云端數據安全，是云安全中最核心的問題之一。要實現云數據安全，需要從多個角度去努力。對數據訪問情況的跟蹤記錄審計，是云數據安全的最基本要求。本文從數據源頭——數據庫的保護角度，以幾個問題的問答方式，分析數據庫的安全審計問題。

1.什么是云端數據庫?

廣義的說，云端數據庫就是把數據庫放到了云端。這里包括三類：1)公有云服務商以SAAS的方式，提供給租戶的數據庫服務器;2)私有云上預先搭建好的SAAS方式的數據庫服務器;3)租戶租用云端服務器，自己安裝和搭建的數據庫。而狹義的說，僅指公有云服務商提供的SAAS形式的數據庫服務器，通常包含一個虛擬機系統和已經安裝在上面的數據庫系統。本文后續部分如果沒有特別指出，云端數據庫僅指公有云端的SAAS數據庫。至于數據庫的種類，在每個云平臺上有所區別，但是主要的有關系型數據庫RDB以及非關系型數據庫NOSQL。

2.云端數據庫有哪些特殊性?

得益于云計算的特性，相比于傳統環境下的數據庫，在云端的數據庫具有如下優勢：

1) 搭建速度快。云服務商預先搭建好數據庫模板，租戶只需要根據需求，操作鼠標調整各種參數，在秒級時間內，就能夠快速部署好所需要的數據庫;

2) 構建成本低。不需要一次性投入，只需要按照實際使用的計算資源和使用時間付費;

3) 彈性可伸縮。數據庫服務器的性能參數，可以根據實際情況動態調整;

4) 可靠性高。云服務商已經解決了硬件設備和數據的容災和備份問題，可靠性很高;

5) 維護量小。租戶只需要少量對數據的維護，不需要對服務器硬件、OS等進行維護。

除去以上優勢，云端數據庫的一個問題是可控性較低。這里說的可控性是指租戶對數據庫系統的控制能力。云服務商為了實現如上優勢，云端數據庫通常只對租戶開放數據庫訪問接口。就是說租戶對數據庫的所有訪問和維護，都只能通過這個接口進行。租戶甚至不能登錄到數據庫所在的操作系統，以實現對數據庫系統的更多管理。

3.云端數據庫面臨哪些安全問題?

數據庫存儲著系統的核心數據，其安全方面的問題在傳統環境中已經很突出，成為數據泄漏的重要根源。而在云端，數據庫所面臨的威脅被進一步的放大。其安全問題主要來自于以下幾方面：

1) 云運營商的“上帝之手”。如上所述，云端數據庫的租戶對數據庫的可控性是很低的，而云運營商卻具有對數據庫的所有權限。從技術上來說，云運營商完全可以在租戶毫無察覺的情況下進入數據庫系統;或者進入數據庫服務器所在的虛擬機;或者進入虛擬機所在的宿主物理服務器;或者直接獲取到數據庫文件所在的存儲設備。也就是說，任何租戶的數據，對云運營商來說，幾乎是完全開放的。而對于有商業價值的數據，對云運營商的眾多技術人員來說，絕對有足夠的吸引力;

2) 來自于其它租戶的攻擊。同一個云平臺上的其它租戶，有可能通過虛擬機逃逸等攻擊方法，得到數據庫中的數據;

3) 來自租戶自身內部人員的威脅。租戶內部人員能夠直接使用帳號密碼登錄到云數據庫，從而進行越權或者違規的數據操作;

4) 更廣泛的攻擊。有價值的數據放在云上之后，各種來源的攻擊者，都“惦記”著這些數據。可能通過各種方法來進行攻擊以獲取數據，如近年來頻發的SQL注入攻擊事件，就導致了大量云端數據的泄漏。

4.為什么需要數據庫審計?

要解決如上所述的數據安全問題，需要多方面的防御手段。但是對數據庫訪問情況的記錄和審計，是最基本的安全需求。租戶需要清楚的知道，自己的數據庫，在什么時間，被什么人，以什么工具，具體做什么訪問，又拿到了什么數據。并且需要知道什么時候出現了攻擊行為和異常的訪問情況。這些功能，正是合格數據庫審計產品所必須具有的功能。

5.誰需要數據庫審計?

云運營商：云運營商需要引入數據庫審計產品，以方便快捷的方式，為其租戶提供數據安全服務。這既是提高其云平臺競爭力的手段，同時也是“自證清白”的有效途徑。

租戶：租戶需要數據庫審計，以增強數據安全防護能力。

6.云端數據庫審計有哪些特殊要求?

