操作,且运行稳定。
方案二结论:
1) 当中安威士数据库审计/防火墙未满负荷运行时,对访问的延迟在微秒级,对业务处理吞吐量的影响几乎为零;
2) 经过长时间高压力测试,本方案没有丢包现象,且运行稳定。
中安威士云端数据库安全审计和防火墙方案,基于十余年技术积累,为云端数据提供必要的和弹性的安全管理能力。除了上文所述优势,本方案还具有如下突出优势:
快:业界较高的处理性能。
超高的连续处理、入库能力
Вход извлечения сверхвысокой скорости, поддержка исключения запросов, поддерживает любую комбинацию ключевых слов запроса
Войти сверхвысокой емкости
Chi: интеллектуальное автоматическое обучение, базовая реализация нулевой конфигурации
Стабильность: более десяти лет накопленных технологий, тысячи реальных случаев, продукт является стабильной.
Полный: полностью функциональный и комплексный аудит.
Нет потери пакетов: пик потери трафика не является полностью аудит
Не просочиться суда: полный спектр аудита, не пропустите доступ к базе данных с любого маршрута
Полнофункциональный: открытие конфиденциальных данных, аудит производительности, сканирование уязвимости и оценки риска
Он может быть развернут в любой среде
США: красивый и отчетности интерфейс. Обеспечение большого количества шаблонов отчетов, в том числе различного аудиторских отчетов, тенденции безопасности. Отчеты могут реализовать пользовательские форматы и шаблоны.
Штраф : Мелкозернистый контроль доступа и аудит, в поле, заявление уровня.