資料庫安全基線
① 有DBA擅長於使用資料庫的基線AWR baseline的嗎
ORACLE 11g新特性簡介
Oracle 11g現在已經開始進行beta測試。和她以前其他產品一樣,新一代的oracle又將增加很多激動人心的新特性。下面介紹一些11g的新特性。
1.資料庫管理部分
◆資料庫重演(Database Replay)
這一特性可以捕捉整個數據的負載,並且傳遞到一個從備份或者standby資料庫中創建的測試資料庫上,然後重演負責以測試系統調優後的效果。
◆sql重演(SQL Replay)
和前一特性類似。但是只是捕捉SQL負載部分,而不是全部負載。
◆計劃管理(Plan Management)
這一特性允許你將某一特定語句的查詢計劃固定下來,無論統計數據變化還是資料庫版本變化都不會改變她的查詢計劃。
◆自動診斷知識庫(Automatic Diagnostic Repository ADR)
當Oracle探測到重要錯誤時,會自動創紀一個事件(incident),並且捕捉到和這一事件相關的信息,同時自動進行資料庫健康檢查並通知DBA。此外,這些信息還可以打包發送給Oracle支持團隊。
◆事件打包服務(Incident Packaging Service)
如果你需要進一步測試或者保留相關信息,這一特性可以將與某一事件相關的信息打包。並且你還可以將打包信息發給oracle支持團隊。
◆基於特性打補丁(Feature Based Patching)
在打補丁包時,這一特性可以使你很容易區分出補丁包中的那些特性是你正在使用而必須打的。企業管理器(EM)使你能訂閱一個基於特性的補丁服務,因此企業管理器可以自動掃描那些你正在使用的特性有補丁可以打。
◆自動SQL優化(Auto SQL Tuning)
10g的自動優化建議器可以將優化建議寫在SQL profile中。而在11g中,你可以讓oracle自動將能3倍於原有性能的profile應用到SQL語句上。性能比較由維護窗口中一個新管理任務來完成。
◆訪問建議器(Access Advisor)
11g的訪問建議器可以給出分區建議,包括對新的間隔分區(interval partitioning)的建議。間隔分區相當於范圍分區(range partitioning)的自動化版本,她可以在必要時自動創建一個相同大小的分區。范圍分區和間隔分區可以同時存在於一張表中,並且范圍分區可以轉換為間隔分區。
◆自動內存優化(Auto Memory Tuning)
在9i中,引入了自動PGA優化;10g中,又引入了自動SGA優化。到了11g,所有內存可以通過只設定一個參數來實現全表自動優化。你只要告訴oracle有多少內存可用,她就可以自動指定多少內存分配給PGA、多少內存分配給SGA和多少內存分配給操作系統進程。當然也可以設定最大、最小閾值。
◆資源管理器(Resource Manager)
11g的資源管理器不僅可以管理CPU,還可以管理IO。你可以設置特定文件的優先順序、文件類型和ASM磁碟組。
◆ADDM
ADDM在10g被引入。11g中,ADDM不僅可以給單個實例建議,還可以對整個RAC(即資料庫級別)給出建議。另外,還可以將一些指示(directive)加入ADDM,使之忽略一些你不關心的信息。
◆AWR 基線(AWR Baselines)
AWR基線得到了擴展。可以為一些其他使用到的特性自動創建基線。默認會創建周基線。
2.PLSQL部分
◆結果集緩存(Result Set Caching)
這一特性能大大提高很多程序的性能。在一些MIS系統或者OLAP系統中,需要使用到很多"select count(*)"這樣的查詢。在之前,我們如果要提高這樣的查詢的性能,可能需要使用物化視圖或者查詢重寫的技術。在11g,我們就只需要加一個/*+result_cache*/的提示就可以將結果集緩存住,這樣就能大大提高查詢性能。當然,在這種情況下,我們可能還要關心另外一個問題:完整性。因為在oracle中是通過一致性讀來保證數據的完整性的。而顯然,在這種新特性下,為提高性能,是從緩存中的結果集中讀取數據,而不會從回滾段中讀取數據的。關於這個問題,答案是完全能保證完整性。因為結果集是被獨立緩存的,在查詢期間,任何其他DML語句都不會影響結果集中的內容,因而可以保證數據的完整性。
◆對象依賴性改進
在11g之前,如果有函數或者視圖依賴於某張表,一旦這張表發生結構變化,無論是否涉及到函數或視圖所依賴的屬性,都會使函數或視圖變為invalid。在11g中,對這種情況進行了調整:如果表改變的屬性與相關的函數或視圖無關,則相關對象狀態不會發生變化。
◆正則表達式的改進
在10g中,引入了正則表達式。這一特性大大方便了開發人員。11g,oracle再次對這一特性進行了改進。其中,增加了一個名為regexp_count的函數。另外,其他的正則表達式函數也得到了改進。
◆新SQL語法 =>
我們在調用某一函數時,可以通過=>來為特定的函數參數指定數據。而在11g中,這一語法也同樣可以出現在sql語句中了。例如,你可以寫這樣的語句:
select f(x=>6) from al;
◆對TCP包(utl_tcp、utl_smtp…)支持FGAC(Fine Grained Access Control)安全控制
