mysql資料庫審計-ag真人国际官网
① 哪裡有mysql workbench mac版安裝包
軟體介紹
mysql workbench 這款mac平台上專為mysql設計的資料庫設計工具,mysqlworkbench 為資料庫管理員、程序開發者和系統規劃師提供可視化設計、模型建立、以及資料庫管理功能。它包含了用於創建復雜的數據建模er模型,正向和逆向資料庫工程,也可以用於執行通常需要花費大量時間和需要的難以變更和管理的文檔任務。mysql workbench提供了一個可視化控制台,可以輕松管理mysql環境並更好地查看資料庫,在這款軟體中您可以使用內置的可視化工具來配置伺服器、管理用戶、執行備份和恢復、檢查審計數據以及查看資料庫運行狀況。另外,mysql workbench還提供了一套工具來改善mysql應用程序的性能。
所需工具:點擊下載:mysql workbench mac
軟體安裝說明
mysql workbench mac版安裝非常簡單,您只需要在下載完成後打開【mysqlworkbench.dmg】,然後將【mysql workbench.app】拖入【applications】文件夾即可完成安裝,安裝完成後就可以直接使用,無需任何破解步驟。
*安裝注意事項
此軟體並非app store原生版本,部分mac系統用戶可能無法直接安裝,若遇到【app已損壞,無法啟動。你應該將它移到廢紙簍。】提示時,建議進行以下操作:
1、打開系統偏好設置,選擇【安全性與隱私】
2、點擊右下角鎖狀圖標,輸入密碼解除鎖定
3、在【允許從以下位置下載的應用】的三個選項里,選擇最下方的【任何來源】
4、重新啟動程序
*如果打開【安全性與隱私】後沒有發現【允許從以下位置下載的應用】選項的用戶,可以進行以下操作:
1、復制括弧內代碼:【sudo spctl --master-disable】
2、在【應用程序】-【實用工具】中找到【終端.app】打開,粘貼之前復制的代碼,回車鍵運行
3、重新啟動程序
軟體功能:
1、設計
mysql workbench使dba,開發人員或數據架構師能夠可視化地設計,建模,生成和管理資料庫。它包含了數據建模師創建復雜er模型,轉發和逆向工程所需的一切,還提供了執行困難變更管理和文檔任務所需的大量時間和精力的關鍵功能。
2、發展
mysql workbench提供了用於創建,執行和優化sql查詢的可視化工具。 sql編輯器提供了顏色語法高亮顯示,自動完成,sql片段的重用以及sql的執行歷史記錄。資料庫連接面板使開發人員可以輕松管理標准資料庫連接,包括mysql fabric。對象瀏覽器提供對資料庫模式和對象的即時訪問。
2、管理
mysql workbench提供了一個可視化控制台,可以輕松管理mysql環境並更好地查看資料庫。開發人員和dba可以使用可視化工具來配置伺服器,管理用戶,執行備份和恢復,檢查審計數據以及查看資料庫運行狀況。
3、可視化性能儀錶板
mysql workbench提供了一套工具來改善mysql應用程序的性能。 dba可以使用performance dashboard快速查看關鍵績效指標。性能報告可輕松識別和訪問io熱點,高成本sql語句等。此外,只需點擊一下,開發人員就可以通過改進和易於使用的visual explain plan來查看優化查詢的位置。
4、資料庫遷移
mysql workbench現在提供了一個完整的,易於使用的解決方案,用於將microsoft sql server,microsoft access,sybase ase,postresql和其他rdbms表,對象和數據遷移到mysql。開發人員和dba可以快速輕松地將現有應用程序轉換為在windows和其他平台上運行在mysql上。遷移還支持從早期版本的mysql遷移到最新版本。
② 濡備綍鑷鍔ㄥ寲瀹屾垚sql瀹℃牳
sql瀹℃牳涓昏佸畬鎴愪袱鏂歸潰鐨勭洰鐨.
1銆侀伩鍏嶆ц兘澶宸鐨剆ql榪涘叆鐢熶駭緋葷粺,瀵艱嚧鏁翠綋鎬ц兘闄嶄綆
2銆佹鏌ュ紑鍙戣捐$殑緔㈠紩鏄鍚﹀悎鐞,鏄鍚﹂渶瑕佹坊鍔犵儲寮
絎涓鐐規槸sql瀹℃牳鏈鏍稿績鐨勫湴鏂,閬垮厤涔變竷鍏緋熺殑sql褰卞搷綰誇笂鎬ц兘,鐢氳嚦瀵艱嚧綰誇笂緋葷粺宕╂簝.
