一、雲上資料的安全問題
2017年3月, 來自雲安全公司MacKeeper的研究人員Chris Vickery發Twitter稱在美國發生一起“14億身份資訊洩漏案”。 2018年3月, 著名的社交網路服務網站Facebook被曝資料洩露,
針對如此多發且嚴重的資料洩漏事件, 雲端資料存儲的安全性問題就不得不引起人們的重視。 目前諸多的個人資訊、重要資料等都以明文的方式存儲在雲端, 這對企業來說已經完全失去了對其的控制權, 安全問題完全寄希望于雲提供商。
在多次會議和沙龍中, 企業首席資訊安全官們探討了該問題, 一致認為:應用層的加密元件是雲安全的核心功能, 要確保企業外的人(包括雲提供商)無法查看或訪問這些資料, 當資料離開企業的安全環境進入雲服務提供者環境時, 企業可以加密所有資料, 並且只有企業有金鑰。
二、租戶存儲和使用雲端資料的方式
IaaS型資料庫(租戶自建資料庫):IaaS型(租戶自建資料庫)示意圖
SaaS型資料庫示意圖
SaaS應用:租戶通過雲服務供應商提供的應用服務存取資料。 例如線上CRM系統或線上OA系統中, 租戶租用這種服務, 並通過這種服務錄入和使用資料。 租戶直接打開流覽器或APP就可以直接使用服務, 所有的資料都由Web或APP與後端資料庫進行通訊。 在這種情況下, 租戶完全失去了對資料的控制能力:SaaS服務的供應商可以非常輕易的獲取租戶的資訊, 而雲平臺供應商能否獲取到資料, 則完全取決於SaaS服務的供應商對資料的保護措施。
SaaS應用示意圖
三、雲端資料加密方式
為了應對雲端資料的威脅, 對資料進行加密是一種有效的解決手段。 為了確保安全性, 這種加密必須是獨立於雲平臺的,
1)雲加密資料庫
使用具有加密功能的資料庫或者資料庫引擎。 在資料庫將資料寫入檔時對資料進行加密, 讀取資料時進行解密。 資料檔案被加密後, 無法通過直接拷貝使用者資料檔案盜取使用者資料。
這種方式通常具有相對較高的性能和透明性, 對資料庫的觸發器, 存儲過程等特性支援的比較全面。 其缺點是防護能力有限, 不能限制資料庫超級使用者的資料讀取許可權。
2)雲資料庫安全代理(CDSB)
CDSB雲資料加密閘道作為資料庫的出入口, 將所有資料加密後寫入資料庫, 讀取資料的時候進行解密。 通過閘道訪問資料庫可以獲得明文資料, 而越過閘道直接讀取資料則只能獲得密文。
CDSB示意圖
該加密方式具有較高的通用性,既適用於SaaS資料庫,也適用於IaaS資料庫。該方式為資料庫提供了統一的二次認證和二次鑒權機制,能夠很好的防止雲平臺供應商訪問真實資料,從而具有良好的安全性。性能方面,加密閘道通過SQL重寫,以及通過提供密文索引的方式,使得系統的整體性能較高。
3) 雲訪問安全代理(CASB)
CASB應用加密閘道主要設置在企業或個人的內部網路出口處,對於流出的資料進行統一加密並對流入的資料統一解密。
CASB示意圖
該加密方式不用考慮應用後端的資料庫類型,具有更高的通用性。且將加解密功能進行了分散式處理,具有較高的綜合性能。如果加密方法強度足夠的話,該方式在理論上具有較好的安全性。但是由於要考慮到加密後資料的檢索、格式的相容等因素,所採用的加密演算法強度不得不被降低。
四、CDSB和CASB的對比
由上述分析可知,CDSB資料庫加密閘道和CASB應用加密閘道都具有較高的安全性,本節對這兩種方式的適用性和安全性做進一步的深入對比分析。
1)適用性
兩種加密方式針對不同雲端資料使用方式的適用性如下表所示:
從上表中可以看出,CDSB對於各種雲端上資料使用方式都能較好的適用,而CASB方式只適用于SaaS應用的方式。由於兩種方式都適用于SaaS應用,下面部分就他們在SaaS應用環境下的安全性進行對比分析。
2) 抗統計分析攻擊性能
CDSB資料庫加密閘道可以採用多樣性的加密演算法,包括國密演算法。也支援帶隨機鹽值的高強度加密演算法,使得相同明文加密後的結果不同。這使得加密結果在對抗統計分析攻擊方面的安全性很高。
而CASB加密閘道為了保持對應用系統的相容,使得在加密演算法的選擇上受限多多。比如,為了保持加密後數數值型別的相容,不得不採用格式保持加密(FPE),而這種加密方法的安全性還沒有得到權威部門的認可;而且為了保證加密後的檢索,由於沒有辦法在資料庫中直接建立密文索引,所以必須保持加密前後內容的大小關係、位置資訊、統計特徵的一致性。
所以,CASB加密閘道的加密強度,是遠遠小於CDSB資料庫加密閘道的。
3)直接洩露明文可能性
在CDSB模式中,明文資料的直接洩露點包括應用服務端和前端的流覽器/APP。在CASB模式中,明文資料的直接洩露點在前端的流覽器/APP,也就是說,可以從APP端匯出租戶的所有資料。而應用服務端和APP端在本質上是同一個應用系統,所以當SaaS服務以APP方式提供時,CDSB和CASB模式的明文洩露風險是相當的。只有當服務僅以WEB方式提供時,CASB的明文洩露風險才低於CDSB。
事實上,從上述分析可知,對於SaaS服務方式來說,目前還沒有絕對安全的資料加密方式。
五、使用資料庫加密閘道對SaaS服務的資料進行加密
在SaaS服務中,眾多SaaS租戶的資料在服務後端統一存儲于一張大表中,通過租戶的ID進行區分和“隔離”。為了將不同租戶的資料通過加密進行隔離,除了使用CASB外,也可以使用CDSB資料庫加密閘道來實現加密隔離。
使用CDSB對SaaS應用的資料進行加密
如上圖所示,資料庫加密閘道利用其行加密能力,通過利用租戶的ID,有區分的對不同租戶進行加密,且不同租戶的加密策略可以做到差異化。租戶可以直接控制資料庫加密閘道進行自身資料的加密、秘鑰輪、加密服務的啟停等,真正實現對自己資料的掌控。
安全性上,如第四節所屬,CDSB與CASB的綜合安全性旗鼓相當。而且就資料加密強度來說,CDSB更勝一籌。
六、中安威士資料庫加密閘道簡介
中安威士資料庫加密閘道,於2017年第四季度正式發佈。目前支援MYSQL系列和南大通用資料庫,且正在適配其它資料庫類型。該系統支援透明加密,加密前後應用程式不需要改造,降低了企業升級加密系統的代價和風險。支援先進的密文索引,加密後資料的檢索效率不會顯著降低。特別的,該系統還提供專門針對字串類型資料的LIKE查詢索引,大大提高了字元類型資料在加密後的可用性。目前該系統已經在多個系統完成交付,並即將在多個公有雲平臺上線。
作者:中安威士 謝朕等
CDSB示意圖
該加密方式具有較高的通用性,既適用於SaaS資料庫,也適用於IaaS資料庫。該方式為資料庫提供了統一的二次認證和二次鑒權機制,能夠很好的防止雲平臺供應商訪問真實資料,從而具有良好的安全性。性能方面,加密閘道通過SQL重寫,以及通過提供密文索引的方式,使得系統的整體性能較高。
3) 雲訪問安全代理(CASB)
CASB應用加密閘道主要設置在企業或個人的內部網路出口處,對於流出的資料進行統一加密並對流入的資料統一解密。
CASB示意圖