跟傳統環境相比較，對于部署在云端的數據庫審計，具有一些特殊的要求。具體體現在：

1)高性能。“性能、性能、性能”，重要的事說三遍。在云上，對性能的要求是苛刻的。最主要的原因就在于云計算“資源即費用”的收費模式。對于同樣的數據庫審計能力，產品性能越低，需要的計算資源越高，費用自然就越高。反之，產品性能越高，需要的計算資源越少，費用自然就越低。

2)中立性。對于云端的數據安全措施，最好的方式就是第三方的。所謂的“第三方”，就是指這種安全措施，不是由云運營商提供的，而是由其它獨立廠家提供的。之所以這樣要求的原因很簡單，就好比云運營商給了我們一把鎖和一把鑰匙來保護你的數據，我們怎么能保證他沒有另一把鑰匙呢?況且這個鎖每天就放在他們院子里。顯然，數據庫審計最好也是第三方的。

3)與云平臺解耦。也就是產品的實現獨立于具體的云平臺，不需要云運營商的研發做對接即可完成。這樣的好處是既能減少了云運營商的工作量，方便今后的升級;同時也能減少云運營商對審計過程進行干擾的可能性，進一步的保證中立性;而對數據庫審計提供商來說，則可以低成本、快速的在多個云平臺上進行部署。

4)審計內容不會泄漏。這涉及到審計產品獲取數據的方式以及部署的方式。如果審計產品通過流量復制(鏡像)的方式獲取數據庫通信內容，那么這些被復制的通信內容就存在被泄漏的可能，而這些內容中含有大量的敏感內容。或者，如果采用由數據庫審計服務商集中管理所有租戶審計內容的方式，那么審計服務商則有機會看到所有租戶審計內容中的敏感信息，同樣存在泄漏的可能。

5)審計所有訪問數據庫的途徑。合格的云端數據庫審計產品，應該能夠審計到如下幾個途徑對數據的訪問：

a) 云運營商直接登錄數據庫所在服務器，訪問數據庫，即所謂的“上帝之手”;

b) 其它租戶通過虛擬機逃逸，連接到數據庫進行訪問;

c) 租戶內部人員對數據庫的所有訪問;

d) 外部攻擊者通過SQL注入、網站后門等方式對數據庫的違規訪問;

e) 應用程序正常的數據庫訪問。

7.如何選擇云端數據庫審計?

云端數據庫審計提供彈性審計能力，以及以"審計即服務"的方式進行交付，保證了快速的交付和低成本。但是在具體選擇云端數據庫審計產品的時候，還需要從以下幾個方面進行考慮。

1)選擇中立性的廠商。在云端，包括數據庫審計產品在內的所有數據安全產品的廠家都應該是絕對中立的，也就是說云服務商自身不能是數據庫安全廠家，甚至不能與數據庫安全廠家有過于緊密的利益關系，比如股權合作。云服務廠家也應該優先推薦中立公司的數據安全產品。

另外，租戶可以選擇在多個云平臺上都已成功部署的廠家，這也能部分的確保其中立性。

2)選擇高性能的數據庫審計產品。在云端，數據庫審計產品的性能越高，租戶投入的成本越低。在對數據庫審計產品進行性能評估的時候，租戶需要搞清楚三個性能，以確保選擇到心儀的產品。

其一是連續處理性能。這是最最重要的性能，甚至是很多租戶需要真正關心的唯一性能，也是數據庫審計產品的首要質量因素。所謂的連續處理性能很好理解，就是產品能一直以這個性能進行長時間的工作，不會出現漏審現象。技術上講，連續處理包括收包、協議解析、SQL解析、規則匹配和風險識別、入庫等處理環節。我們需要所有這些處理環節都達到一個穩定的性能，不存在性能瓶頸。

很多廠家宣傳時候，避重就輕，只宣傳峰值處理能力，而不提連續處理能力。其所謂的峰值處理能力，一般指收包的能力，或者最多到規則匹配的能力。這個能力，實際并不是產品的真正處理能力，其產品很可能存在性能瓶頸。因為收包或者處理很快，但是不能即時完成分析、入庫，結果就是在流量稍大于其性能瓶頸時造成漏審。用戶在選擇數據庫審計產品時，需要識別出其連續處理性能，而不要被峰值性能混淆。比如市場上某幾款產品的入庫性能即是其連續處理性能。

其二是內容檢索性能。這是第二重要的性能，直接關系到租戶的體驗和產品的價值。對于分析存儲后的審計內容，需要在隨時以高效的速度進行檢索。而且，這種檢索必須是任意關鍵字的檢索，因為我們需要檢索數據庫訪問日志中的具體內容。比如檢索“張三”、“李四”、STUDENT(表名)等的訪問情況。如果檢索性能很低，那么存儲的審計內容越多，產品的可用性就越低，產品的價值就越低。

很多廠家在宣傳的時候，宣稱檢索性能很快，實際指的并不是這種任意關鍵字檢索的性能，而是對對結構化部分內容的檢索。對于諸如IP地址、用戶名、時間等結構化的內容，幾乎所有的數據庫審計產品能夠達到很高的檢索性能。但是任意關鍵字檢索才是租戶真正關心的功能，其功能和性能都必須單獨提出，不能被回避。

