中安威士 謝朕等
 

一、云上數(shù)據(jù)的安全問題

2017年3月，來自云安全公司MacKeeper的研究人員Chris Vickery發(fā)Twitter稱在美國發(fā)生一起“14億身份信息泄漏案”。2018年3月，著名的社交網(wǎng)絡服務網(wǎng)站Facebook被曝數(shù)據(jù)泄露，4月報道涉及用戶可能高達20億人，導致其股票下跌近20%。近日，國內(nèi)某著名互聯(lián)網(wǎng)IT巨頭CEO更是發(fā)出用戶愿意“用隱私換便捷”的驚人言論。此外，許多擁有龐大的個人和企業(yè)數(shù)據(jù)庫的公司都有導致數(shù)據(jù)泄露的歷史。這一系列事件再一次將數(shù)據(jù)安全問題推向風口浪尖。

針對如此多發(fā)且嚴重的數(shù)據(jù)泄漏事件，云端數(shù)據(jù)存儲的安全性問題就不得不引起人們的重視。目前諸多的個人信息、重要數(shù)據(jù)等都以明文的方式存儲在云端，這對企業(yè)來說已經(jīng)完全失去了對其的控制權，安全問題完全寄希望于云提供商。

在多次會議和沙龍中，企業(yè)首席信息安全官們探討了該問題，一致認為：應用層的加密組件是云安全的核心功能，要確保企業(yè)外的人（包括云提供商）無法查看或訪問這些數(shù)據(jù)，當數(shù)據(jù)離開企業(yè)的安全環(huán)境進入云服務提供商環(huán)境時，企業(yè)可以加密所有數(shù)據(jù)，并且只有企業(yè)有密鑰。

二、租戶存儲和使用云端數(shù)據(jù)的方式

• IaaS型數(shù)據(jù)庫（租戶自建數(shù)據(jù)庫）：

云服務供應商提供給用戶的是計算機基礎設施，用戶購買服務后自行安裝操作系統(tǒng)及數(shù)據(jù)庫。目前主流的云服務供應商都提供這種購買云主機的服務。由于數(shù)據(jù)庫是自行安裝的，云服務供應商無法直接獲取數(shù)據(jù)庫的內(nèi)容。但是數(shù)據(jù)庫的數(shù)據(jù)文件保存在云供應商提供的存儲上，供應商可以直接拷貝用戶數(shù)據(jù)文件從而獲得數(shù)據(jù)。

• SaaS型數(shù)據(jù)庫：

云服務供應商提供給租戶的是已經(jīng)封裝好的數(shù)據(jù)庫，用戶購買數(shù)據(jù)庫服務，獲得數(shù)據(jù)庫實例的使用權，可以在數(shù)據(jù)庫存儲與使用自己的數(shù)據(jù)。目前大多數(shù)云服務供應商都提供這種數(shù)據(jù)庫服務。在這種場景中，云服務供應商擁有數(shù)據(jù)庫宿主OS的ROOT權限，從而擁有最高的數(shù)據(jù)庫權限，可以毫無困難的直接操作租戶的所有數(shù)據(jù)。

• SaaS應用：

租戶通過云服務供應商提供的應用服務存取數(shù)據(jù)。例如在線CRM系統(tǒng)或在線OA系統(tǒng)中，租戶租用這種服務，并通過這種服務錄入和使用數(shù)據(jù)。租戶直接打開瀏覽器或APP就可以直接使用服務，所有的數(shù)據(jù)都由Web或APP與后端數(shù)據(jù)庫進行通訊。在這種情況下，租戶完全失去了對數(shù)據(jù)的控制能力：SaaS服務的供應商可以非常輕易的獲取租戶的信息，而云平臺供應商能否獲取到數(shù)據(jù)，則完全取決于SaaS服務的供應商對數(shù)據(jù)的保護措施。

三、云端數(shù)據(jù)加密方式

為了應對云端數(shù)據(jù)的威脅，對數(shù)據(jù)進行加密是一種有效的解決手段。為了確保安全性，這種加密必須是獨立于云平臺的，也就是說加密機制不能由云平臺自己來提供，除非可以證明秘鑰對云平臺是完全不可見的。根據(jù)加密位置以及適用場景的不同，在目前來看，有效的云數(shù)據(jù)加密方式有云加密數(shù)據(jù)庫、數(shù)據(jù)庫加密網(wǎng)關、以及云訪問安全代理三種。

1）云加密數(shù)據(jù)庫

使用具有加密功能的數(shù)據(jù)庫或者數(shù)據(jù)庫引擎。在數(shù)據(jù)庫將數(shù)據(jù)寫入文件時對數(shù)據(jù)進行加密，讀取數(shù)據(jù)時進行解密。數(shù)據(jù)文件被加密后，無法通過直接拷貝用戶數(shù)據(jù)文件盜取用戶數(shù)據(jù)。

這種方式通常具有相對較高的性能和透明性，對數(shù)據(jù)庫的觸發(fā)器，存儲過程等特性支持的比較全面。其缺點是防護能力有限，不能限制數(shù)據(jù)庫超級用戶的數(shù)據(jù)讀取權限。而且其通用性較差，僅適用于IaaS形式的租戶自建數(shù)據(jù)庫。

2）云數(shù)據(jù)庫安全代理(CDSB)

