如何防止敏感信息泄露?且看華為云集合三大組合拳,打造的數據庫安全服務(wù)(DBSS)實(shí)現“數據安全”。
組合拳一:數據庫防火墻
實(shí)時(shí)發(fā)現、攔截如SQL注入等惡意攻擊
拖庫、SQL注入等攻擊,是從外部竊取數據庫敏感信息的主要手段。在入侵行為發(fā)生時(shí),數據庫安全服務(wù)內置的數據庫防火墻,可以實(shí)時(shí)阻斷入侵行為,增強數據庫抗攻擊能力。同時(shí),用戶(hù)可通過(guò)自定義策略(多種維度,如源IP地址、數據庫用戶(hù)名、應用名稱(chēng)、動(dòng)作等),阻止應用直接訪(fǎng)問(wèn)數據、利用操作系統和第三方應用程序漏洞的攻擊。通過(guò)反向代理,數據庫防火墻可過(guò)濾進(jìn)出數據庫的所有流量,搜索查詢(xún)中出現的異常或可疑字符,如果風(fēng)險高于預設閾值,則會(huì )自動(dòng)阻止并斷開(kāi)該查詢(xún)。
組合拳二:數據脫敏和加密
讓數據密不透風(fēng)
要保護敏感數據,首先要定位數據庫中敏感數據的位置。數據庫安全服務(wù)根據GDPR(個(gè)人數據)/PCI-DSS(支付)/SOX(金融)/HIPPA(醫療)等法規要求,自動(dòng)識別和發(fā)現敏感數據,一鍵生成脫敏規則。動(dòng)態(tài)數據脫敏,對非授權讀取的敏感數據實(shí)時(shí)隱藏,防止未授權用戶(hù)訪(fǎng)問(wèn)敏感信息。對于密級較高的數據,建議采用數據加密,通過(guò)密鑰對數據進(jìn)行加解密,用戶(hù)可以自帶密鑰,使其對云服務(wù)商也不可見(jiàn)。這意味著(zhù),可以在不觸碰用戶(hù)數據的情況下完成數據脫敏或加密,真正實(shí)現數據中立。
組合拳三:數據庫審計
對安全事件進(jìn)行回溯
數據庫安全審計,可以對所有用戶(hù)的所有活動(dòng)進(jìn)行審計,并可以生成合規性報告,展示諸如超過(guò)N天未更改密碼的數據庫用戶(hù)、超過(guò)N天未訪(fǎng)問(wèn)數據庫的用戶(hù)、最近的管理員操作及用戶(hù)權限被修改等諸多內容。通過(guò)記錄流量、入侵、異常監控、數據脫敏、遠程工作等日志,直接定位到具體個(gè)人,并對拖庫、SQL攻擊等入侵事件實(shí)時(shí)告警,從而滿(mǎn)足網(wǎng)絡(luò )安全法等對數據庫審計的要求。
這三大組合拳,在數據庫安全服務(wù)中得到了實(shí)現,從事前、事中、事后全方位保護云上核心數據,真正做到讓數據密不透風(fēng),防止敏感信息泄露。