絎浜岀偣鏄灞炰簬寤烘ā鐨勮寖鐣,瑕佽в鍐沖緩妯$殑鏈濂藉姙娉曟槸dba鍙備笌欏圭洰鍓嶆湡瀹℃牳,鐢盌ba寤烘ā,濡傛灉dba浜哄姏璧勬簮涓嶈凍,閭d箞灝卞畾鏈熺敱dba瀵瑰紑鍙戜漢鍛樿繘琛屽煿璁.鐒跺悗鍙戠幇寤烘ā澶鐑傜殑灝辨墸kpi.
鐜板湪寰堝氬叕鍙擱兘鏄浜鴻倝鏉ュ畬鎴怱ql瀹℃牳鐨,浜鴻倝瀹℃牳瀵筪ba鐨勮佹眰杈冮珮,闇瑕佹噦涓浜涗唬鐮,鍙﹀栨槸璐規椂璐瑰姏,姣曠珶涓鑸鍏鍙稿嚑鍗佷釜寮鍙,瀵瑰簲涓涓狣ba錛岃屼笖dba榪樿佸共寰堝氬叾浠栫殑浜嬫儏.
濡備綍灝咲ba浠庝漢鑲塖ql瀹℃牳涓瑙f斁鍑烘潵鍛?
鎬濊礬鍏跺疄寰堢畝鍗:
1銆佽幏鍙栫▼搴忚佹墽琛岀殑sql
2銆佸硅佹墽琛岀殑sql鍋氬垎鏋,鍙浠ュ姞鍚勭嶅垎鏋愭潯浠舵潵鍒ゆ柇榪欎釜sql鏄鍚﹀彲浠ヨ嚜鍔ㄥ℃牳閫氳繃,鏈閫氳繃瀹℃牳鐨勯渶瑕佷漢宸ュ勭悊.
3銆侀厤鍚堝悗鏈熺殑鎱㈡煡璇㈡棩蹇楀垎鏋愮郴緇熷畬鎴愰暱鏈熺殑鐩戞帶.
寮婧愮殑瑙e喅鏂規堜富瑕佹湁娣樺疂涓硅嚕sqlautoreview緋葷粺.鍙浠ュ湪github涓婃悳緔㈠埌.
浣嗘槸榪欎釜緋葷粺涓昏佹槸鍩轟簬java sqlmapfile.xml瑙e喅鑷鍔ㄥ壋寤虹儲寮曠殑闂棰,瀵規簮鏁版嵁鏈夎佹眰,騫朵笖鏄閫氳繃瑙f瀽sql緇撴瀯鏉ュ亣璁維ql鐨勬墽琛岃″垝,涓嶆槸鐗瑰埆鍑嗙『,騫朵笖涓嶈兘澶熷緢濂界殑鍖哄垎鏂皊ql榪樻槸鑰乻ql.
鎵浠ヤ駭鐢熶簡涓涓鏂扮殑鏂規:
1銆佷負鎵鏈夌殑鎵ц岃繃鐨剆ql浜х敓涓涓猣igerprint
2銆佸熀浜庢參鏌ヨ㈡彁渚涚殑鏁版嵁,鍔犱笂explain 鎻愪緵鐨勬暟鎹鏉ュ垽鏂榪欎釜sql鐨勬ц兘鏄鍚﹀彲鎺ュ彈,鎴栬呭彲浼樺寲.
3銆佽嚜鍔ㄥ℃牳閫氳繃鎬ц兘鍙鎺ュ彈鐨勯儴鍒,緇橠ba灞曠ず鎬ц兘杈冨樊鐨剆ql,鐒跺悗榪涜屼紭鍖.
鏂規堢殑浼樼偣鍦ㄤ簬:
鍩轟簬鐢ㄦ埛鐪熸f墽琛岀殑sql,騫朵笖鍙浠ヨ傚療sql鎵ц岄戠巼.
鍩轟簬mysql鐪熸g殑鎵ц岃″垝鍜屾墽琛岀粨鏋,鍒嗘瀽鏇村噯紜.
姣忎釜sql閮芥湁涓涓猣ingerprint,鍙闇瑕佸為噺澶勭悊鏂板姞鐨凷ql,鏁堢巼鍜屾ц兘鎻愰珮.
鍩轟簬box anemometer浜屾″紑鍙,璁╂參鏌ヨ㈠拰sql瀹℃牳鍚屽鉤鍙,澧炲姞宸ュ叿闆嗘垚鎬,鎻愰珮鐢ㄦ埛浣撻獙(dba鍜屽紑鍙戜漢鍛)銆
鏂規堝疄鏂:
鏃㈢劧鍜辨槸dba錛岃偗瀹氫細鏈夋洿dba鐨勬濈淮鏂瑰紡.鍩轟簬鐜版湁杞浠朵簩嬈″紑鍙戝畬鎴,鍑忓皯寮鍙戞垚鏈,鏁村悎綆$悊騫沖彴.
