135      阿裏雲  技術社區[雲棲]

前沿觀察：雲數據庫安全發展趨勢

全球IT研究機構Gartner針對2017年全球數據庫安全趨勢進行解讀，其中全球用戶數據庫正在向雲端遷移，成為數據庫安全發展很重要的趨勢之一。對此，安華金和基於自身數據庫安全上雲的業務進展，從產業發展角度進行觀察，對雲端數據庫安全趨勢重點思考。

今天，從全球視角轉到中國，越來越多的用戶也正在麵臨數據從本地向雲端數據庫（DBaaS）遷移，雲DBaaS的日益普及已經對數據庫安全格局產生重大影響。在麵臨數據庫安全的時候，客戶希望靈活的部署選項，希望能夠在本地、雲服務和混合環境之間靈活的切換。針對這一點，數據庫安全市場的更多廠商正在開發並引入基於雲的服務版本。

數據庫遷移到雲端DBaaS，可以為用戶帶來兩個方麵的主要價值：

1）降低成本。

2）提高數據庫高可用能力、減少運維代價。

然而，如果安全產品能力不到位，這些價值可以被抵銷或丟失。無論如何，風險和成本涉及到維護合規性、數據共享與隱私保護的挑戰、防止潛在數據攻擊行為造成的服務停用時間。而在數據庫的安全能力方麵，客戶將期望至少能夠達到其內部部署相當的服務水平。

同時，新的NoSQL DBMS和基於文件的係統的出現，和越來越多的有價值的數據被轉移到Hadoop集群等大數據平台中，用戶麵臨的是很少有廠商目前為Hadoop、NoSQL數據庫提供全麵的數據安全監控和防護工具。

雲端數據安全在未來3到5年內的市場趨勢，主要是受到來自以下幾個方麵的影響

一：法律遵從和合規性影響

隨著雲計算、大數據的快速發展，政府越來越意識到網絡、數據安全的重要性。相應的法律法規不斷完善，使得合規性遵從越來越成為影響雲端數據安全的重要因素。其中具有關鍵作用一部分法規和規範包括：

《網絡安全法》、《網絡安全等級保護》、《重要數據出境安全評估指南》、《個人信息安全規範、大數據安全標準白皮書》、《大數據服務安全能力要求》，等等。

特別是網絡安全法的正式實施，奠定了“積極利用、科學發展、依法管理、確保安全”的網絡安全戰略基礎；同時也將給市場帶來最強烈的數據防泄漏的政策支撐；

與個人隱私數據、關鍵信息基礎設施重要數據相關的更加嚴格的管理規定可能在2018-2019年相繼出台，這些規範將帶動中小企業數據庫安全需求發展。

數據出境管理的相關規定的出台，也將帶動國際型企業在中國落地數據中心，這必然將提升數據庫安全產品的市場需求。

二：數據遷移到雲端後，數據安全成為了運營者的主要顧慮

2017年發布的互聯網趨勢報告，在雲計算方麵用戶的三大顧慮中數據安全（Data Security）占比最大。數據安全方麵的顧慮集中表現在以下幾個方麵：

1：數據資產所有權問題，保存在雲端的數據，特別是在多租戶環境下，雲租戶的數據如何保證不會被第三方獲得。

2：開放的多租戶環境，造成傳統的黑客攻擊、拖庫、SQL注入等數據安全問題沒有效解決，反而被放大了。資源共享又帶來了安全隔離、是否會互相影響的擔憂。

3：用戶失去了對物理資源的直接控製，並由此引發了雲服務商的信任問題。

三：數據共享和交換，是數據安全麵臨的新挑戰

數據隻有被廣泛使用，才會變成有用的信息。我們各級政府掌握著全社會信息資源的80%，是最大的數據保有者。對於掌握大量數據的政府部門（公安、民政、人社、計生、工商、教育、醫療衛生、住建、城管、稅務），數據的共享和交換是在政府雲平台、大數據建設過程中的一個主要工作目標。同時，數據共享和交換，帶來了新的數據安全的挑戰：

1：敏感數據的梳理、分類、分級的要求

2：敏感數據共享和交換如何能夠符合法規，符合等級保護和網絡安全法的要求

3：數據在共享和交換過程中，需要對數據進行追溯，需要對數據泄露追蹤、定責；數據的責任者需要知道數據是誰泄漏的、什麼時間、泄露了什麼等等信息。

四：雲端數據安全市場需要獨立的數據安全服務商

首先，用戶數據遷移到雲端，會麵臨多個雲的選擇，越是重要的數據，越不會放在一個籃子裏；所以雲端數據安全需要滿足多雲的適配，和統一的策略，這個是雲服務商無法解決的問題，必然需要獨立的數據安全服務商。

