1、现代数据库环境下的安全思考刘沛旻Imperva中国区技术经理方式方式瀑布敏捷DevOps架构架构单一层次化APIs&Microservices服务器服务器物理虚拟Containers基础架构基础架构数据中心托管Cloud数据库数据库大机分布式Specialized现代企业环境的变化41.Reproduced from CloudTech Report:Why more than three quarters of enterprise workloads will be in the cloud by 2020(L.Columbus)2.Imperva sponsored research-A
2、WS Re:Inforce 2019(n=142)最大的数据库安全风险还是来自于内部特权用户的操作和访问2上云最大的顾虑是数据安全问题,之后才是计算资源的功能和数据可视等方面166%41%大多数管理者关注数据安全方案能给他们带来多少价值,而不仅仅只是数据可视2很少的人认为DBaaS可以提供足够完善的安全措施和手段284%11%Proprietary and confidential.Do not distribute.传统数据库安全建设响响应应&保保护护审计审计&监监控控发现发现&分分类类分析分析&识别识别 关系型数据库大数据小型机大型机云端数据现代数据库环境下的挑战成本成本管理和运维成本其他
3、资源成本价值价值 输出有价值的报告、视图、分析安全覆盖安全覆盖针对 DBaaS 环境针对定制化数据库平台针对混合部署环境合规高要求合规高要求超大数据检索、查询、存储信息补充Proprietary and confidential.Do not distribute.如何覆盖更多现代数据库安全需求7覆盖更多的现代数据库形态覆盖更多的现代数据库形态流量分析的方法可能无法覆盖所有现代数据形态,利用原生日志来做补充DBasS的全面覆盖的全面覆盖云端的数据安全是未来的焦点,新手段和新技术的涌现补充完整信息补充完整信息CMDB、VA、IAM等相关信息的补全Proprietary and confident
4、ial.Do not distribute.Cloud Database Security 创新技术Proprietary and confidential.Do not distribute.行存储行存储 vs 列存储列存储如何进行超大数据的存储和检索9Proprietary and confidential.Do not distribute.怎样让安全数据有价值和降低成本?10提供风险分析智能提供风险分析智能利用无监督学习的UEBA机制,将原始的审计数据变成有价值的风险分析信息安全数据服务化安全数据服务化为各种团队提供安全数据服务,提供全面、完整和统一的数据库安全相关的数据自动化编排和响
5、应自动化编排和响应除了数据存储和处理成本之外,安全运维成本是巨大的开销,自动化运维势在必行Proprietary and confidential.Do not distribute.针对数据安全的UEBA11Proprietary and confidential.Do not distribute.让安全数据服务化12Role-based Access ControlAudit via TableauSOC via SplunkAny Team,Any ToolSplunkBI ToolsR,SciKitSQLKibanaSOCAuditData ScientistsDBAForensic
6、Proprietary and confidential.Do not distribute.数据库安全自动化编排和响应13数据库安全数据库安全SOAR建立以数据库为中心的自动化和响应平台基于UEBA的分析结果来进行下一步的行动避免大量的重复数据处理工作定制数据安全PlaybookProprietary and confidential.Do not distribute.数据拥有成本增长过快挖掘数据的价值数据服务化统一数据接口避免“重复造轮子”14企业级数据库安全服务平台获取数据效率低、质量差避免避免“烟囱式立项烟囱式立项”数据库安全中台数据库安全中台?通用采集通用采集互动式数据探索多年数据保存统一企业视图自助报告数据处理流程自动化SOC优化统一数据模型数据富集与关联数据风险分析可扩展UEBA数据SOAR数据展现数据智能发现分类漏洞评估用户权限管理扫描结果代理监控云无代理监控DAM解决方案活动监测源上下文元数据(IAM、变更控制、CMDB等等)任何工具(Qualys、Tenable、Varonis等等)其他数据源数据采集现代企业数据库安全智能平台