現在、クラウド・コンピューティングは、人気のITシステムソリューションとなっています。それは非常に、スケーラブルで、弾性、弾力性のコンピューティングパワーの建設とITの管理の難しさを軽減します。そして、それは大いに投資を減少させた方法で購入を借ります。パブリック・クラウドは、グローバルユーザーのためのアプリケーションを構築することができ、クラウドコンピューティングの方法の中で最も重要なタイプです。しかし、パブリッククラウドでは、アプリケーションとデータベースをクラウドに移行され、その操作をサポートするために、データのセキュリティは非常に重要な問題です。このようなゲームのクラウドデータ漏洩の160万人の以上のユーザー、警鐘をオフに設定するための安全なクラウドデータベースへの最近の展開として、より多くのクラウドデータ侵害、。伝統的なコンピューティング環境、オープンクラウド・コンピューティングと仮想化機能と比較すると、従来のデータ・セキュリティ・ソリューションは、複雑化、さらにはクラウドでデータベースを保護するために力を頼むことができる大きな課題をもたらしています。
北京は、株式会社は、排他的なブランドと登録商標である、アンビットAnvizテクノロジー株式会社です。データセキュリティ管理上のANVIZフォーカスでは、技術の蓄積以上10年後、我々は、データベース監査、データベースファイアウォール、データベースの暗号化、データの脱感作およびその他の製品を含む国内のセキュリティ強化製品ラインの包括的なデータベースを持っている顧客は、データのセキュリティを削減リスクと簡単にコンプライアンス要件を満たしています。ANVIZにおけるクラウドコンピューティングのためのデータセキュリティ管理ソリューションは、クラウドコンピューティングとデータ資産のビッグデータ環境向けの包括的なセキュリティを提供します。
伝統的な技術ソリューションの制限事項
セキュリティ管理データに対処するために、ANVIZで提供データベース監査、ファイアウォール、透過的な暗号化、脱感作およびその他の製品、そのライフサイクル、使用中に生成されたデータ、ストレージ、バックアップおよびその他のセキュリティ・ソリューションの段階の形成を。このうち、アクセス状況データを達成するためのデータベースシステムとデータベースのファイアウォールの監査、モニタリングおよびアクセス制御の導入は、それは最も基本的なセキュリティニーズです。従来のネットワーク環境では、通常、ミラーが直接接続された方法のようなOSエージェントを迂回。パブリック・クラウド環境では、強化のライフサイクルのすべての段階で、データベースのセキュリティ強化製品、安全性データを展開することが必要です。そして、データベース監査およびファイアウォールを展開、まだ保護の最も基本的かつ最も必要な手段です。ミラーをバイパスして、パブリッククラウド環境、データベース監査およびファイアウォールでは、直接、OSエージェントと他の実装は、理論的には可能ですが、実際にシーンは様々な制限がありますされます。
1)ミラーモード。伝統的な環境では、データベース監査へのトラフィック・データベース・デバイスのミラーリング、ミラーリングスイッチポート上に配置されます。しかし、このアプローチは、ミラーSDNによって定義されたネットワーククラウド・コンピューティング・プラットフォームの展開を必要とする、クラウドコンピューティング環境を管理するために複雑な実施形態は、作業負荷を増加もたらします。そして、トラフィックを受け入れていないテナントは、クラウドデータベースプラットフォームをバイパスされます。
2)直接接続。伝統的な環境では、プロキシまたは透過型ブリッジモードで、データベースの監査やファイアウォールがフィルタを監視したり、データベースにアクセスするために、データベースの前に展開します。同様に、このアプローチは、実施の形態が複雑になるように、ネットワーククラウド・コンピューティング・プラットフォームの展開がSDN直結モードによって定義される必要があります。また、主流クラウドホストは、仮想ネットワークインターフェースを有し、この配置は、少なくとも二つのインターフェースを必要とします。これは、実装のために、さらに困難をもたらすように、仮想マシンへの調整を行うためのクラウドプラットフォームを必要とします。
3)OSのプロキシモード。このようサービスブローカーOSにインストールされているデータベースでは、データベースミラーリングは、監査サーバへのアクセス、またはフィルタにアクセスする必要があります。パブリック・クラウド環境では、データベースサービスは、RDS、ほとんどのクラウドサービスベンダーは、両方のSQLアクセスインタフェースは、の形で具現化されるテナントに権利データベースサーバのOSの操作を与えるものではありませんが、RDSサーバー上で任意のソフトウェアをインストールすることはできません提供しますなどが挙げられます。これは、実装のために、さらに困難をもたらすように、仮想マシンへの調整を行うためのクラウドプラットフォームを必要とします。