鍩轟簬box anemometer.瀹夎匓ox anemometer
box anemometer鏄涓嬈綛/s鏋舵瀯,鍥懼艦鍖栫殑mysql鎱㈡煡璇㈠垎鏋愬伐鍏.鍔熻兘寮哄ぇ鏄撶敤,璁捐$畝鍗曠洿鎺.anemometer鏄鍩轟簬pt-query-digest鐨勪簩嬈″皝瑁呭緱鏉.
鏍稿績澶勭悊嫻佺▼:
mysql node鈥>璁″垝浠誨姟閫氳繃pt-query-digest鏀墮泦鎱㈡煡璇淇℃伅鈥>緇撴灉鍐欏叆鍒版暟鎹搴撲腑鈥>anemometer鎸夋潯浠跺幓灞曠ず鎱㈡煡璇㈢殑緇撴灉,騫朵笖鎻愪緵浜嗗浘褰㈠寲鍜岃秼鍔垮垎甯冨浘絳夊姛鑳.
鎵浠anemometer宸茬粡甯鎴戜滑瀹屾垚浜嗘暟鎹鏀墮泦,鍖呮嫭姣忎釜sql鐨刦ingerprint淇℃伅,浠ュ強鐩稿叧鐨勪俊鎮,鎴戜滑鍦ㄦ祴璇曠幆澧,鍩轟簬anemometer,灝唋ong_query_time璁劇疆涓0,灝卞彲浠ユ敹闆嗗埌鎵浠ョ殑sql鍙婄浉鍏充俊鎮.
鍦ㄦ垜浠鏀墮泦鍒版墍鏈塖ql浠ュ悗,鎴戜滑灝辮佹潵鍒嗘瀽榪欎釜sql鏄鍚﹀彲浠ヨ嚜鍔ㄥ℃牳閫氳繃.榪欓噷寮濮嬫垜浠灝辮佸畾鍒朵簡.
瀹氬埗鍐呭瑰備笅:
涓銆
璁劇疆涓涓鍗曠嫭鐨刣atasources,鍙浠ュ懡鍚嶄負audit_sql.
榪欎釜datasources閲岄潰鍙鏀劇疆寮鍙戠幆澧冩垨鑰呮祴璇曠幆澧冪殑鎱㈡煡璇(浣犺佸仛sql瀹℃牳鍩轟簬鍝涓鐜澧),灝嗘ょ幆澧冪殑long_query_time璁劇疆涓0,鎺ユ敹鎵鏈夌殑sql鏌ヨ.
浜屻佷慨鏀筧nemometer
alter table `global_query_review` add audit_status varchar(255) not
null default 鈥榬efuse鈥 comment 鈥榮ql瀹¤$殑鐘舵 refuse鏈閫氳繃 pass瀹℃牳閫氳繃鈥;
淇鏀筆hp浠g爜.
鍦╮eport妯″潡鐨剋here鏉′歡涓澧炲姞涓涓獮it status鐨勯夐」妗,鍙浠ヨ繃婊audit_status鐨勭姸鎬
鍦╯how_query妯″潡涓澧炲姞涓涓獮udit status鐨勯夐」妗,鍙浠ヤ漢宸ヨ劇疆audit_status鐨勭姸鎬
涓夈佸炲姞涓や釜棰濆栫殑鑴氭湰,鍑嗗疄鏃剁殑鍒嗘瀽audit_status涓簉efuse鐨剆ql,濡傛灉sql鐨勬弧瓚寵嚜鍔ㄥ℃牳閫氳繃鐨勬潯浠,閭d箞灝辮劇疆audit_status涓簆ass,琛ㄧず鑷鍔ㄥ℃牳閫氳繃.
鑷鍔ㄥ℃牳鏈閫氳繃鐨剆ql,鐢盌ba浜哄伐鍦╝nemometer涓婃緔㈠拰澶勭悊.
榪欓噷灝辨秹鍙婂埌涓涓鑷鍔ㄥ℃牳閫氳繃鐨勭畻娉:
綆楁硶鍒嗕袱縐.
絎涓縐嶆槸鍑嗗疄鏃,涔熷氨鏄鍙浠ュ嚑鍒嗛挓鎴栬呬竴涓灝忔椂榪愯屼竴嬈,涓昏佹槸鏍規嵁姣忎釜sql鐨勬墽琛屾晥鐜囧垽鏂鏄鍚pass.
瀵瑰簲鐨勮剼鏈鍚嶅瓧鍙鍋:audit_sql.py
絎浜岀嶆槸涓澶╀竴嬈,寮卞寲鎵ц屾晥鐜囧垽鏂,澧炲姞涓澶╂墽琛岀殑棰戠巼鍒ゆ柇.
