云小课|三大灵魂拷问GaussDB(DWS)数据落盘安全问题

Posted 华为云开发者社区

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了云小课|三大灵魂拷问GaussDB(DWS)数据落盘安全问题相关的知识,希望对你有一定的参考价值。

阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。

摘要:GaussDB(DWS)作为一款运行在华为云上的核心数据仓库,客户大量的数据存储在DWS的数据节点中,DWS不仅拥有海量数据查询的极致性能,在安全方面还需要有加固防护措施。当前数据库都是多个用户共同访问数据,这些数据都具有重要价值,关系到用户的核心资产和用户隐私,如何禁止别有用心的用户窃取以及黑客攻击,本课程给您提供数据的安全管理方法。

本文分享自《云小课|GaussDB(DWS)数据落盘安全吗?来直面三大灵魂拷问!》,原文作者:阅识风云

GaussDB(DWS)作为一款运行在华为云上的核心数据仓库,客户大量的数据存储在DWS的数据节点中,DWS不仅拥有海量数据查询的极致性能,在安全方面还需要有加固防护措施。

当前数据库都是多个用户共同访问数据,这些数据都具有重要价值,关系到用户的核心资产和用户隐私,如何禁止别有用心的用户窃取以及黑客攻击,本课程给您提供数据的安全管理方法。

云数仓安全层层防护

  • 云数仓外部:由华为云的云安全管理产品保驾护航。如:Anti-DDoS、DDoS、Web应用防火墙、漏洞扫描服务、企业主机安全、数据加密服务、SSL证书管理、云堡垒机等。

  • 云数仓内部:主要通过三权分立、行级访问控制、审计管理三种方式进行防护。这三方式结合到数据开发实际场景中,简单可以概括为(1)谁能看?(2)能看啥?(3)看没看? 下面我们从这三个方面一一介绍:

(1)谁能看?

通过DWS三权分立模型,将管理员分成三类:系统管理员,安全管理员和审计管理员,不存在“一手遮天”的管理员,当某个管理员密码泄露时,使数据库破坏降到最低。从此各司其职,安全管理员负责用户,审计管理员负责日志审计,系统管理员负责系统运维。

开启三权分立后,对象权限变化如下表说明:

开启方法:

1、录GaussDB(DWS) 管理控制台。在左侧导航树中,单击“集群管理”。

2、在集群列表中,单击指定集群的名称,然后单击“安全设置”,打开三权分立开关。

依次设置安全管理员用户名、密码、审计管理员用户、密码。

3、单击“应用”。在弹出的“保存配置”窗口中,选择是否勾选“立即重启集群”,然后单击“是”,重启后生效。

(2)能看啥?

行级访问控制特性是将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。即同一张表,不同用户只能查看自身相关的数据信息,不能查看其他用户的数据信息。

GaussDB(DWS)主要通过“ALTER TABLE tablename ENABLE ROW LEVEL SECURITY”语法实现行级访问控制,示例如下:

1、创建用户alice, bob, peter。

2、创建表public.all_data,包含不同用户数据信息。

3、向数据表插入数据。

4、将表all_data的读取权限赋予alice,bob和peter用户。

5、打开行访问控制策略开关。

6、创建行访问控制策略,当前用户只能查看用户自身的数据。

7、查看表详细信息。

8、切换至用户alice,执行SQL"SELECT * FROM all_data"

9、切换至用户peter,执行SQL"SELECT * FROM .all_data"

(3)看没看?

GaussDB(DWS) 支持对特定数据库操作记录审计日志,包括:日志保留策略、用户越权访问、存储过程以及对数据库对象的DML、SELECT、COPY和DDL操作。

审计日志配置后,当GaussDB(DWS) 集群状态异常,或根据业务需要,用户可以查询审计信息确定故障原因或定位历史操作记录。

配置方法:

  1. 登录GaussDB(DWS) 管理控制台。单击“集群管理”。
  2. 在集群列表中,单击指定集群的名称,然后单击“安全设置”。
  3. 在“审计配置”区域中,设置审计日志保留策略。

4、根据需要设置以下操作的审计开关。

GaussDB(DWS) 默认还开启了以下的关键审计项。

5、设置是否开启审计日志转储功能。

6、单击“应用”。

查看审计日志:

只有拥有AUDITADMIN属性的用户才有查看权限,查询格式如下:

pg_query_audit(timestamptz startime,timestamptz endtime,audit_log)

  1. 查询审计记录。

查询结果如下:

该条记录表明,用户ommdbadmin在2021-02-23 21:49:57.82+08登录数据库gaussdb。其中client_conninfo字段在log_hostname启动且IP连接时,字符@后显示反向DNS查找得到的主机名。

查询所有CN节点审计记录。

2、查询结果如下:

查询结果显示,用户user1在CN1和CN2的成功登录记录。

了解更多华为云数据仓库GaussDB(DWS),请猛戳

点击关注,第一时间了解华为云新鲜技术~

以上是关于云小课|三大灵魂拷问GaussDB(DWS)数据落盘安全问题的主要内容,如果未能解决你的问题,请参考以下文章

云小课|GaussDB(DWS)数据存储尽在掌控,冷热数据切换自如

云小课 | 大数据融合分析:GaussDW(DWS)轻松导入MRS-Hive数据源

云小课|打造企业数据“高内聚,低耦合”--试试GaussDB(DWS)逻辑集群,实现数据物理隔离

云小课 | 大数据融合分析:GaussDW(DWS)轻松导入MRS-Hive数据源

云小课|使用SQL加密函数实现数据列的加解密

云小课|使用SQL加密函数实现数据列的加解密