本文結合數據庫系統,講述現有數據庫系統中應用加密技術的不同之處,以及如何根據業務需求去選擇合適的加密技術。
引言
日常生活中會通過添加門禁的方式來限制不同的人員進入指定區域,如分別在小區入口、單元樓入口、以及入戶門添加門禁:小區門禁能夠防止小區外部人員進入,單元樓門禁能夠防止非本樓人員進入,入戶門門禁能夠防止非本戶人員進入。顯然,同樣都是使用門禁系統,在不同位置、不同區域添加門禁所達到的限定效果是不同的。加密技術也是如此,采用加密技術對系統中的敏感數據進行加密保護是很直觀的,但同樣是對敏感數據進行加密,在系統關鍵路徑中的不同位置、不同粒度數據應用加密,能達到的預期安全效果也是完全不同的。
數據庫加密技術簡介
云盤加密是指在創建ECS實例(選擇系統盤、數據盤)或者單獨創建數據盤時為云盤勾選加密選項,創建完成后ECS實例操作系統內的數據會在云盤所在宿主機(ECS實例服務器)被自動加密,無需自建和維護密鑰管理基礎設施,就能保護數據的隱私性和自主性,為業務數據提供安全邊界。云盤加密可以解決數據在設備(IaaS層)中落盤安全問題。更多信息,請參見加密云盤。
Transparent Data Encryption(簡稱TDE)。在將數據庫內存數據寫入文件系統前,在引擎內部對數據先進行加密,然后將加密后的密文結果寫入到文件系統。TDE可以解決數據在文件系統(PaaS層)中落盤安全問題。更多信息,請參見設置透明數據加密TDE。
選擇列加密(全密態基礎版)對查詢結果在離開數據庫前進行加密,并將密文結果返回給數據庫客戶端,由具備密鑰的客戶端后續自行解密,使得數據在除了客戶端以及數據庫內的外部流動中全程以密文形式存在。選擇列加密可以解決在線數據鏈路的運行時安全。更多信息,請參見功能概述。
潛在數據庫攻擊行為
數據庫是一個系統應用工程,在每一個系統環節都存在潛在的安全威脅。現有數據庫面臨的安全問題以及可能的攻擊路徑如下圖所示(詳情請參見Oracle’s Maximum Security Architecture for Database Security):
下表將對圖例中的不同攻擊進行介紹:
圖例攻擊 | 攻擊說明 | 攻擊方式 |
Attack Admins | 攻擊系統管理員,例如OS管理員。系統管理員具備高權限,一旦攻擊者獲取管理員賬號,可以管理和訪問所有的存儲、系統、以及外設。在數據庫場景下,可以對系統管理員進一步細分如下:
| OS系統漏洞 管理員賬密泄露 系統配置不當 |
Attack Users | 攻擊終端用戶,例如數據庫用戶。終端用戶可以連接數據庫系統、并訪問部分數據,攻擊者獲取用戶賬號后可以訪問該用戶下數據(例如邏輯拖庫),甚至通過提權方式(例如SQL注入)獲得管理員權限 | 用戶賬密泄露 邏輯拖庫 |
Attack Apps | 攻擊應用服務,例如黑入網站服務器。相比于防護更嚴密的后端數據庫,應用服務是公開可訪問的,暴露面更大,更加容易被攻破。 | 應用服務漏洞 OS系統漏洞 |
Attack Network | 攻擊網絡連接,例如監聽攔截網絡數據。網絡攻擊通常以旁路方式進行,不易于被檢測。 | 網絡監聽/攔截 |
Bypass Database | 繞過數據庫系統獲取數據,以旁路方式竊取數據庫數據,例如PaaS人員可Copy數據庫落盤的數據文件、備份文件等(即物理拖庫)。 | 物理拖庫 |
Bypass OS | 繞過OS文件系統獲取數據,以旁路方式竊取磁盤上數據,例如IaaS人員可直接Copy云盤/磁盤數據。 | 掛載攻擊 |