CDSB云數(shù)據(jù)加密網(wǎng)關作為數(shù)據(jù)庫的出入口，將所有數(shù)據(jù)加密后寫入數(shù)據(jù)庫，讀取數(shù)據(jù)的時候進行解密。通過網(wǎng)關訪問數(shù)據(jù)庫可以獲得明文數(shù)據(jù)，而越過網(wǎng)關直接讀取數(shù)據(jù)則只能獲得密文。

該加密方式具有較高的通用性，既適用于SaaS數(shù)據(jù)庫，也適用于IaaS數(shù)據(jù)庫。該方式為數(shù)據(jù)庫提供了統(tǒng)一的二次認證和二次鑒權機制，能夠很好的防止云平臺供應商訪問真實數(shù)據(jù)，從而具有良好的安全性。性能方面，加密網(wǎng)關通過SQL重寫，以及通過提供密文索引的方式，使得系統(tǒng)的整體性能較高。

3) 云訪問安全代理（CASB）

CASB應用加密網(wǎng)關主要設置在企業(yè)或個人的內(nèi)部網(wǎng)絡出口處，對于流出的數(shù)據(jù)進行統(tǒng)一加密并對流入的數(shù)據(jù)統(tǒng)一解密。

該加密方式不用考慮應用后端的數(shù)據(jù)庫類型，具有更高的通用性。且將加解密功能進行了分布式處理，具有較高的綜合性能。如果加密方法強度足夠的話，該方式在理論上具有較好的安全性。但是由于要考慮到加密后數(shù)據(jù)的檢索、格式的兼容等因素，所采用的加密算法強度不得不被降低。

四、CDSB和CASB的對比

由上述分析可知，CDSB數(shù)據(jù)庫加密網(wǎng)關和CASB應用加密網(wǎng)關都具有較高的安全性，本節(jié)對這兩種方式的適用性和安全性做進一步的深入對比分析。

1）適用性

兩種加密方式針對不同云端數(shù)據(jù)使用方式的適用性如下表所示：

從上表中可以看出，CDSB對于各種云端上數(shù)據(jù)使用方式都能較好的適用，而CASB方式只適用于SaaS應用的方式。由于兩種方式都適用于SaaS應用，下面部分就他們在SaaS應用環(huán)境下的安全性進行對比分析。

2) 抗統(tǒng)計分析攻擊性能

CDSB數(shù)據(jù)庫加密網(wǎng)關可以采用多樣性的加密算法，包括國密算法。也支持帶隨機鹽值的高強度加密算法，使得相同明文加密后的結果不同。這使得加密結果在對抗統(tǒng)計分析攻擊方面的安全性很高。

而CASB加密網(wǎng)關為了保持對應用系統(tǒng)的兼容，使得在加密算法的選擇上受限多多。比如，為了保持加密后數(shù)值類型的兼容，不得不采用格式保持加密（FPE），而這種加密方法的安全性還沒有得到權威部門的認可；而且為了保證加密后的檢索，由于沒有辦法在數(shù)據(jù)庫中直接建立密文索引，所以必須保持加密前后內(nèi)容的大小關系、位置信息、統(tǒng)計特征的一致性。

所以，CASB加密網(wǎng)關的加密強度，是遠遠小于CDSB數(shù)據(jù)庫加密網(wǎng)關的。

3）直接泄露明文可能性

在CDSB模式中，明文數(shù)據(jù)的直接泄露點包括應用服務端和前端的瀏覽器/APP。在CASB模式中，明文數(shù)據(jù)的直接泄露點在前端的瀏覽器/APP，也就是說，可以從APP端導出租戶的所有數(shù)據(jù)。而應用服務端和APP端在本質(zhì)上是同一個應用系統(tǒng)，所以當SaaS服務以APP方式提供時，CDSB和CASB模式的明文泄露風險是相當?shù)摹Ｖ挥挟敺諆H以WEB方式提供時，CASB的明文泄露風險才低于CDSB。

事實上，從上述分析可知，對于SaaS服務方式來說，目前還沒有絕對安全的數(shù)據(jù)加密方式。

五、使用數(shù)據(jù)庫加密網(wǎng)關對SaaS服務的數(shù)據(jù)進行加密

在SaaS服務中，眾多SaaS租戶的數(shù)據(jù)在服務后端統(tǒng)一存儲于一張大表中，通過租戶的ID進行區(qū)分和“隔離”。為了將不同租戶的數(shù)據(jù)通過加密進行隔離，除了使用CASB外，也可以使用CDSB數(shù)據(jù)庫加密網(wǎng)關來實現(xiàn)加密隔離。

如上圖所示，數(shù)據(jù)庫加密網(wǎng)關利用其行加密能力，通過利用租戶的ID，有區(qū)分的對不同租戶進行加密，且不同租戶的加密策略可以做到差異化。租戶可以直接控制數(shù)據(jù)庫加密網(wǎng)關進行自身數(shù)據(jù)的加密、秘鑰輪、加密服務的啟停等，真正實現(xiàn)對自己數(shù)據(jù)的掌控。

安全性上，如第四節(jié)所屬，CDSB與CASB的綜合安全性旗鼓相當。而且就數(shù)據(jù)加密強度來說，CDSB更勝一籌。