BpFile(id=235, bpId=135, name=数据库运维安全管理, author=null, keyword=数据库权限,数据库运维,数据库安全, description=通过数据管理DMS产品,对不同用户进行数据库、表、字段级别的细粒度授权,保障数据库运维安全。, position=null, ossUrl=bp-CMEGU26PZA4P097Q.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=
在企业的数据库数量和使用人员较多,且不同人员需要的数据库权限不一致的情况下,因为不同角色的人访问数据库的权限是不一样的,这时候就需要有一个完整的数据库访问的授权方案,不同角色按需分配最小够用的权限。数据管理服务DMS的授权粒度可以是库、表、字段的维度。
, templateId=24LGCF4EC9RXNNKI, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=24LGCF4EC9RXNNKI, partner=null, partnerUrl=null, partnerLogo=null, cooperation=, cooperationList=null)
1数据库运维安全管理最佳实践
业务架构图
场景描述
企业的数据库数量比较多、使用的人比较多的情
况下,因为不同角色的人访问数据库的权限是不
一样的,这时候就需要有一个完整的数据库访问
的授权方案,不同角色按需分配最小够用的权
限。DMS的授权粒度可以是库、表、字段的维
度。
解决问题
1. 数据库细粒度授权;
2. 权限申请和审批流程;
3. 数据库里敏感数据脱敏;
4. 数据库运维人员操作的事后审计;
产品列表
数据管理DMS
访问控制RAM
云数据库PolarDB
2云服务器ECS(产品名称) 文档模板(手册名称)/文档版本信息
阿里云
数据库运维安全管理
最佳实践
文档版本:20150122(发布日期) 2
3数据库运维安全管理 文档版本信息
文档版本信息
文本信息
属性 内容
文档名称 数据库运维安全管理最佳实践
文档编号 135
文档版本 V1.2
版本日期 2020-05-08
文档状态 已发布
制作人 明中,寻野
审阅人 敬海
文档变更记录
版本编号 日期 作者 审核人 说明
V1.0 2020-02-03 云滴、言楼、倩 明中、敬海 创建
薇
V1.1 2020-02-11 筱晖 - 文档优化
V1.2 2020-05-08 明中,寻野 文档优化和交接
I
文档版本:20200211
4数据库运维安全管理 目录
目录
文档版本信息..................................................................................................................................................................I
法律声明.........................................................................................................................................................................II
目录................................................................................................................................................................................III
前置条件及演示环境说明...........................................................................................................................................IV
方案概述........................................................................................................................................................................V
1. 搭建基础环境.........................................................................................................................................................1
1.1. 创建专有网络VPC.................................................................................................................................1
1.2. 创建PolarDB..........................................................................................................................................4
1.2.1. 创建数据库集群............................................................................................................................4
1.2.2. 创建数据库....................................................................................................................................7
1.2.3. 创建数据库账号............................................................................................................................9
1.3. 开通DMS企业版.................................................................................................................................10
2. 数据库实例导入DMS..........................................................................................................................................17
2.1. 数据库实例初始化..............................................................................................................................17
2.2. 数据库中创建user表.........................................................................................................................20
2.3. 数据表中插入数据..............................................................................................................................25
2.4. 数据库实例导入..................................................................................................................................26
3. 创建员工账号并授权..........................................................................................................................................32
3.1. 创建RAM子账号并授权....................................................................................................................32
3.1.1. 创建RAM子账号........................................................................................................................32
3.1.2. 为子账号授权..............................................................................................................................35
3.2. DMS中添加子账号..............................................................................................................................36
3.3. 账号授权..............................................................................................................................................38
3.3.1. 管理员直接授权..........................................................................................................................39
3.3.2. 普通用户自己申请授权..............................................................................................................40
3.3.3. 管理员审批普通用户的申请......................................................................................................46
4. 验证普通用户账号访问数据..............................................................................................................................48
4.1. 有权限的能访问..................................................................................................................................48
4.2. 无权限的不能访问..............................................................................................................................49
4.3. 需要审批的情况..................................................................................................................................50
5. 对敏感数据脱敏处理..........................................................................................................................................55
5.1. 配置敏感列..........................................................................................................................................55
5.2. 敏感列查询效果..................................................................................................................................57
5.3. 申请敏感列权限..................................................................................................................................58
6. 操作审计...............................................................................................................................................................61
7. 安全规则简介......................................................................................................................................................63
III
文档版本:20200211
5数据库运维安全管理 前置条件及演示环境说明
前置条件及演示环境说明
在进行本文操作前,您需要完成以下准备工作:
注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证
页面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成
实名认证。
阿里云账户余额大于100元。您可以登录阿里云控制台,并前往账户总览页面
(https://expense.console.aliyun.com/#/account/home)查看账户余额。
为了便于演示,本文中涉及资源开通时,均默认选择按量付费模式。
本方案仅作为实践演示,具体资源配置以用户实际需求为准。
IV
文档版本:20200211
6数据库运维安全管理 方案概述
方案概述
场景描述
数据资产是现代企业最为重要的资源,各广大企业越来越重视对数据资产的保护。企
业数据库中的数据是数据资产的核心部分。
简单来说,数据库安全,可划分为数据对外安全和数据对内安全两类,每种均涵盖数
据泄漏和数据破坏风险。数据对外安全牵扯到应用的合理设计,漏洞的防范管控,防
火墙技术,避免数据库从外部被攻破;而数据对内安全则着眼于企业内部需要访问数
据库的人和操作行为的管控,避免内因导致数据泄漏、破坏,更容易被企业所忽视。
本实践重点描述数据库对内部人员账号权限等方面的运维安全管理的实现方案。
本最佳实践主要是基于阿里云DMS产品展开的。数据管理(DataManagement
Service,简称DMS)是一种集数据管理、结构管理、用户授权、安全审计、数据趋
势、数据追踪、BI图表、性能与优化和服务器管理于一体的数据管理服务。用户使用
数据管理服务实现易用的数据库和服务器统一管理入口,让数据更安全、管理更高效、
数据价值更清晰。DMS的访问安全功能,提供4层认证体系,提供登录/操作审计,
提供云帐号授权、访问地址授权、功能开关等细粒度授权功能。
解决方案
DMS可以针对不同的数据库资源组(通常分为测试环境、开发环境和生产环境;不同
环境可以有多个数据库实例)、不同的人员(人员按角色分类,人员账号对应阿里云账
号;一个账号可以拥有多个角色;)进行细粒度授权。
数据库环境一般分为测试、开发和生产三种类型。管理员对员工的授权可以细化到数
据库、数据表、字段的粒度。除了管理授权外,员工也可以自己申请权限,然后由管
理员来申请;一般情况下,测试环境可免批,生产环境都需要审批,也可以按企业要
求自己设定规则。
人员的角色分为管理员、DBA、普通用户和安全管理员四种。每个阿里云账号对应一
个员工,不用账号可以拥有多个角色。开通DMS企业版的账号是管理员(主账号、
有权限的子账号都可以),其他账号需要由管理员添加和分配角色。具体每个角色所对
应的功能模块如下图所示:
文档版本:20200211 V
7数据库运维安全管理 方案概述
管理员对其他账号的授权中,授权模型里的权限分为查询、导出和变更三种类型,按
够用原则进行授权。也可以是普通用户自行申请。
本最佳实践,是对生产环境的数据,管理员和普通用户进行的授权及权限验证、事后
审计的场景的描述。
文档版本:20200211 VI
8数据库运维安全管理 方案概述
架构图
数据库运维安全管理解决方案架构图:
DMS产品的功能逻辑架构图:
文档版本:20200211 VII