目前，一些DBaaS平台開始提供本機保護，檢測和數據驅動的安全功能（例如，Microsoft Azure SQL和Amazon Redshift、阿裏雲RDS）。然而，更複雜的功能（如特權分析，DCAP，數據屏蔽和子集，集中監控等）隻能通過第三方服務來獲得。

最後，從數據安全本身的角度，數據管理係統和數據安全的產品應該是各自獨立，不是同一個服務商。

在數據庫安全市場趨勢的引導下，雲端數據庫安全在產品和技術上也麵臨全新的挑戰和機遇。

一：從傳統數據庫安全向大數據安全發展

雲計算和大數據的快速發展，加速了新的NoSQL DBMS和基於文件的係統的出現，同時越來越多的有價值的數據被轉移到Hadoop集群等大數據平台中；傳統的關係型數據庫的安全已經無法滿足全麵數據安全的需求，數據安全麵臨著與大數據、NoSQL的結合，麵臨對MongoDB、HBase、Hive、Redis、Spark等的支持需求，和對雲數據平台（例如阿裏雲ODPS、ADS）的適配需求。

二：數據庫審計與防護產品需求強勁

根據Gartner對DCAP（以數據為中心的審計和保護）的分析研究，同時考慮到國內數據安全市場合規性要求；筆者大膽預測，未來三年，數據庫審計產品將依然是數據安全市場中的龍頭產品，占據主要的市場份額。

網絡安全法中對審計數據保存至少6個月日誌的要求，將對存儲的規模和數據分析的性能帶來大的挑戰和需求，數據庫審計產品也麵臨與外部第三方大數據平台融合的需求，對於大數據平台、NoSQL數據庫的監控與審計需求也將成為數據庫審計產品的重要的技術方向。

同時，市場需要更加專業的數據庫防火牆產品，並希望能夠有效的解決長期困擾的數據庫安全問題：

l  SQL注入攻擊

l  黑客或內部人員惡意利用不安全的數據庫配置或弱口令，對數據庫進行惡意操作或竊取敏感數據

l  各種數據隱私，健康，財務和信用卡規定，需要對違規情況下的訪問進行限製

三：數據庫脫敏和數據庫透明加密成為新的爆發點

隨著國家對政府數據共享與開放政策的加強，大數據的規模化應用，以及網絡安全法中對重要數據和敏感數據保護要求的加強，明確提出了對隱私和敏感數據匿名化要求；在這樣的大背景下，數據庫脫敏產品將像審計產品一樣，成為數據安全的重要組成部分；用戶越來越需要能夠滿足各種數據庫環境、數據格式多樣性的脫敏產品。

同時，隨著越來越多的數據庫向雲端遷移，以及新的網絡安全等級保護製度的落地，對數據庫加密的要求將變成“關鍵信息基礎設施”的剛性需求；用戶需要易部署、性能影響小、透明性好的數據庫加密產品。

四：敏感數據梳理和數據分類分級產品逐漸升溫

數據普遍成為資產，敏感數據資產的梳理作為產品和服務，很可能成為新的熱點。

同時，隨著政府數據共享、大數據戰略的發展，數據分類和分級將在數據生命周期管理中作為重要的基礎能力，將被廣泛應用到數據治理過程中。

五：數據水印產品將成為黑馬

政府數據的共享和交換，必須在網絡安全法、網絡安全等級保護製度的框架下，積極、科學、依法、確保安全的實施；

數據共享和交換典型的場景包括了：數據收集、數據整理、數據分發。這就給數據的管理者帶來的新的數據安全的挑戰：

這一挑戰，可以通過數據水印和溯源技術來解決：

數據水印：將水印信息嵌入到數據（包括數據庫和數據文件）中。它比普通嵌入到多媒體的水印技術要求高，需要在嵌入過程中盡可能小的修改原始數據，提取時要求數據不受損失，確保信息可以被用戶正常使用。

數據溯源：通過數據水印技術的應用，在數據泄露後對樣本數據進行水印的提取，並依據水印標記查詢出數據分發過程路徑及數據源。

安華金和雲數據安全產品線

安華金和作為中國專業、獨立於國內外各大雲平台的專業數據安全服務提供商，也是阿裏雲數據安全戰略合作夥伴，根據雲數據庫安全發展趨勢判斷，已經在雲端形成一套整體數據安全解決方案，完整覆蓋雲端數據安全問題，為阿裏雲用戶解決數據上雲後麵臨的需求與挑戰。

最後更新：2017-09-25 18:03:02

  上一篇：  “雲計算”在中國具有巨大的市場潛力

  下一篇：  米菲代理下單係統