碼上快樂

相關內容    簡體    繁體

雲小課|三大靈魂拷問GaussDB(DWS)數據落盤安全問題

本文轉載自   查看原文   2021-11-03 20:02   115    華為雲新鮮技術分享/ 雲小課/ 安全/ 數據倉庫/ GaussDB(DWS)/ 數據落盤安全/ GaussDB(DWS)

閱識風雲是華為雲信息大咖,擅長將復雜信息多元化呈現,其出品的一張圖(雲圖說)、深入淺出的博文(雲小課)或短視頻(雲視廳)總有一款能讓您快速上手華為雲。更多精彩內容請單擊此處。

摘要:GaussDB(DWS)作為一款運行在華為雲上的核心數據倉庫,客戶大量的數據存儲在DWS的數據節點中,DWS不僅擁有海量數據查詢的極致性能,在安全方面還需要有加固防護措施。當前數據庫都是多個用戶共同訪問數據,這些數據都具有重要價值,關系到用戶的核心資產和用戶隱私,如何禁止別有用心的用戶竊取以及黑客攻擊,本課程給您提供數據的安全管理方法。

本文分享自《雲小課|GaussDB(DWS)數據落盤安全嗎?來直面三大靈魂拷問!》,原文作者:閱識風雲

GaussDB(DWS)作為一款運行在華為雲上的核心數據倉庫,客戶大量的數據存儲在DWS的數據節點中,DWS不僅擁有海量數據查詢的極致性能,在安全方面還需要有加固防護措施。

當前數據庫都是多個用戶共同訪問數據,這些數據都具有重要價值,關系到用戶的核心資產和用戶隱私,如何禁止別有用心的用戶竊取以及黑客攻擊,本課程給您提供數據的安全管理方法。

雲數倉安全層層防護

  • 雲數倉外部:由華為雲的雲安全管理產品保駕護航。如:Anti-DDoS、DDoS、Web應用防火牆、漏洞掃描服務、企業主機安全、數據加密服務、SSL證書管理、雲堡壘機等。

  • 雲數倉內部:主要通過三權分立、行級訪問控制、審計管理三種方式進行防護。這三方式結合到數據開發實際場景中,簡單可以概括為(1)誰能看?(2)能看啥?(3)看沒看? 下面我們從這三個方面一一介紹:

(1)誰能看?

通過DWS三權分立模型,將管理員分成三類:系統管理員,安全管理員和審計管理員,不存在“一手遮天”的管理員,當某個管理員密碼泄露時,使數據庫破壞降到最低。從此各司其職,安全管理員負責用戶,審計管理員負責日志審計,系統管理員負責系統運維。

開啟三權分立后,對象權限變化如下表說明:

開啟方法:

1、錄GaussDB(DWS) 管理控制台。在左側導航樹中,單擊“集群管理”。

2、在集群列表中,單擊指定集群的名稱,然后單擊“安全設置”,打開三權分立開關。

依次設置安全管理員用戶名、密碼、審計管理員用戶、密碼。

3、單擊“應用”。在彈出的“保存配置”窗口中,選擇是否勾選“立即重啟集群”,然后單擊“是”,重啟后生效。

(2)能看啥?

行級訪問控制特性是將數據庫訪問控制精確到數據表行級別,使數據庫達到行級訪問控制的能力。不同用戶執行相同的SQL查詢操作,讀取到的結果是不同的。即同一張表,不同用戶只能查看自身相關的數據信息,不能查看其他用戶的數據信息。

GaussDB(DWS)主要通過“ALTER TABLE tablename ENABLE ROW LEVEL SECURITY”語法實現行級訪問控制,示例如下:

1、創建用戶alice, bob, peter。

2、創建表public.all_data,包含不同用戶數據信息。

3、向數據表插入數據。

4、將表all_data的讀取權限賦予alice,bob和peter用戶。

5、打開行訪問控制策略開關。

6、創建行訪問控制策略,當前用戶只能查看用戶自身的數據。

7、查看表詳細信息。

8、切換至用戶alice,執行SQL"SELECT * FROM all_data"

9、切換至用戶peter,執行SQL"SELECT * FROM .all_data"

(3)看沒看?

GaussDB(DWS) 支持對特定數據庫操作記錄審計日志,包括:日志保留策略、用戶越權訪問、存儲過程以及對數據庫對象的DML、SELECT、COPY和DDL操作。

審計日志配置后,當GaussDB(DWS) 集群狀態異常,或根據業務需要,用戶可以查詢審計信息確定故障原因或定位歷史操作記錄。

配置方法:

  1. 登錄GaussDB(DWS) 管理控制台。單擊“集群管理”。
  2. 在集群列表中,單擊指定集群的名稱,然后單擊“安全設置”。
  3. 在“審計配置”區域中,設置審計日志保留策略。

4、根據需要設置以下操作的審計開關。

GaussDB(DWS) 默認還開啟了以下的關鍵審計項。

5、設置是否開啟審計日志轉儲功能。

6、單擊“應用”。

查看審計日志:

只有擁有AUDITADMIN屬性的用戶才有查看權限,查詢格式如下:

pg_query_audit(timestamptz startime,timestamptz endtime,audit_log)

  1. 查詢審計記錄。

查詢結果如下:

該條記錄表明,用戶ommdbadmin在2021-02-23 21:49:57.82+08登錄數據庫gaussdb。其中client_conninfo字段在log_hostname啟動且IP連接時,字符@后顯示反向DNS查找得到的主機名。

查詢所有CN節點審計記錄。

2、查詢結果如下:

查詢結果顯示,用戶user1在CN1和CN2的成功登錄記錄。

 

了解更多華為雲數據倉庫GaussDB(DWS),請猛戳

 

點擊關注,第一時間了解華為雲新鮮技術~


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 華為雲原生數據倉庫GaussDB(DWS)深度技術解讀:融、快、大、穩、易 linux系統數據落盤之細節 接口安全問題 iframe的安全問題 webpack 的安全問題 JWT的安全問題 《天道》芮小丹片段閱讀觀后感——靈魂拷問 Java(38)解決多線程數據安全問題 解析大數據存在的五大安全問題 淺析雲計算的數據安全問題
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM