全球IT研究机构Gartner针对2017年全球数据库安全趋势进行了解读,其中全球用户数据库正在向云端迁移,成为数据库安全发展很重要的趋势之一。对此,安华金和基于自身数据库安全上云的业务进展,从产业发展角度进行观察,对云端数据库安全趋势进行重点思考。
数据库迁移到云端带来的用户价值
今天,从全球视角转到中国,越来越多的用户也正在面临数据从本地向云端数据库(DBaaS)迁移,云DBaaS的日益普及已经对数据库安全格局产生重大影响。在面临数据库安全的时候,客户希望灵活的部署选项,能够在本地、云服务和混合环境之间灵活的切换。针对这一点,数据库安全市场的更多厂商正在开发并引入基于云的服务版本。
数据库迁移到云端DBaaS,可以为用户带来两个方面的主要价值:
1)降低成本。
2)提高数据库高可用能力、减少运维代价。
然而,如果安全产品能力不到位,这些价值可以被抵销或丢失。无论如何,风险和成本涉及到维护合规性、数据共享与隐私保护的挑战、防止潜在数据攻击行为造成的服务停用时间。而在数据库的安全能力方面,客户将期望至少能够达到其内部部署相当的服务水平。
同时,新的NoSQL DBMS和基于文件的系统的出现,和越来越多的有价值的数据被转移到Hadoop集群等大数据平台中,用户面临的是很少有厂商目前为Hadoop、NoSQL数据库提供全面的数据安全监控和防护工具。
云端数据安全的市场趋势分析
云端数据安全在未来3到5年内的市场趋势,主要是受到来自以下几个方面的影响:
一、法律遵从和合规性影响
随着云计算、大数据的快速发展,政府越来越意识到网络、数据安全的重要性。相应的法律法规不断完善,使得合规性遵从越来越成为影响云端数据安全的重要因素。其中具有关键作用一部分法规和规范包括:
《网络安全法》、《网络安全等级保护》、《重要数据出境安全评估指南》、《个人信息安全规范、大数据安全标准白皮书》、《大数据服务安全能力要求》,等等。
特别是网络安全法的正式实施,奠定了“积极利用、科学发展、依法管理、确保安全”的网络安全战略基础;同时也将给市场带来最强烈的数据防泄漏的政策支撑。
与个人隐私数据、关键信息基础设施重要数据相关的更加严格的管理规定可能在2018-2019年相继出台,这些规范将带动中小企业数据库安全需求发展。
数据出境管理的相关规定的出台,也将带动国际型企业在中国落地数据中心,这必然将提升数据库安全产品的市场需求。
二、数据迁移到云端后,数据安全成为了运营者的主要顾虑
2017年发布的互联网趋势报告,在云计算方面用户的三大顾虑中数据安全(Data Security)占比最大。数据安全方面的顾虑集中表现在以下几个方面:
1.数据资产所有权问题,保存在云端的数据,特别是在多租户环境下,云租户的数据如何保证不会被第三方获得。
2.开放的多租户环境,造成传统的黑客攻击、拖库、SQL注入等数据安全问题没有得到有效解决,反而被放大了。资源共享又带来了安全隔离、是否会互相影响的担忧。
3.用户失去了对物理资源的直接控制,并由此引发了云服务商的信任问题。
三、数据共享和交换,是数据安全面临的新挑战
数据只有被广泛使用,才会变成有用的信息。我们各级政府掌握着全社会信息资源的80%,是最大的数据保有者。对于掌握大量数据的政府部门(公安、民政、人社、计生、工商、教育、医疗卫生、住建、城管、税务),数据的共享和交换是在政府云平台、大数据建设过程中的一个主要工作目标。同时,数据共享和交换,带来了新的数据安全的挑战:
1.敏感数据的梳理、分类、分级的要求
2.敏感数据共享和交换如何能够符合法规,符合等级保护和网络安全法的要求
3.数据在共享和交换过程中,需要对数据进行追溯,需要对数据泄露追踪、定责;数据的责任者需要知道数据是谁泄漏的、什么时间、泄露了什么等等信息。
四、云端数据安全市场需要独立的数据安全服务商
首先,用户数据迁移到云端,会面临多个云的选择,越是重要的数据,越不会放在一个篮子里;所以云端数据安全需要满足多云的适配和统一的策略,这个是云服务商无法解决的问题,必然需要独立的数据安全服务商。
目前,一些DBaaS平台开始提供本机保护,检测和数据驱动的安全功能(例如,Microsoft Azure SQL和Amazon Redshift、阿里云RDS)。然而,更复杂的功能(如特权分析,DCAP,数据屏蔽和子集,集中监控等)只能通过第三方服务来获得。
最后,从数据安全本身的角度,数据管理系统和数据安全的产品应该是各自独立,不是同一个服务商。
云端数据库安全产品和技术趋势分析
在数据库安全市场趋势的引导下,云端数据库安全在产品和技术上也面临全新的挑战和机遇。
一、从传统数据库安全向大数据安全发展
云计算和大数据的快速发展,加速了新的NoSQL DBMS和基于文件的系统的出现,同时越来越多的有价值的数据被转移到Hadoop集群等大数据平台中;传统的关系型数据库的安全已经无法满足全面数据安全的需求,数据安全面临着与大数据、NoSQL的结合,面临对MongoDB、HBase、Hive、Redis、Spark等的支持需求,和对云数据平台(例如阿里云ODPS、ADS)的适配需求。
二、数据库审计与防护产品需求强劲
根据Gartner对DCAP(以数据为中心的审计和保护)的分析研究,同时考虑到国内数据安全市场合规性要求;笔者大胆预测,未来三年,数据库审计产品将依然是数据安全市场中的龙头产品,占据主要的市场份额。
网络安全法中对审计数据保存至少6个月日志的要求,将对存储的规模和数据分析的性能带来大的挑战和需求,数据库审计产品也面临与外部第三方大数据平台融合的需求,对于大数据平台、NoSQL数据库的监控与审计需求也将成为数据库审计产品的重要的技术方向。
同时,市场需要更加专业的数据库防火墙产品,并希望能够有效的解决长期困扰的数据库安全问题:
- SQL注入攻击
- 黑客或内部人员恶意利用不安全的数据库配置或弱口令,对数据库进行恶意操作或窃取敏感数据
- 各种数据隐私,健康,财务和信用卡规定,需要对违规情况下的访问进行限制
三、数据库脱敏和数据库透明加密成为新的爆发点
随着国家对政府数据共享与开放政策的加强,大数据的规模化应用,以及网络安全法中对重要数据和敏感数据保护要求的加强,明确提出了对隐私和敏感数据匿名化要求;在这样的大背景下,数据库脱敏产品将像审计产品一样,成为数据安全的重要组成部分;用户越来越需要能够满足各种数据库环境、数据格式多样性的脱敏产品。
同时,随着越来越多的数据库向云端迁移,以及新的网络安全等级保护制度的落地,对数据库加密的要求将变成“关键信息基础设施”的刚性需求;用户需要易部署、性能影响小、透明性好的数据库加密产品。
四、敏感数据梳理和数据分类分级产品逐渐升温
数据普遍成为资产,敏感数据资产的梳理作为产品和服务,很可能成为新的热点。
同时,随着政府数据共享、大数据战略的发展,数据分类和分级将在数据生命周期管理中作为重要的基础能力,将被广泛应用到数据治理过程中。
五、数据水印产品将成为黑马
政府数据的共享和交换,必须在网络安全法、网络安全等级保护制度的框架下,积极、科学、依法、确保安全的实施。
数据共享和交换典型的场景包括了:数据收集、数据整理、数据分发。这就给数据的管理者带来的新的数据安全的挑战:
这一挑战,可以通过数据水印和溯源技术来解决:
数据水印:将水印信息嵌入到数据(包括数据库和数据文件)中。它比普通嵌入到多媒体的水印技术要求高,需要在嵌入过程中尽可能小的修改原始数据,提取时要求数据不受损失,确保信息可以被用户正常使用。
数据溯源:通过数据水印技术的应用,在数据泄露后对样本数据进行水印的提取,并依据水印标记查询出数据分发过程路径及数据源。
