原标题:案例 | 绿盟数据库审计系统DAS助力某运营商云资源池三级等保建设
一、建设目的
1、合法合规目的
依据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》约束与要求,要求网络运营者应按照网络安全等级保护制度,切实履行网络、数据安全保护义务。
2、保护自身安全目的
当前云资源池相应网络安全能力,无法完全满足云资源池三级等保安全的防护需求,为保证云资源以及租户网络、数据安全,需补充符合可满足等保三级安全建设的安全能力,以及可向云租户提供同等级的云安全防护能力。
二、建设要求
1、整体要求
云资源池结合等级保护标准与自身实际网络情况,需要对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心5大方面进行等级保护与风险防护建设。
2、数据库安全要求
全要素发现记录的要求
需保证云环境下数据采集的全面性、有效性、实时性,实时记录风险行为发生时间、类型、MAC、端口、IP、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值等信息。语句类似覆盖:DQL、DDL、DML、DCL、函数、存储、以及运维协议,保证审计信息链的完整性,为事后风险行为溯源提供有效数据支撑。
多条件检索审计的要求
需保证租户对所属DB历史操作行为的检索审计能力,提供多种查询条件,可根据日志的类型、发生时间、不同字段等内容进行查询。提供不同维度检索能力,达到快速定位风险的要求,检索维度包含但不限于:风险检索、语句检索、会话检索、告警检索等能力。
低误报与数据保护的要求
需具备有效的自学习机制,自行建立针对当前DB的安全基线,对超出基线的行为自动识别,记录、告警与阻断,降低误报率。同时DB返回结果信息,收录审计时需需提供自动化脱敏防护能力,包含但不限于:关键字脱敏、正则脱敏、列名定义脱敏等方式,防止租户敏感信息外泄。
多租户管理的要求
可由云安全集中管理平台统一管理,保证各用户审计服务的逻辑隔离前提下,一套安全服务多个租户安全审计服务能力的管理与使用。保障运算资源高效利用,避免运算资源浪费和减低成本。
三、建设规模
公有云根据等保标准,满足公有云资源池等保三级安全能力。
四、建设价值
1、整体价值
满足云资源池云等保的需求,搭建云安全集中管理平台与多种安全能力,满足云资源架构下的等保三级防护要求,提供等保三级防护能力。云等保系统可防护南北向和东西向流量,南北向由外网进入,牵引至云等保系统,防护后的流量再回注原网络;东西向的防护为在云主机上部署虚拟化组件,满足云主机用户之间的安全防护。
2、数据库审计部署价值
完善数据库网络安全防护
提供针对威胁数据库网络安全事件进行全量闭环的审计记录,起到事后取证,为安全事件追责提供有力依据。同时威慑心存侥幸、恶意操作人员,规范数据库侧使用行为。
完善数据库边界安全防护
对进出数据库边界的各类网络行为进行有效记录与审计分析,与主机审计、应用审计、网络审计共同形成多层次的审计发现,形成有效安全溯源链。
完善数据库计算环境安全防护
针对数据库的诸如SQL注入、漏洞攻击等威胁进行审计告警,防止破坏数据库系统与计算环境,同时对访问存储敏感数据的行为进行审计告警,防止敏感数据外泄。
完善云资源安全体系建设
有效补充云资源池在数据库侧的安全防护建设,补充等级保护建设以及数据安全保护建设,并完善了云资源自身安全防护能力与云租户安全防护能力。
