摘要: 数据库安全运维技术是对数据库的访问和操作等运维行为,进行流程审批和阻断管控的技术。首先,数据库安全运维会对所有数据库运维行为,建立规范的运维流程,包括事前审批,事中控制,事后记录操作信息,来实现全运维流程的管理,保障数据库的运维安全。 其次,数据库安全运维初始...
数据库安全运维技术是对数据库的访问和操作等运维行为,进行流程审批和阻断管控的技术。首先,数据库安全运维会对所有数据库运维行为,建立规范的运维流程,包括事前审批,事中控制,事后记录操作信息,来实现全运维流程的管理,保障数据库的运维安全。
其次,数据库安全运维初始默认状态会拒绝一切数据库运维和动作通过。因此,如果要对数据库进行运维操作,需要提交运维申请。随后,审批人会对提交的操作时间、操作内容、操作对象、操作目标库等均做出审批,并且只有在审批通过获得唯一操作码后方可进行操作,因此,数据库安全运维产品可以极大地降低误操作、违规操作等不规范运维行为,从而避免因误操作、违规操作造成的数据篡改和泄露。
审批操作流程图
目前数据库安全运维的关键技术如下:
事前审批:数据库运维人员对数据库进行运维之前,需要登录运维审批系统,提交包括运维时间、目标数据库、操作对象、操作内容等在内的操作申请信息,然后提交申请至审批人(可进行多级审批)。
事中控制:审批通过后数据库安全运维会自动生成白名单策略,仅限在运维人员申请的指定时间对指定数据库或表进行指定的操作,任何未申请操作都无法执行,超时账号失效。
同时数据库安全运维也支持按照黑名单的方式,仅对敏感对象的表和数据、敏感的SQL命令进行审批。
事后审计:当运维人员完成对数据库运维操作后,数据库安全运维系统会对所有操作进行记录包括事前审批内容、审批人审计操作、事中运维操作等,并定期汇总生成报表,规范流程管理的同时,一旦发生数据安全事故,可以做到有效的追责定责。
通过上文的介绍我们对数据库安全运维的技术与功能有了一定的了解。除此之外,我们还要清楚数据库安全运维不同于传统的堡垒机。首先,堡垒机对数据库协议的解析和审计有着先天的局限性和不足。堡垒机并不解析和分析数据库协议,以及记录SQL语句。其次,堡垒机无法识别运维人员对数据库访问和操作的行为尤其是危害的行为,更无法做到运维流程上审批和操作行为的阻断。
数据库安全运维是作为专业的数据库运维产品,提供有强大而易用的数据库运维管理能力。可以根据数据库运维人员的不同角色、运维数据的重要度、运维操作的风险类型,设置正常行为放行、可疑操作告警、重点操作审批、异常行为拦截。
安华金和数据库安全运维系统(简称DBController)基于以上数据库安全运维技术可以对数据库运维行为进行流程化管理,提供事前审批、事中控制、事后审计、定期报表等功能,将审批、控制和追责有效结合,避免内部运维人员的恶意操作和误操作行为,解决运维账号共享带来的身份不清问题,确保运维行为在受控的范畴内安全高效的执行。