瀵瑰簲鐨勮剼鏈鍚嶅瓧鍙鍋:audit_sql_day.py
鍚勫舵牴鎹鑷宸辯殑瀹為檯鎯呭喌璋冩暣鎴栬呬紭鍖栬繖涓や釜鑴氭湰.
鑷蟲,浣犲凡緇忓彲浠ヨ99%浠ヤ笂鐨勪唬鐮佽嚜鍔ㄥ℃牳閫氳繃浜,瀹℃牳涓嶉氳繃鐨勪唬鐮佷綘鍙浠ヨ╁紑鍙戣嚜宸辨潵tracking涔熷彲浠ヤ富鍔ㄦ帹緇欏紑鍙.
瀵逛簬鎵嶆惌寤虹殑鐜澧,鍙鑳戒細鏈変竴浜涗貢涓冨叓緋熺殑sql,涓嶈繃浣跨敤涓孌墊椂闂寸ǔ瀹氫互鍚,寮傚父鐨剆ql鎸囩汗閮芥湁浜,閭d箞姣忓ぉ浜х敓鐨剆ql鎸囩汗灝辨瘮杈冨皯浜,鑰岃繖閮ㄥ垎sql鎸囩汗涔熷氨鏄紼嬪簭鍛樼紪鍐欐柊鐨勪唬鐮佷駭鐢熺殑.
③ 濡備綍璁劇疆鍚堢悊鐨刴ysql鐨勫弬鏁
涓轟簡璁劇疆鍚堢悊鐨凪ysql鍙傛暟錛岄渶瑕佹牴鎹瀹為檯鎯呭喌鍜屼嬌鐢ㄥ満鏅鏉ヨ繘琛岃皟鏁淬傞氬父鑰岃█錛屼綘搴旇ュ叧娉ㄤ互涓嬪嚑涓鏂歸潰錛
榪炴帴鏁伴噺: 鍦∕ysql涓鏈変竴涓猰ax_connections鍙傛暟錛岀敤浜庨檺鍒禡ysql鏈嶅姟鍣ㄨ兘澶熷悓鏃舵敮鎸佺殑瀹㈡埛絝榪炴帴鏁般
鏁版嵁搴撶紦瀛: mysql鏈変竴涓猶uery_cache鍙傛暟錛岀敤浜庤劇疆鏌ヨ㈢粨鏋滅殑緙撳瓨澶у皬錛屼互渚垮姞蹇瀵圭浉鍚孲ql璇鍙ョ殑澶氭℃墽琛屻
鏁版嵁搴撴棩蹇: mysql鏈変竴涓猯og_error鍙傛暟錛岀敤浜庤劇疆鏃ュ織鏂囦歡鐨勪綅緗鍜屽ぇ灝忥紝浠ヤ究鏇村ソ鍦扮洃鎺mysql鐨勮繍琛屾儏鍐點
ninedata鏄涓嬈鵑潪甯告湁鐗硅壊鐨勬暟鎹搴揝ql寮鍙戜駭鍝侊紝瀵筂ysql甯哥敤鍔熻兘鏀鎸侀潪甯稿畬鏁達紝鍖呮嫭鏅鴻兘鐨凷ql琛ュ叏銆丼ql鎵ц屽巻鍙層佺粨鏋滈泦緙栬緫銆佹暟鎹瀵規瘮銆佺粨鏋勫規瘮銆佹暟鎹榪佺щ涓庡嶅埗絳夈傚畠閲囩敤saas鏋舵瀯妯″紡錛岀敤鎴蜂笉浠呭彲浠ュ厤璐逛嬌鐢錛岃屼笖鏃犻渶涓嬭澆瀹夎咃紝涓婃墜姣旇緝綆鍗曘侼inedata浜у搧鏇存柊榪浠f瘮杈冩晱鎹鳳紝瀵逛簬寮鍙戣呯殑鏂伴渶奼傚搷搴旀瘮杈冭繀閫熴傚彟澶栵紝璇ヤ駭鍝佸湪澶氫簯閫傞厤涓婃槸鍏墮噸瑕佺殑寮洪」錛屾敮鎸佸氱嶈繛鎺ュ拰璁塊棶浜戞暟鎹搴撶殑鏂瑰紡錛屽歸樋閲屼簯銆佽吘璁浜戙佸崕涓轟簯銆丄ws絳夐兘鏈夋瘮杈冨ソ鐨勬敮鎸併傚彟澶栵紝涔熼傞厤鍥藉唴姣旇緝嫻佽岀殑polardb銆丟aussdb銆乀dsql絳夋暟鎹搴撱
瀵逛簬鏂扮敤鎴種inedata榪樹細璧犻佷袱涓紺轟緥鏁版嵁搴擄紝渚涚敤鎴蜂嬌鐢ㄣ傚彟澶栵紝ninedata榪樻彁渚涗簡浼佷笟綰sql寮鍙戣兘鍔涳紝鏀鎸佸氱敤鎴風$悊銆佹暟鎹搴撹塊棶鏉冮檺鎺у埗銆佸彉鏇存祦紼嬨丼ql瑙勮寖銆丼ql涓庢搷浣滃¤$瓑鍐呭癸紝鍙浠ヨ緝濂界殑瑙e喅浼佷笟鍐呭氫漢鍗忎綔璁塊棶鏁版嵁搴撶殑闂棰樸
④ 在it項目建設中,如何保證資料庫安全性
#雲原生背景#
雲計算是信息技術發展和服務模式創新的集中體現,是信息化發展的重要變革和必然趨勢。隨著「新基建」加速布局,以及企業數字化轉型的逐步深入,如何深化用雲進一步提升雲計算使用效能成為現階段雲計算發展的重點。雲原生以其高效穩定、快速響應的特點極大地釋放了雲計算效能,成為企業數字業務應用創新的原動力,雲原生進入快速發展階段,就像集裝箱加速貿易全球化進程一樣,雲原生技術正在助力雲計算普及和企業數字化轉型。
雲原生計算基金會(cncf)對雲原生的定義是:雲原生技術有利於各組織在公有雲、私有雲和混合雲等新型動態環境中,構建和運行可彈性擴展的應用。雲原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式編程api。
#雲安全時代市場發展#
雲安全幾乎是伴隨著雲計算市場而發展起來的,雲基礎設施投資的快速增長,無疑為雲安全發展提供土壤。根據 idc 數據,2020 年全球雲安全支出占雲 it 支出比例僅為 1.1%,說明目前雲安全支出遠遠不夠,假設這一比例提升至 5%,那麼2020 年全球雲安全市場空間可達 53.2 億美元,2023 年可達 108.9 億美元。
