《专场14.3-加码数据安全微盟数据安全落地方案-余成真.pdf》由会员分享,可在线阅读,更多相关《专场14.3-加码数据安全微盟数据安全落地方案-余成真.pdf(30页珍藏版)》请在三个皮匠报告上搜索。
1、加码数据安全,微盟数据安全落地方案余成真+微盟集团+DBA负责人大家好,我是余成真,2016年入职微盟,微盟数据库高级技术专家,目前担任技术平台-运维部-数据库团队负责人;有多年的数据库产品管理和技术规划经验,目前负责微盟数据库团队管理及建设、数据库相关的业务保障、数据库技术决策;在微盟工作经历中主导海量实例跨IDC迁移、自建集群到云数据库迁移等迁移工作;组建并带领团队完成数据库产品从0到1,从1到N的跨越;深度参与同城双活/异地多活数据库整体架构及数据同步方案的设计及实施。专业技能上:专注于数据库的高性能和高可用技术保障,负责数据库架构设计、数据库运维平台的自动化建设、数据库运维体系规范建设
2、。个人能力上:具备危机处理能力、具备多人组织动员能力、具有很强的判断与决策、计划和执行能力。监管矩阵合规解读一、数据库账号权限治理二、数据分类分级、数据加密及脱敏三、数据库平台:平台账号权限、数据查询、数据执行审计四、数据库安全运维目录一、数据库账号权限治理按角色按角色按使用方按使用方按权限研发DBA数据中心只读权限Binlog复制权限对业务方实例无DDL权限业务建立实例与应用关系账号无DDL权限DBA运维账号到人随用随建,用完销毁无DML权限运维平台DDL/DML权限部分管理权限权限低于root只读账号读写账号复制账号管理账号临时账号账号归类账号权限体系1.0高可用高度兼容性明文配置 根据实
3、例与应用关系、业务数据库与应用关系,生成应用维度的数据库账号。账号注册至woauth账号中心,woauth对外暴露账密。Apollo配置业务数据库占位符 应用启动时上报信息至woauth服务,鉴权并推送账密,由应用端agent替换占位符,应用启动成功。二代免密(账密替换)3.0 下发明文账密,研发自主配置一代加密(AES)根据实例与应用关系,生成AES私钥文件,并保存至特定目录。应用通过Apollo配置数据库连接信息(密文密码)。启动应用时,通过私钥文件解密,应用启动成功。2.0账密安全使用管理符合国家标准通过安全审计账号治理平台功能支撑二、数据分类分级、数据加密及脱敏哪些数据要分类分级?分级
4、定义数据扫描方法:正则数据扫描表结构表数据微盟4级:仅在数据归属部门内使用的信息,不允许开放共享的数据 法律法规等要求不允许泄露的信息 数据未经授权披露、丢失、滥用、篡改或销毁后对国家安全、企业利益或公民权益会造成严重危害分类分级分类分级数据加密及脱敏数据脱敏数据加密中间态数据SDKAPI存量/实时数据加密与脱敏加密与脱敏三、数据库平台安全管控平台安全管控目标:最小权限分配原则授权范围隔离策略信息互通可审计资源只给对应的租户(业务团队)使用。租户(业务团队)间信息相互隔离业务团队(租户)内所有信息共享:工单、资源监控、告警/慢日志推送等等。数据库DML审计日志。平台操作审计日志:人在什么时间看了什么数据实例被什么人在什么时间查看安全目标平台权限体系数据审计高危命令治理/审计:delete、drop业务操作数据的变更审计数据快照能力在线事务、长事务分析数据操作地图:频繁被修改的表数据审计用户细粒度操作权限具体到实例的操作权限不同的实例不同操作权限平台权限体系-功能实现租户(业务组)对资源的管理:控制租户能操作的资源租户(业务组)下,成员操作记录共享、信息共享、互相审计平台权限体系-功能实现平台权限体系-功能实现平台权限体系-功能实现四、数据库安全运维安全运维-变更规范安全运维-规范流程安全运维风控