Exploit Database | 利用數據庫的系統缺陷,例如代碼bug,直接或間接訪問數據庫。 | 數據庫系統漏洞 |
Target Data Copies | 很多系統中是直接將生產數據同步到開發測試庫進行使用的,而缺少對開發測試庫上的數據安全防護,攻擊開發測試庫會比攻擊生產庫更容易。 | 以上均可能 |
針對這些不同系統應用路徑下的潛在數據庫安全威脅,通常需要一個整體的安全解決方案來應對,這可能囊括了SSL與證書服務、認證與訪問控制、白名單與安全組、數據加密與脫敏、安全審計等在內的不同安全技術和管理手段。后續小節將對數據加密進行介紹。
數據庫加密技術能力矩陣
現有加密技術在數據庫中的應用主要有云盤加密、透明數據加密以及選擇列加密。下表從不同維度給出了不同數據庫加密技術的特性、以及能解決的安全問題。用戶可以結合目標要解決的問題、以及實際場景下業務對加密粒度、改造成本、以及性能的考量,選擇合適的加密技術。
數據庫加密技術 | 云盤加密(DiskEncryption) | 透明數據加密 (TDE) | 選擇列加密 (全密態基礎版) |
能解決的問題 | Bypass OS、Attack Admins(IaaS) | Bypass Database、Bypass OS、Attack Admins(PaaS&IaaS) | Attack Users、Attack Apps、Attack Admins(DBA 1??)、Attack Network、Target Data Copies |
數據庫運維人員(如DBA)可見數據 | 可見 | 可見 | 不可見 |
PaaS運維人員(如OS)可見數據 | 可見 | 不可見 | 可見 1?? |
IaaS運維人員(如物理PE)可見數據 | 不可見 | 不可見 | 可見 1?? |
加密粒度 | 實例 | 表/庫 | 列 |
業務改造 | 無 | 無 | 需要將JDBC替換為EncJDBC,無需代碼改造。 |
性能 | 損耗極小,幾乎無損失。 |
|
|
1??全密態基礎版無法防止PaaS以及IaaS層運維人員訪問數據明文。用戶可以選用全密態基礎版的安全升級版本,全密態硬件加固版,結合可信硬件技術,能夠抵御來自PaaS以及IaaS層的攻擊。
數據庫加密技術原理對比
架構視角
下圖從架構視角,展示了不同加密方式在數據庫系統中的作用位置:
云盤加密作用在宿主機/ECS OS層面上,對OS文件進行加解密,同一個宿主機/ECS上的所有數據庫實例共用云盤加密。
TDE作用在數據庫實例上,對數據庫緩存文件進行加解密,每個實例單獨生效。
列加密作用在數據庫實例上,對數據庫內存查詢結果進行加解密,返回密文數據給到應用程序,每個實例單獨生效。
列加密、TDE、或云盤加密可以疊加組合使用。
數據視角
下圖從數據視角,展示了不同加密方式下,數據在數據庫系統中的明文和密文狀態。
列加密+TDE疊加組合加密方式可以確保數據全鏈路以密文方式存在。
不同數據庫加密技術差異匯總
存儲安全技術 | 云盤加密 | TDE | 選擇列加密 |
作用位置 | OS | 數據庫內核 | 數據庫內核 |
作用范圍 | 宿主機/ECS實例 | 數據庫實例 | 數據庫實例 |
加密粒度 | 實例 | 庫/表 | 列 |
應用感知 | 對應用透明 | 對應用透明 | 應用需切換JDBC |
總結
簡要介紹了現有的數據庫加密技術,從用戶視角給出數據庫當前面臨的安全威脅以及適用的數據庫加密技術,并從原理層面解釋造成不同數據庫加密技術能力差異的原因。用戶可以結合具體的應用場景,根據目標安全訴求、業務改造成本、性能等不同維度因素,選擇適用的數據庫加密技術。