該加密方式不用考慮應用後端的資料庫類型,具有更高的通用性。且將加解密功能進行了分散式處理,具有較高的綜合性能。如果加密方法強度足夠的話,該方式在理論上具有較好的安全性。但是由於要考慮到加密後資料的檢索、格式的相容等因素,所採用的加密演算法強度不得不被降低。
四、CDSB和CASB的對比
由上述分析可知,CDSB資料庫加密閘道和CASB應用加密閘道都具有較高的安全性,本節對這兩種方式的適用性和安全性做進一步的深入對比分析。
1)適用性
兩種加密方式針對不同雲端資料使用方式的適用性如下表所示:
從上表中可以看出,CDSB對於各種雲端上資料使用方式都能較好的適用,而CASB方式只適用于SaaS應用的方式。由於兩種方式都適用于SaaS應用,下面部分就他們在SaaS應用環境下的安全性進行對比分析。
2) 抗統計分析攻擊性能
CDSB資料庫加密閘道可以採用多樣性的加密演算法,包括國密演算法。也支援帶隨機鹽值的高強度加密演算法,使得相同明文加密後的結果不同。這使得加密結果在對抗統計分析攻擊方面的安全性很高。
而CASB加密閘道為了保持對應用系統的相容,使得在加密演算法的選擇上受限多多。比如,為了保持加密後數數值型別的相容,不得不採用格式保持加密(FPE),而這種加密方法的安全性還沒有得到權威部門的認可;而且為了保證加密後的檢索,由於沒有辦法在資料庫中直接建立密文索引,所以必須保持加密前後內容的大小關係、位置資訊、統計特徵的一致性。
所以,CASB加密閘道的加密強度,是遠遠小於CDSB資料庫加密閘道的。
3)直接洩露明文可能性
在CDSB模式中,明文資料的直接洩露點包括應用服務端和前端的流覽器/APP。在CASB模式中,明文資料的直接洩露點在前端的流覽器/APP,也就是說,可以從APP端匯出租戶的所有資料。而應用服務端和APP端在本質上是同一個應用系統,所以當SaaS服務以APP方式提供時,CDSB和CASB模式的明文洩露風險是相當的。只有當服務僅以WEB方式提供時,CASB的明文洩露風險才低於CDSB。
事實上,從上述分析可知,對於SaaS服務方式來說,目前還沒有絕對安全的資料加密方式。
五、使用資料庫加密閘道對SaaS服務的資料進行加密
在SaaS服務中,眾多SaaS租戶的資料在服務後端統一存儲于一張大表中,通過租戶的ID進行區分和“隔離”。為了將不同租戶的資料通過加密進行隔離,除了使用CASB外,也可以使用CDSB資料庫加密閘道來實現加密隔離。
使用CDSB對SaaS應用的資料進行加密
如上圖所示,資料庫加密閘道利用其行加密能力,通過利用租戶的ID,有區分的對不同租戶進行加密,且不同租戶的加密策略可以做到差異化。租戶可以直接控制資料庫加密閘道進行自身資料的加密、秘鑰輪、加密服務的啟停等,真正實現對自己資料的掌控。
安全性上,如第四節所屬,CDSB與CASB的綜合安全性旗鼓相當。而且就資料加密強度來說,CDSB更勝一籌。
六、中安威士資料庫加密閘道簡介
中安威士資料庫加密閘道,於2017年第四季度正式發佈。目前支援MYSQL系列和南大通用資料庫,且正在適配其它資料庫類型。該系統支援透明加密,加密前後應用程式不需要改造,降低了企業升級加密系統的代價和風險。支援先進的密文索引,加密後資料的檢索效率不會顯著降低。特別的,該系統還提供專門針對字串類型資料的LIKE查詢索引,大大提高了字元類型資料在加密後的可用性。目前該系統已經在多個系統完成交付,並即將在多個公有雲平臺上線。
作者:中安威士 謝朕等