自2011年以來，多家互聯(lián)網(wǎng)站頻發(fā)被黑客公開用戶數(shù)據(jù)庫的事件，超過5000萬個用戶帳號和密碼在網(wǎng)上大規(guī)模被泄露，數(shù)據(jù)庫拖庫事件頻發(fā)。2018年某中文論壇上，公然出現(xiàn)了售賣國內(nèi)知名酒店集團數(shù)據(jù)庫的“廣告”，詳細信息合計近 5 億條，涵蓋了入住者及酒店會員個人信息、入住登記、開房記錄等內(nèi)容。

最近，網(wǎng)絡(luò)安全組織GDI基金會又爆出，有數(shù)以億計的中國用戶私人聊天記錄被泄露在互聯(lián)網(wǎng)上。據(jù)美國電信公司Verizon 2018年發(fā)布的年度安全報告顯示，在數(shù)據(jù)泄露原因方面，62%的數(shù)據(jù)泄露與黑客攻擊有關(guān)；81%的的數(shù)據(jù)泄露涉及到撞庫或弱口令。

數(shù)據(jù)庫泄露的原因很多，數(shù)據(jù)庫管理員安全意識弱、程序設(shè)計沒有考慮安全冗余性、應(yīng)用層漏洞等均可導(dǎo)致數(shù)據(jù)庫拖庫、數(shù)據(jù)泄露。單一的安全手段已經(jīng)無法防范數(shù)據(jù)泄露的多重風險，只有多手段并用才可以最大程度地提高數(shù)據(jù)安全。

由世紀互聯(lián)運營的Azure服務(wù)平臺通過多種先進的安全技術(shù)構(gòu)建完整的安全平臺，從多角度、多層面保護用戶的數(shù)據(jù)安全，防止數(shù)據(jù)泄露事件的發(fā)生。Azure中國版SQL數(shù)據(jù)庫服務(wù)目前已提供了以下四種數(shù)據(jù)庫安全增強配置，分別是高級數(shù)據(jù)安全（ADS）、透明數(shù)據(jù)加密（TDE）、動態(tài)數(shù)據(jù)掩碼（DDM）、審核（Audit），真正做到了多維度數(shù)據(jù)保護。

高級數(shù)據(jù)安全 (ADS)

高級數(shù)據(jù)安全 (ADS) 是一種從策略上保護數(shù)據(jù)庫安全性的機制，它提供一組高級 SQL 安全功能，包括數(shù)據(jù)發(fā)現(xiàn)與分類、漏洞評估和威脅檢測。漏洞評估可以發(fā)現(xiàn)、跟蹤并幫助修正潛在的數(shù)據(jù)庫漏洞，分析檢查身份驗證與授權(quán)配置、數(shù)據(jù)保護設(shè)置、外圍應(yīng)用設(shè)置、審核配置等，并提供相應(yīng)的修復(fù)方法與建議。它可直觀查看安全狀態(tài)，包括解決安全問題的可操作步驟，并可加強數(shù)據(jù)庫的防御工事。

如上圖所示，檢測結(jié)果發(fā)現(xiàn)dbo賬戶被當作普通用戶去使用，這被標記為中等風險，因為dbo具有最高的權(quán)限，ADS功能會針對不同風險給出相應(yīng)建議與解決方法。

除了對數(shù)據(jù)庫漏洞及配置進行評估，ADS還集成了威脅檢測模塊，對常見的風險如SQL注入等進行檢測，用戶可根據(jù)需要勾選。 來自異常位置的訪問、陌生賬戶的登錄、暴力破解SQL憑據(jù)的行為都可以被檢測到并觸發(fā)警報。

ADS功能支持設(shè)置定期掃描、設(shè)置安全基線，并生成安全報告發(fā)送至管理員郵箱。這些功能有效減少了黑客撞庫或管理員配置弱口令的可能性。

透明數(shù)據(jù)加密 (TDE)

透明數(shù)據(jù)加密 (TDE) 是一種從元數(shù)據(jù)層級保護數(shù)據(jù)庫的方式，它有助于保護 Azure SQL 數(shù)據(jù)庫、Azure SQL 托管實例和 Azure 數(shù)據(jù)倉庫免受惡意活動的威脅。 它可執(zhí)行靜態(tài)數(shù)據(jù)庫、關(guān)聯(lián)備份和事務(wù)日志文件的實時加密和解密，無需更改應(yīng)用程序。 默認情況下，為所有新部署的 Azure SQL 數(shù)據(jù)庫啟用了 TDE。

