• 云小课|三大灵魂拷问GaussDB(DWS)数据落盘安全问题

    阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。

    摘要:GaussDB(DWS)作为一款运行在华为云上的核心数据仓库,客户大量的数据存储在DWS的数据节点中,DWS不仅拥有海量数据查询的极致性能,在安全方面还需要有加固防护措施。当前数据库都是多个用户共同访问数据,这些数据都具有重要价值,关系到用户的核心资产和用户隐私,如何禁止别有用心的用户窃取以及黑客攻击,本课程给您提供数据的安全管理方法。

    本文分享自《云小课|GaussDB(DWS)数据落盘安全吗?来直面三大灵魂拷问!》,原文作者:阅识风云

    GaussDB(DWS)作为一款运行在华为云上的核心数据仓库,客户大量的数据存储在DWS的数据节点中,DWS不仅拥有海量数据查询的极致性能,在安全方面还需要有加固防护措施。

    当前数据库都是多个用户共同访问数据,这些数据都具有重要价值,关系到用户的核心资产和用户隐私,如何禁止别有用心的用户窃取以及黑客攻击,本课程给您提供数据的安全管理方法。

    云数仓安全层层防护

    • 云数仓外部:由华为云的云安全管理产品保驾护航。如:Anti-DDoS、DDoS、Web应用防火墙、漏洞扫描服务、企业主机安全、数据加密服务、SSL证书管理、云堡垒机等。

    • 云数仓内部:主要通过三权分立、行级访问控制、审计管理三种方式进行防护。这三方式结合到数据开发实际场景中,简单可以概括为(1)谁能看?(2)能看啥?(3)看没看? 下面我们从这三个方面一一介绍:

    (1)谁能看?

    通过DWS三权分立模型,将管理员分成三类:系统管理员,安全管理员和审计管理员,不存在“一手遮天”的管理员,当某个管理员密码泄露时,使数据库破坏降到最低。从此各司其职,安全管理员负责用户,审计管理员负责日志审计,系统管理员负责系统运维。

    开启三权分立后,对象权限变化如下表说明:

    开启方法:

    1、录GaussDB(DWS) 管理控制台。在左侧导航树中,单击“集群管理”。

    2、在集群列表中,单击指定集群的名称,然后单击“安全设置”,打开三权分立开关。

    依次设置安全管理员用户名、密码、审计管理员用户、密码。

    3、单击“应用”。在弹出的“保存配置”窗口中,选择是否勾选“立即重启集群”,然后单击“是”,重启后生效。

    (2)能看啥?

    行级访问控制特性是将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。即同一张表,不同用户只能查看自身相关的数据信息,不能查看其他用户的数据信息。

    GaussDB(DWS)主要通过“ALTER TABLE tablename ENABLE ROW LEVEL SECURITY”语法实现行级访问控制,示例如下:

    1、创建用户alice, bob, peter。

    2、创建表public.all_data,包含不同用户数据信息。

    3、向数据表插入数据。

    4、将表all_data的读取权限赋予alice,bob和peter用户。

    5、打开行访问控制策略开关。

    6、创建行访问控制策略,当前用户只能查看用户自身的数据。

    7、查看表详细信息。

    8、切换至用户alice,执行SQL"SELECT * FROM all_data"

    9、切换至用户peter,执行SQL"SELECT * FROM .all_data"

    (3)看没看?

    GaussDB(DWS) 支持对特定数据库操作记录审计日志,包括:日志保留策略、用户越权访问、存储过程以及对数据库对象的DML、SELECT、COPY和DDL操作。

    审计日志配置后,当GaussDB(DWS) 集群状态异常,或根据业务需要,用户可以查询审计信息确定故障原因或定位历史操作记录。

    配置方法:

    1. 登录GaussDB(DWS) 管理控制台。单击“集群管理”。
    2. 在集群列表中,单击指定集群的名称,然后单击“安全设置”。
    3. 在“审计配置”区域中,设置审计日志保留策略。

    4、根据需要设置以下操作的审计开关。

    GaussDB(DWS) 默认还开启了以下的关键审计项。

    5、设置是否开启审计日志转储功能。

    6、单击“应用”。

    查看审计日志:

    只有拥有AUDITADMIN属性的用户才有查看权限,查询格式如下:

    pg_query_audit(timestamptz startime,timestamptz endtime,audit_log)

    1. 查询审计记录。

    查询结果如下:

    该条记录表明,用户ommdbadmin在2021-02-23 21:49:57.82+08登录数据库gaussdb。其中client_conninfo字段在log_hostname启动且IP连接时,字符@后显示反向DNS查找得到的主机名。

    查询所有CN节点审计记录。

    2、查询结果如下:

    查询结果显示,用户user1在CN1和CN2的成功登录记录。

     

    了解更多华为云数据仓库GaussDB(DWS),请猛戳

     

    点击关注,第一时间了解华为云新鲜技术~
  • 相关阅读:
    Elasticsearch Query DSL 整理总结(三)—— Match Phrase Query 和 Match Phrase Prefix Query
    Elasticsearch Query DSL 整理总结(二)—— 要搞懂 Match Query,看这篇就够了
    Elasticsearch Query DSL 整理总结(一)—— Query DSL 概要,MatchAllQuery,全文查询简述
    Elasticsearch Java Rest Client API 整理总结 (三)——Building Queries
    Elasticsearch date 类型详解
    python 历险记(五)— python 中的模块
    python 历险记(四)— python 中常用的 json 操作
    python 历险记(三)— python 的常用文件操作
    Elasticsearch Java Rest Client API 整理总结 (二) —— SearchAPI
    Elasticsearch Java Rest Client API 整理总结 (一)——Document API
  • 原文地址:https://www.cnblogs.com/huaweiyun/p/15505490.html
Copyright © 2020-2023  润新知