海外雲安全市場:技術創新與兼並整合活躍。整體來看,海外雲安全市場正處於快速發展階段,技術創新活躍,兼並整合頻繁。一方面,雲安全技術創新活躍,並呈現融合發展趨勢。例如,綜合型安全公司 paloalto 的 prisma 產品線將 cwpp、cspm 和 casb 三個雲安全技術產品統一融合,提供綜合解決方案及 sase、容器安全、微隔離等一系列雲上安全能力。另一方面,新興的雲安全企業快速發展,同時,傳統安全供應商也通過自研 兼並的方式加強雲安全布局。
國內雲安全市場:市場空間廣闊,尚處於技術追隨階段。市場規模上,根據中國信通院數據,2019 年我國雲計算整體市場規模達 1334.5億元,增速 38.6%。預計 2020-2022 年仍將處於快速增長階段,到 2023 年市場規模將超過 3754.2 億元。中性假設下,安全投入占雲計算市場規模的 3%-5%,那麼 2023 年中國雲安全市場規模有望達到 112.6 億-187.7 億元。技術發展上,中國在雲計算的發展階段和雲原生技術的程度上與海外市場還有一定差距。國內 cwpp 技術應用較為廣泛,對於 casb、cspm 一些新興的雲安全技術應用較少。但隨著國內公有雲市場的加速發展,雲原生技術的應用越來越廣泛,我們認為casb、scpm、sase 等新興技術在國內的應用也將越來越廣泛。
#雲上安全呈原生化發展趨勢#
雲原生技術逐漸成為雲計算市場新趨勢,所帶來的安全問題更為復雜。以容器、服務網格、微服務等為代表的雲原生技術,正在影響各行各業的 it 基礎設施、平台和應用系統,也在滲透到如 it/ot 融合的工業互聯網、it/ct 融合的 5g、邊緣計算等新型基礎設施中。隨著雲原生越來越多的落地應用,其相關的安全風險與威脅也不斷的顯現出來。docker/kubernetes 等服務暴露問題、特斯拉 kubernetes 集群挖礦事件、docker hub 中的容器鏡像被「投毒」注入挖礦程序、微軟 azure 安全中心檢測到大規模 kubernetes 挖礦事件、graboid 蠕蟲挖礦傳播事件等一系列針對雲原生的安全攻擊事件層出不窮。
從各種各樣的安全風險中可以一窺雲原生技術的安全態勢,雲原生環境仍然存在許多安全問題亟待解決。在雲原生技術的落地過程中,安全是必須要考慮的重要因素。
#雲原生安全的定義#
國內外各組織、企業對雲原生安全理念的解釋略有差異,結合我國產業現狀與痛點,雲原生與雲計算安全相似,雲原生安全也包含兩層含義:「面向雲原生環境的安全」和「具有雲原生特徵的安全」。
面向雲原生環境的安全,其目標是防護雲原生環境中的基礎設施、編排系統和微服務的安全。這類安全機制,不一定具備雲原生的特性(比如容器化、可編排),它們可以是傳統模式部署的,甚至是硬體設備,但其作用是保護日益普及的雲原生環境。
具有雲原生特徵的安全,是指具有雲原生的彈性敏捷、輕量級、可編排等特性的各類安全機制。雲原生是一種理念上的創新,通過容器化、資源編排和微服務重構了傳統的開發運營體系,加速業務上線和變更的速度,因而,雲原生系統的種種優良特性同樣會給安全廠商帶來很大的啟發,重構安全產品、平台,改變其交付、更新模式。
#雲原生安全理念構建#
為緩解傳統安全防護建設中存在的痛點,促進雲計算成為更加安全可信的信息基礎設施,助力雲客戶更加安全的使用雲計算,雲原生安全理念興起,國內外第三方組織、服務商紛紛提出以原生為核心構建和發展雲安全。
gartner提倡以雲原生思維建設雲安全體系
基於雲原生思維,gartner提出的雲安全體系覆蓋八方面。其中,基礎設施配置、身份和訪問管理兩部分由雲服務商作為基礎能力提供,其它六部分,包括持續的雲安全態勢管理,全方位的可視化、日誌、審計和評估,工作負載安全,應用、paas 和 api 安全,擴展的數據保護,雲威脅檢測,客戶需基於安全產品實現。