そして、三つの方法の上に、我々は、データベース・アクセスの完全な監視を実現することはできません。例えば、仮想マシンのエスケープ、またはデータベースサーバのOSを記録する攻撃者と直接データベース操作に対して、記録又は濾過されるべきではありません。
実装
達成するために、監査クラウドデータベースおよびファイングレイン・アクセス・コントロールを、ANVIZの製品やソリューションを適合させるクラウドコンピューティング環境の導入に基づいて、長年にわたって蓄積し、完済。別の特定の環境では、2つの特定の実装があります。
オプション1:LOCAL プローブデータベース監査を実施します。独自のロギングメカニズムのデータベースを使用して、プローブを達成するためのSQLステートメントを使用して、データベース・サーバの独立した監査の実行に送信されたデータベースへのすべてのアクセスを取得して記録します。図に示すように。
次のようにこのプログラムの利点は以下のとおりです。
1) 任意の侵襲性無し:任意侵入変更せずに、システムをSQLインタフェースを使用し、データベースのメカニズムに完全に基づきます。
2) 損失しません:ピークへのアクセスがない、記録を完了することができます。
3) 試験を漏れない:データベースへのアクセスがどのような方法で記録されます。
4) 簡単な実装:、クラウドプロバイダ、クラウドホスティングテナントの購入にも独立した任意のクラウド・ベンダーとOSレベルのソフトウェア・レベルの変更を、行うデータベース監査システム自体を展開する必要はありません。
5)弾性監査:実際のワークロード監査、サーバの監査弾性調整処理能力。
6)ハイセキュリティ:サードパーティのセキュリティ製品を選択するユーザー、クラウドプラットフォームの運用、保守担当者は、監査の内容を操作し、制御することはできません。
オプション2:データベース監査およびデータベースファイアウォールのための単一のアームのブローカー。別の仮想ホスト上で実行されているANVIZデータベース監査/ファイアウォールで、APP / WEBサーバデータベースアクセスポイントANVIZホストでのみANVIZホストからの要求に応じて、データベース構成を変更。ANVIZホストに及び、記録又は濾過の場合にアクセスする通信トラフィック・データベース・アクセスを転送します。図に示すように。
次のようにこのプログラムの利点は以下のとおりです。
1) 無侵襲:データベースサーバとAPP / WEBサーバ、任意の侵入変更せずにシステムの完全に独立しました。
2) 不会丢包:任何峰值的访问,都能够完整记录;
3)实施简单:不需要云供应商做任何OS级和软件级的改动,甚至可以独立于云供应商,租户购买云主机后,自行部署数据库审计/防火墙系统;
4) 弹性审计:根据实际的审计工作量,弹性的调整审计/防火墙服务器的处理能力;
5)高安全性:用户自主选择的第三方的安全产品,云平台运维人员也不能操作和控制审计内容。
测试结果
我们将如上方案部署于多个公有云系统,并进行了长时间的压力测试和稳定性测试,结论如下。
方案一结论:
1) 在通常情况下,数据库服务压力不大时,审计系统对公有云RDB服务几乎没有性能影响;
2) 在数据库服务压力比较大时,审计系统对RDB性能稍有影响;
3) 在极端情况下,当数据库服务压力持续100%时,仅仅降低原来性能的10%左右;
4) 在超高性能主机环境下,当数据库服务压力持续100%时,审计系统RDB性能影响不超过1%;
5) 当用户数据库服务压力较大时,增加数据库服务器性能,基本可以消除审计系统对公有云数据库服务的性能影响;
6) 经过长时间满负载压力测试,而使用本方案完全消除了传统部署方式中难以避免的丢包现象,100%的获取数据库操作,且运行稳定。
方案二结论:
1) 当中安威士数据库审计/防火墙未满负荷运行时,对访问的延迟在微秒级,对业务处理吞吐量的影响几乎为零;
2) 经过长时间高压力测试,本方案没有丢包现象,且运行稳定。
中安威士云端数据库安全审计和防火墙方案,基于十余年技术积累,为云端数据提供必要的和弹性的安全管理能力。除了上文所述优势,本方案还具有如下突出优势:
快:业界较高的处理性能。
超高的连续处理、入库能力
ログ検索超高速、サポート排除クエリは、キーワードクエリの任意の組み合わせをサポートしています
超高ストレージ容量を記録します
ホーチミン:インテリジェントな自動学習、ゼロコンフィギュレーションの基本的な実現
安定性:蓄積された技術の十年以上、実際の例何千、製品は安定です。
完全:完全に機能し、包括的な監査。
パケットロス:損失ピークトラフィックは完全に監査ません
トライアル漏れない:監査のフルレンジを、任意の経路からデータベースへのアクセスをお見逃しなく
フル機能:機密データの検出、パフォーマンスの監査、脆弱性スキャンとリスク評価
これは、どのような環境で展開することができます
米国:美しいとレポート作成のインターフェース。監査レポート、セキュリティ動向の多様含め、レポートテンプレートを多数用意。レポートは、カスタム書式やテンプレートを実装することができます。
ファイン:ファイングレイン・アクセス・コントロールと監査、フィールド、文レベルへ。