 

 

 

 

TDE功能可以防止數(shù)據(jù)庫文件（mdf/ndf/ldf）被附加到非授權(quán)服務(wù)器或者使用TDE功能的備份文件被輕易還原到別的服務(wù)器上，從而進一步加強了數(shù)據(jù)的安全性。對黑客拖庫行為有一定的限制作用。啟用TDE后，將組織內(nèi)部的密鑰與數(shù)據(jù)管理責任相分離，即使非授權(quán)人員在取得數(shù)據(jù)庫后，如無密鑰，無法在異地還原盜取的數(shù)據(jù)庫。

 

 

 

如上圖所示，我們在本地試圖還原一個啟用過TDE的數(shù)據(jù)庫，在沒有密鑰的情況下顯示還原失敗。這樣，即便數(shù)據(jù)庫文件層級泄露，黑客也無法訪問數(shù)據(jù)。

動態(tài)數(shù)據(jù)掩碼（DDM）

動態(tài)數(shù)據(jù)掩碼技術(shù)用一種假名化（pseudonymization）手段保護元數(shù)據(jù)，通過對非特權(quán)用戶模糊化敏感數(shù)據(jù)來限制此類數(shù)據(jù)的泄露。動態(tài)數(shù)據(jù)屏蔽允許客戶指定在對應(yīng)用層產(chǎn)生最小影響的前提下可以透露的敏感數(shù)據(jù)量，從而幫助防止未經(jīng)授權(quán)的用戶訪問敏感數(shù)據(jù)。它是一種基于策略的安全功能，會在針對指定的數(shù)據(jù)庫字段運行查詢后返回的結(jié)果集中隱藏敏感數(shù)據(jù)，同時保持數(shù)據(jù)庫中的數(shù)據(jù)不變。

例如，我們用管理員賬戶在數(shù)據(jù)庫中創(chuàng)建表dbo.JOBS并插入數(shù)據(jù):

開啟動態(tài)數(shù)據(jù)掩碼功能，并設(shè)置掩碼字段, 掩飾工資字段:

切換為非管理員賬戶后執(zhí)行查詢:

如圖所示，敏感字段已經(jīng)自動按照配置規(guī)則進行掩飾。這項功能在一定程度上緩解了非拖庫行為造成的數(shù)據(jù)泄露，例如SQL注入。該功能目前支持自定義屏蔽規(guī)則及屏蔽函數(shù)。

審核（Audit）

除了上述安全功能，Azure版SQL還具有審核功能。審核 Azure SQL 數(shù)據(jù)庫和 SQL 數(shù)據(jù)倉庫會跟蹤數(shù)據(jù)庫事件，并將這些事件寫入 Azure 存儲帳戶、OMS 工作區(qū)或事件中心中的審核日志。審核功能幫助管理員追溯數(shù)據(jù)庫發(fā)生的事件，它能告訴你“誰什么時候做了什么事情”。具體是指審核SQL Server 數(shù)據(jù)庫引擎實例或單獨的數(shù)據(jù)庫涉及到跟蹤和記錄數(shù)據(jù)庫引擎中發(fā)生的事件。

如圖所示，審核日志提供了訪問者IP地址、賬戶名稱、事件類型、執(zhí)行語句等詳細信息，幫助數(shù)據(jù)庫管理員定位問題，及時排查風險，解決隱患。

Azure版SQL數(shù)據(jù)庫依托強大的Azure平臺，不僅支持以上安全特性，還集成了一些平臺的安全特點，如集成Azure AD身份驗證、服務(wù)器級別IP防火墻、傳輸過程加密等特征。通過分層深度防御的方法，分別在網(wǎng)絡(luò)安全、訪問管理、威脅防護、信息保護四大方面無死角保護用戶虛擬資產(chǎn)安全，盡可能降低數(shù)據(jù)泄露風險。

當然，數(shù)據(jù)千萬條，安全第一條；配置不規(guī)范，用戶兩行淚。Azure為廣大用戶提供了強大的安全防護，數(shù)據(jù)庫管理員還需要樹立安全意識，減少不規(guī)范的配置問題，杜絕弱口令，嚴格限制賬戶權(quán)限，適當開啟IP訪問白名單，減小黑客攻擊面。

（本文作者陳初，世紀互聯(lián)藍云ISC security團隊工程師）