forrester評估公有雲平台原生安全能力
forrester認為公有雲平台原生安全(public cloud platform native security, pcpns)應從三大類、37 個方面去衡量。從已提供的產品和功能,以及未來戰略規劃可以看出,一是考察雲服務商自身的安全能力和建設情況,如數據中心安全、內部人員等,二是雲平台具備的基礎安全功能,如幫助和文檔、授權和認證等,三是為用戶提供的原生安全產品,如容器安全、數據安全等。
安全狗以4項工作防護體系建設雲原生安全
(1)結合雲原生技術的具體落地情況開展並落實最小許可權、縱深防禦工作,對於雲原生環境中的各種組成部分,均可貫徹落實「安全左移」的原則,進行安全基線配置,防範於未然。而對於微服務架構web應用以及serverless應用的防護而言,其重點是應用安全問題。
(2)圍繞雲原生應用的生命周期來進行devsecops建設,以當前的雲原生環境的關鍵技術棧「k8s docker」舉例進行分析。應該在容器的全生命周期注重「配置安全」,在項目構建時注重「鏡像安全」,在項目部署時注重「容器准入」,在容器的運行環境注重雲計算的三要素「計算」「網路」以及「存儲」等方面的安全問題。
(3)圍繞攻擊前、中、後的安全實施准則進行構建,可依據安全實施准則對攻擊前、中、後這三個階段開展檢測與防禦工作。
(4)改造並綜合運用現有雲安全技術,不應將「雲原生安全」視為一個獨立的命題,為雲原生環境提供更多支持的主機安全、微隔離等技術可賦能於雲原生安全。
#雲原生安全新型風險#
雲原生架構的安全風險包含雲原生基礎設施自身的安全風險,以及上層應用雲原生化改造後新增和擴大的安全風險。雲原生環境面臨著嚴峻的安全風險問題。攻擊者可能利用的重要攻擊麵包括但不限於:容器安全、編排系統、軟體供應鏈等。下面對重要的攻擊面安全風險問題進行梳理。
#雲原生安全問題梳理#
問題1:容器安全問題
在雲原生應用和服務平台的構建過程中,容器技術憑借高彈性、敏捷的特性,成為雲原生應用場景下的重要技術支撐,因而容器安全也是雲原生安全的重要基石。
(1)容器鏡像不安全
sysdig的報告中提到,在用戶的生產環境中,會將公開的鏡像倉庫作為軟體源,如最大的容器鏡像倉庫docker hub。一方面,很多開源軟體會在docker hub上發布容器鏡像。另一方面,開發者通常會直接下載公開倉庫中的容器鏡像,或者基於這些基礎鏡像定製自己的鏡像,整個過程非常方便、高效。然而,docker hub上的鏡像安全並不理想,有大量的官方鏡像存在高危漏洞,如果使用了這些帶高危漏洞的鏡像,就會極大的增加容器和主機的入侵風險。目前容器鏡像的安全問題主要有以下三點:
1.不安全的第三方組件
在實際的容器化應用開發過程當中,很少從零開始構建鏡像,而是在基礎鏡像之上增加自己的程序和代碼,然後統一打包最終的業務鏡像並上線運行,這導致許多開發者根本不知道基礎鏡像中包含多少組件,以及包含哪些組件,包含的組件越多,可能存在的漏洞就越多。
2.惡意鏡像
公共鏡像倉庫中可能存在第三方上傳的惡意鏡像,如果使用了這些惡意鏡像來創建容器後,將會影響容器和應用程序的安全
3.敏感信息泄露
為了開發和調試的方便,開發者將敏感信息存在配置文件中,例如資料庫密碼、證書和密鑰等內容,在構建鏡像時,這些敏感信息跟隨配置文件一並打包進鏡像,從而造成敏感信息泄露
(2)容器生命周期的時間短