其三是存儲性能。云端的存儲也是需要付費的，所以我們希望單位硬盤空間能夠存儲的審計內容越多越好。很多廠家在宣傳的時候，都只說能存儲多少條SQL，但是沒有明確用了多大的硬盤空間。我們需要明確知道單位硬盤空間的存儲能力，比如1TB硬盤空間能夠存儲多少條SQL日志。

3)選擇能夠審計“上帝之手”的產品。“上帝之手”的存在，是每個云租戶的夢魘。云端數據庫審計產品必須能夠審計到上帝之手對數據的訪問，這是云廠家和租戶都關心的功能。這就要求審計產品有特殊的內容獲取方式。有些廠家通過軟件定義網絡，以旁路復制(鏡像)流量的方式獲取數據庫訪問流量，這種方法既不安全，也容易丟包，更不能防止這種“上帝之手”。因為上帝之手訪問數據庫時，完全可以繞開這種審計機制。

4)選擇風險識別能力高的產品。云數據庫審計關系到云端數據安全的問題，風險識別能力一定要高。由于產品防護內容的特殊性，需要在應用層進行規則設置，這比傳統的防火墻的配置更復雜。這就要求產品具有細粒度的風險識別能力，包括表、字段、語句級，并且這些規則最好是由產品自動學習完成的。此處“語句”級是最細的一個粒度，代表數據能夠被合法訪問的最具體的方式。目前絕大多數的數據庫審計產品，都還不支持語句級粒度，租戶要注意分辨。

5)選擇租戶可以完全控制的系統。數據庫安全產品保護敏感數據，最好是租戶可以完全控制的。這就要求：首先，數據庫安全廠商交付給租戶的數據庫審計產品，應該是一個獨立的虛擬機，就好像傳統環境中的一個獨立設備，從而可以控制審計內容的存儲主體;其次，這個虛擬機應該部署于租戶的虛擬局域網中，從而防止審計內容外發;然后，這個虛擬機的登錄口令應該完全由租戶掌握，只有租戶自己能夠登錄。

8.中安威士的云端數據庫審計是個什么樣的產品?

中安威士云端數據庫審計產品發布于2016年10月，得益于產品的優秀特質，迅速的完成了阿里云、騰訊云、華為云、青云等多個公有云平臺的上線。目前在公有云上的覆蓋率遙居第一位，并且與多個私有云實現了商業合作。具體來說，中安威士云端數據庫審計具有以下特質。

1)完全中立的第三方審計。為了給市場提供可信賴的產品，中安威士在早期發展中堅持“不站隊”的策略，既不接受安全廠商的投資，也不接受云廠家的投資。在多個公有云的迅速快速上線，也間接的證明了這種中立性;

2)業界最高性能。得益于技術團隊深厚的技術積累和十年磨一劍的決心，中安威士數據庫審計產品具有業界最高的處理能力，傲視群雄，“不服跑個分?”。

• 連續處理性能方面，在低配I3-CPU配置下，能夠實現每秒超過3萬條SQL語句的連續處理能力，在I7-CPU配置下，能夠實現每秒超過10萬條SQL語句的連續處理能力。而且峰值能力更是達到連續處理能力的2倍以上;
• 內容檢索性能方面，在低配I3-CPU配置下，從1億條審計內容中檢索任意關鍵字，能在在5秒之內完成;
• 存儲性能方面，得益于獨有的數據壓縮技術，每TB硬盤空間能夠存儲30-70億條SQL。
• 并發處理能力方面，配備I3-CPU的低配版本也能輕松突破10萬。

3)嚴防“上帝之手”。得益于特殊的審計內容獲取技術，中安威士數據庫審計能夠審計一切租戶對數據庫的訪問，包括加密連接和云平臺的“上帝之手”。

4)風險識別能力高。中安威士數據庫審計能以自動學習的方式完成表、字段、語句級的規則設置。其中語句級規則能夠嚴格的描述合規訪問的模式，具有非常高的風險識別能力。目前國內只有極少數數據庫審計產品能做到這一粒度。

5)租戶完全控制。中安威士數據庫審計系統以獨立的虛擬設備方式，部署于租戶的虛擬局域網內。所有的審計內容不會轉發到局域網之外，并且僅有租戶可以正常登錄訪問審計系統，由此確保了租戶對審計設備的完全控制權。

9.對于云數據庫安全，僅僅數據庫審計夠嗎?

云端的數據防護是個系統工程。數據庫審計是一個非常有必要的、基礎性的數據安全策略。但是僅有數據庫審計是遠遠不夠的。比如，數據庫審計雖然能發現來自“上帝之手”、租戶管理員、外部攻擊者的SQL注入等違規和攻擊，但是卻不能實時的阻止。又比如，數據庫審計也不能阻止“上帝之手”直接分析數據庫服務器的存儲文件系統，獲得數據庫內容。

中安威士將繼續發布云端數據庫防火墻、云端數據庫加密等云端數據庫安全產品，進一步解決如上數據安全問題。