雲小課|三大靈魂拷問GaussDB(DWS)資料落盤安全問題
閱識風雲是華為雲資訊大咖,擅長將複雜資訊多元化呈現,其出品的一張圖(雲圖說)、深入淺出的博文(雲小課)或短視訊(雲視廳)總有一款能讓您快速上手華為雲。更多精彩內容請單擊此處。
摘要:GaussDB(DWS)作為一款執行在華為雲上的核心資料倉庫,客戶大量的資料儲存在DWS的資料節點中,DWS不僅擁有海量資料查詢的極致效能,在安全方面還需要有加固防護措施。當前資料庫都是多個使用者共同訪問資料,這些資料都具有重要價值,關係到使用者的核心資產和使用者隱私,如何禁止別有用心的使用者竊取以及黑客攻擊,本課程給您提供資料的安全管理方法。
本文分享自《雲小課|GaussDB(DWS)資料落盤安全嗎?來直面三大靈魂拷問!
GaussDB(DWS)作為一款執行在華為雲上的核心資料倉庫,客戶大量的資料儲存在DWS的資料節點中,DWS不僅擁有海量資料查詢的極致效能,在安全方面還需要有加固防護措施。
當前資料庫都是多個使用者共同訪問資料,這些資料都具有重要價值,關係到使用者的核心資產和使用者隱私,如何禁止別有用心的使用者竊取以及黑客攻擊,本課程給您提供資料的安全管理方法。
雲數倉安全層層防護
- 雲數倉外部:由華為雲的雲安全管理產品保駕護航。如:Anti-DDoS、DDoS、Web應用防火牆、漏洞掃描服務、企業主機安全、資料加密服務、SSL證書管理、雲堡壘機等。
- 雲數倉內部:主要通過三權分立、行級訪問控制、審計管理三種方式進行防護。這三方式結合到資料開發實際場景中,簡單可以概括為(1)誰能看?(2)能看啥?(3)看沒看? 下面我們從這三個方面一一介紹:
(1)誰能看?
通過DWS三權分立模型,將管理員分成三類:系統管理員,安全管理員和審計管理員,不存在“一手遮天”的管理員,當某個管理員密碼洩露時,使資料庫破壞降到最低。從此各司其職,安全管理員負責使用者,審計管理員負責日誌審計,系統管理員負責系統運維。
開啟三權分立後,物件許可權變化如下表說明:
開啟方法:
1、錄GaussDB(DWS) 管理控制檯。在左側導航樹中,單擊“叢集管理”。
2、在叢集列表中,單擊指定叢集的名稱,然後單擊“安全設定”,開啟三權分立開關。
依次設定安全管理員使用者名稱、密碼、審計管理員使用者、密碼。
3、單擊“應用”。在彈出的“儲存配置”視窗中,選擇是否勾選“立即重啟叢集”,然後單擊“是”,重啟後生效。
(2)能看啥?
行級訪問控制特性是將資料庫訪問控制精確到資料錶行級別,使資料庫達到行級訪問控制的能力。不同使用者執行相同的SQL查詢操作,讀取到的結果是不同的。即同一張表,不同使用者只能檢視自身相關的資料資訊,不能檢視其他使用者的資料資訊。
GaussDB(DWS)主要通過“ALTER TABLEtablenameENABLE ROW LEVEL SECURITY”語法實現行級訪問控制,示例如下:
1、建立使用者alice, bob, peter。
2、建立表public.all_data,包含不同使用者資料資訊。
3、向資料表插入資料。
4、將表all_data的讀取許可權賦予alice,bob和peter使用者。
5、開啟行訪問控制策略開關。
6、建立行訪問控制策略,當前使用者只能檢視使用者自身的資料。
7、查看錶詳細資訊。
8、切換至使用者alice,執行SQL"SELECT * FROM all_data"
9、切換至使用者peter,執行SQL"SELECT * FROM .all_data"
(3)看沒看?
GaussDB(DWS) 支援對特定資料庫操作記錄審計日誌,包括:日誌保留策略、使用者越權訪問、儲存過程以及對資料庫物件的DML、SELECT、COPY和DDL操作。
審計日誌配置後,當GaussDB(DWS) 叢集狀態異常,或根據業務需要,使用者可以查詢審計資訊確定故障原因或定位歷史操作記錄。
配置方法:
- 登入GaussDB(DWS) 管理控制檯。單擊“叢集管理”。
- 在叢集列表中,單擊指定叢集的名稱,然後單擊“安全設定”。
- 在“審計配置”區域中,設定審計日誌保留策略。
4、根據需要設定以下操作的審計開關。
GaussDB(DWS) 預設還開啟了以下的關鍵審計項。
5、設定是否開啟審計日誌轉儲功能。
6、單擊“應用”。
檢視審計日誌:
只有擁有AUDITADMIN屬性的使用者才有檢視許可權,查詢格式如下:
pg_query_audit(timestamptzstartime,timestamptzendtime,audit_log)
- 查詢審計記錄。
查詢結果如下:
該條記錄表明,使用者ommdbadmin在2021-02-23 21:49:57.82+08登入資料庫gaussdb。其中client_conninfo欄位在log_hostname啟動且IP連線時,字元@後顯示反向DNS查詢得到的主機名。
查詢所有CN節點審計記錄。
2、查詢結果如下:
查詢結果顯示,使用者user1在CN1和CN2的成功登入記錄。
瞭解更多華為雲資料倉庫GaussDB(DWS),請猛戳