雲原生技術以其敏捷、可靠的特點驅動引領企業的業務發展,成為企業數字業務應用創新的原動力。在容器環境下,一部分容器是以docker的命令啟動和管理的,還有大量的容器是通過kubernetes容器編排系統啟動和管理,帶來了容器在構建、部署、運行,快速敏捷的特點,大量容器生命周期短於1小時,這樣一來容器的生命周期防護較傳統虛擬化環境發生了巨大的變化,容器的全生命周期防護存在很大變數。對防守者而言,需要採用傳統異常檢測和行為分析相結合的方式,來適應短容器生命周期的場景。
傳統的異常檢測採用waf、ids等設備,其規則庫已經很完善,通過這種檢測方法能夠直觀的展示出存在的威脅,在容器環境下,這種方法仍然適用。
傳統的異常檢測能夠快速、精確地發現已知威脅,但大多數未知威脅是無法通過規則庫匹配到的,因而需要通過行為分析機制來從大量模式中將異常模式分析出來。一般來說,一段生產運營時間內的業務模式是相對固定的,這意味著,業務行為是可以預測的,無論啟動多少個容器,容器內部的行為總是相似的。通過機器學習、採集進程行為,自動構建出合理的基線,利用這些基線對容器內的未知威脅進行檢測。
(3)容器運行時安全
容器技術帶來便利的同時,往往會忽略容器運行時的安全加固,由於容器的生命周期短、輕量級的特性,傳統在宿主機或虛擬機上安裝殺毒軟體來對一個運行一兩個進程的容器進行防護,顯示費時費力且消耗資源,但在黑客眼裡容器和裸奔沒有什麼區別。容器運行時安全主要關注點:
1.不安全的容器應用
與傳統的web安全類似,容器環境下也會存在sql注入、xss、rce、xxe等漏洞,容器在對外提供服務的同時,就有可能被攻擊者利用,從而導致容器被入侵
2.容器ddos攻擊
默認情況下,docker並不會對容器的資源使用進行限制,默認情況下可以無限使用cpu、內存、硬碟資源,造成不同層面的ddos攻擊
(4)容器微隔離
在容器環境中,與傳統網路相比,容器的生命周期變得短了很多,其變化頻率也快很多。容器之間有著復雜的訪問關系,尤其是當容器數量達到一定規模以後,這種訪問關系帶來的東西向流量,將會變得異常的龐大和復雜。因此,在容器環境中,網路的隔離需求已經不僅僅是物理網路的隔離,而是變成了容器與容器之間、容器組與宿主機之間、宿主機與宿主機之間的隔離。
問題2:雲原生等保合規問題
等級保護2.0中,針對雲計算等新技術、新應用領域的個性安全保護需求提出安全擴展要求,形成新的網路安全等級保護基本要求標准。雖然編寫了雲計算的安全擴展要求,但是由於編寫周期很長,編寫時主流還是虛擬化場景,而沒有考慮到容器化、微服務、無服務等雲原生場景,等級保護2.0中的所有標准不能完全保證適用於目前雲原生環境;
通過安全狗在雲安全領域的經驗和具體實踐,對於雲計算安全擴展要求中訪問控制的控制點,需要檢測主機賬號安全,設置不同賬號對不同容器的訪問許可權,保證容器在構建、部署、運行時訪問控制策略隨其遷移;
對於入侵防範制的控制點,需要可視化管理,繪制業務拓撲圖,對主機入侵進行全方位的防範,控制業務流量訪問,檢測惡意代碼感染及蔓延的情況;
鏡像和快照保護的控制的,需要對鏡像和快照進行保護,保障容器鏡像的完整性、可用性和保密性,防止敏感信息泄露。
問題3:宿主機安全
容器與宿主機共享操作系統內核,因此宿主機的配置對容器運行的安全有著重要的影響,比如宿主機安裝了有漏洞的軟體可能會導致任意代碼執行風險,埠無限制開放可能會導致任意用戶訪問的風險。通過部署主機入侵監測及安全防護系統,提供主機資產管理、主機安全加固、風險漏洞識別、防範入侵行為、問題主機隔離等功能,各個功能之間進行聯動,建立採集、檢測、監測、防禦、捕獲一體化的安全閉環管理系統,對主機進行全方位的安全防護,協助用戶及時定位已經失陷的主機,響應已知、未知威脅風險,避免內部大面積主機安全事件的發生。
問題4:編排系統問題
編排系統支撐著諸多雲原生應用,如無服務、服務網格等,這些新型的微服務體系也同樣存在著安全問題。例如攻擊者編寫一段代碼獲得容器的shell許可權,進而對容器網路進行滲透橫移,造成巨大損失。
