CloudQuery 的数据安全技术运用 二维码
发表时间:2021-06-08 14:53 数据安全到底有多重要? 01 技术层面 使用 HTTPS 通信协议,保证数据传输安全 在引入 HTTPS 之前最常见的是 HTTP 协议,HTTP 是一个基于应用层面面向对象的协议,简捷、快速的优点在互联网应用中很快传播开来。 KMS 密码保护,数据泄露时的安全保障 发生数据泄露事件,糟糕的加密难辞其咎,很多人都会把数据库视为后端部分,因此更多的是在关注Internet传播的威胁,但其实他们都忽略了数据库也是有网络接口的,黑客同样可以轻松跟踪这些接口。极端情况下,黑客可以直接通过一些漏洞获取到数据库的权限,从而盗取数据库中的数据。
请求伪造漏洞与防护 客户端与服务端利用 HTTP 协议进行交互,并利用请求-相应的方式开展 Web 应用。在这个过程中,如果客户端发出的请求可被伪造,那么就会带来危险的后果,这就是请求伪造漏洞。请求伪造又分为:
SQL 注入 SQL注入是指攻击者通过把有害SQL命令插入到 Web 表单的输入域或页面请求的查询字符串中,该 SQL 会导致原有 SQL 语句作用发生改变,从而达到欺骗服务器执行该 SQL 命令的一种攻击方式。SQL 注入危害性极高,因为它可以实现查询任意数据,包括但不限于交易数额、管理员密码、敏感数据等等,严重时甚至会发生“脱库”的高危行为。一旦被攻击者获取写入数据权限,攻击者可以利用该权限实现木马自动部署、系统提权等等后续攻击,导致企业机密数据被修改造成极高的损失。同时 SQL 注入又分为:
基于以上两种注入方式,随着数据安全行业的发展,我们目前常见的防护手段以及绕过方式有:
文件上传攻击 文件上传是很多应用都会具有的功能,例如证件上传、申请表上传、自定义头像上传等,但是上传过程中存在巨大安全隐患,文件上传攻击是指攻击者利用 Web 应用对上传文件过 滤不严格的漏洞,把应用程序定义类型范围之外的文件上传到 Web 服务器,并且此类文件通常为木马,在上传成功后攻击者就可以获取该 Web 服务器的 shell 能力。如果在上传过程中又想保证功能的正常开展,又需要对上传者的木马进行过滤,目前网络安全业内有几种常见的防护方式:
流式引擎与大数据分析 CloudQuery 自研应用探针程序,探针程序可以搜集到应用执行的 SQL 语句并上报给 CloudQuery 审计系统。 代码安全审计和漏洞扫描测试 我们的开发团队始终遵循 Devops+SecOps 的开发哲学,我们鼓励设计人员,程序员和负责安全的人员之间进行更高水平的协作,专注于确保开发周期团队的每个成员都了解安全性并对其负责。
02 管理层面 统一的访问入口,屏蔽工具差异 传统的权限控制中,通常是 DBA 为不同的人员分配不同权限的数据库帐号,拥有帐号的人员在各自的环境中访问数据库。而使用 CloudQuery,与数据库的通信连接都建立在受信任的部署服务器上。 虚拟帐号机制统一管理权限 使用 CloudQuery 管理权限时,不需要为每个使用者创建不同权限的数据库帐号。CloudQuery 在软件层面实现丰富的权限管理,满足各种应用场景。
用户行为记录与审计分析 CloudQuery 完整的记录了用户在系统内部的行为,包括登陆、打开连接、查看表、导出数据等操作明细,还包括执行过的 SQL 语句、执行时的 ip 地址、执行结果和耗时等重要信息,通过这些关键信息可以快速定位到某条语句的执行人和执行 ip 地址。
文章分类:
产品资讯
|