kubernetes架構設計的復雜性,啟動一個pod資源需要涉及api server、controller、manager、scheler等組件,因而每個組件自身的安全能力顯的尤為重要。api server組件提供的認證授權、准入控制,進行細粒度訪問控制、secret資源提供密鑰管理及pod自身提供安全策略和網路策略,合理使用這些機制可以有效實現kubernetes的安全加固。
問題5:軟體供應鏈安全問題
通常一個項目中會使用大量的開源軟體,根據gartner統計至少有95%的企業會在關鍵it產品中使用開源軟體,這些來自互聯網的開源軟體可能本身就帶有病毒、這些開源軟體中使用了哪些組件也不了解,導致當開源軟體中存在0day或nday漏洞,我們根本無法獲悉。
開源軟體漏洞無法根治,容器自身的安全問題可能會給開發階段帶的各個過程帶來風險,我們能做的是根據sdl原則,從開發階段就開始對軟體安全性進行合理的評估和控制,來提升整個供應鏈的質量。
問題6:安全運營成本問題
雖然容器的生命周期很短,但是包羅萬象。對容器的全生命周期防護時,會對容器構建、部署、運行時進行異常檢測和安全防護,隨之而來的就是高成本的投入,對成千上萬容器中的進程行為進程檢測和分析,會消耗宿主機處理器和內存資源,日誌傳輸會佔用網路帶寬,行為檢測會消耗計算資源,當環境中容器數量巨大時,對應的安全運營成本就會急劇增加。
問題7:如何提升安全防護效果
關於安全運營成本問題中,我們了解到容器安全運營成本較高,我們該如何降低安全運營成本的同時,提升安全防護效果呢?這就引入一個業界比較流行的詞「安全左移」,將軟體生命周期從左到右展開,即開發、測試、集成、部署、運行,安全左移的含義就是將安全防護從傳統運營轉向開發側,開發側主要設計開發軟體、軟體供應鏈安全和鏡像安全。
因此,想要降低雲原生場景下的安全運營成本,提升運營效率,那麼首先就要進行「安全左移」,也就是從運營安全轉向開發安全,主要考慮開發安全、軟體供應鏈安全、鏡像安全和配置核查:
開發安全
需要團隊關注代碼漏洞,比如使用進行代碼審計,找到因缺少安全意識造成的漏洞和因邏輯問題造成的代碼邏輯漏洞。
供應鏈安全
可以使用代碼檢查工具進行持續性的安全評估。
鏡像安全
使用鏡像漏洞掃描工具持續對自由倉庫中的鏡像進行持續評估,對存在風險的鏡像進行及時更新。
配置核查
核查包括暴露面、宿主機加固、資產管理等,來提升攻擊者利用漏洞的難度。
問題8:安全配置和密鑰憑證管理問題
安全配置不規范、密鑰憑證不理想也是雲原生的一大風險點。雲原生應用會存在大量與中間件、後端服務的交互,為了簡便,很多開發者將訪問憑證、密鑰文件直接存放在代碼中,或者將一些線上資源的訪問憑證設置為弱口令,導致攻擊者很容易獲得訪問敏感數據的許可權。
#雲原生安全未來展望#
從日益新增的新型攻擊威脅來看,雲原生的安全將成為今後網路安全防護的關鍵。伴隨著att&ck的不斷積累和相關技術的日益完善,att&ck也已增加了容器矩陣的內容。att&ck是對抗戰術、技術和常識(adversarial tactics, techniques, and common knowledge)的縮寫,是一個攻擊行為知識庫和威脅建模模型,它包含眾多威脅組織及其使用的工具和攻擊技術。這一開源的對抗戰術和技術的知識庫已經對安全行業產生了廣泛而深刻的影響。
雲原生安全的備受關注,使attack matrix for container on cloud的出現恰合時宜。att&ck讓我們從行為的視角來看待攻擊者和防禦措施,讓相對抽象的容器攻擊技術和工具變得有跡可循。結合att&ck框架進行模擬紅藍對抗,評估企業目前的安全能力,對提升企業安全防護能力是很好的參考。