◆增加了只讀表(read-only table)
在以前,我們是通過觸發器或者約束來實現對表的只讀控制。11g中不需要這么麻煩了,可以直接指定表為只讀表。
◆觸發器執行效率提高了
內部單元內聯(Intra-Unit inlining)
在C語言中,你可以通過內聯函數(inline)或者宏實現使某些小的、被頻繁調用的函數內聯,編譯後,調用內聯函數的部分會編譯成內聯函數的函數體,因而提高函數效率。在11g的plsql中,也同樣可以實現這樣的內聯函數了。
◆設置觸發器順序
可能在一張表上存在多個觸發器。在11g中,你可以指定它們的觸發順序,而不必擔心順序混亂導致數據混亂。
◆混合觸發器(compound trigger)
這是11g中新出現的一種觸發器。她可以讓你在同一觸發器中同時具有申明部分、before過程部分、after each row過程部分和after過程部分。
◆創建無效觸發器(Disabled Trigger)
11g中,開發人員可以可以閑創建一個invalid觸發器,需要時再編譯她。
◆在非DML語句中使用序列(sequence)
在之前版本,如果要將sequence的值賦給變數,需要通過類似以下語句實現:
select seq_x.next_val into v_x from al;
在11g中,不需要這么麻煩了,下面語句就可以實現:
v_x := seq_x.next_val;
◆PLSQL_Warning
11g中,可以通過設置PLSQL_Warning=enable all,如果在"when others"沒有錯誤爆出就發警告信息。
◆PLSQL的可繼承性
可以在oracle對象類型中通過super(和java中類似)關鍵字來實現繼承性。
◆編譯速度提高
因為不在使用外部C編譯器了,因此編譯速度提高了。
◆改進了DBMS_SQL包
其中的改進之一就是DBMS_SQL可以接收大於32k的CLOB了。另外還能支持用戶自定義類型和bulk操作。
◆增加了continue關鍵字
在PLSQL的循環語句中可以使用continue關鍵字了(功能和其他高級語言中的continue關鍵字相同)。
◆新的PLSQL數據類型——simple_integer
這是一個比pls_integer效率更高的整數數據類型。
3.其他部分
◆增強的壓縮技術
可以最多壓縮2/3的空間。
◆高速推進技術
可以大大提高對文件系統的數據讀取速度。
◆增強了DATA Guard
可以創建standby資料庫的快照,用於測試。結合資料庫重演技術,可以實現模擬生成系統負載的壓力測試。
◆在線應用升級
也就是熱補丁——安裝升級或打補丁不需要重啟資料庫。
◆資料庫修復建議器
可以在錯誤診斷和解決方案實施過程中指導DBA。
◆邏輯對象分區
可以對邏輯對象進行分區,並且可以自動創建分區以方便管理超大資料庫(Very Large Databases VLDBs)。
◆新的高性能的LOB基礎結構
◆新的php驅動
② 在IT項目建設中,如何保證資料庫安全性
#雲原生背景#
雲計算是信息技術發展和服務模式創新的集中體現,是信息化發展的重要變革和必然趨勢。隨著「新基建」加速布局,以及企業數字化轉型的逐步深入,如何深化用雲進一步提升雲計算使用效能成為現階段雲計算發展的重點。雲原生以其高效穩定、快速響應的特點極大地釋放了雲計算效能,成為企業數字業務應用創新的原動力,雲原生進入快速發展階段,就像集裝箱加速貿易全球化進程一樣,雲原生技術正在助力雲計算普及和企業數字化轉型。
雲原生計算基金會(CNCF)對雲原生的定義是:雲原生技術有利於各組織在公有雲、私有雲和混合雲等新型動態環境中,構建和運行可彈性擴展的應用。雲原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式編程API。
#雲安全時代市場發展#
雲安全幾乎是伴隨著雲計算市場而發展起來的,雲基礎設施投資的快速增長,無疑為雲安全發展提供土壤。根據 IDC 數據,2020 年全球雲安全支出占雲 IT 支出比例僅為 1.1%,說明目前雲安全支出遠遠不夠,假設這一比例提升至 5%,那麼2020 年全球雲安全市場空間可達 53.2 億美元,2023 年可達 108.9 億美元。
海外雲安全市場:技術創新與兼並整合活躍。整體來看,海外雲安全市場正處於快速發展階段,技術創新活躍,兼並整合頻繁。一方面,雲安全技術創新活躍,並呈現融合發展趨勢。例如,綜合型安全公司 PaloAlto 的 Prisma 產品線將 CWPP、CSPM 和 CASB 三個雲安全技術產品統一融合,提供綜合解決方案及 SASE、容器安全、微隔離等一系列雲上安全能力。另一方面,新興的雲安全企業快速發展,同時,傳統安全供應商也通過自研+兼並的方式加強雲安全布局。
國內雲安全市場:市場空間廣闊,尚處於技術追隨階段。市場規模上,根據中國信通院數據,2019 年我國雲計算整體市場規模達 1334.5億元,增速 38.6%。預計 2020-2022 年仍將處於快速增長階段,到 2023 年市場規模將超過 3754.2 億元。中性假設下,安全投入占雲計算市場規模的 3%-5%,那麼 2023 年中國雲安全市場規模有望達到 112.6 億-187.7 億元。技術發展上,中國在雲計算的發展階段和雲原生技術的程度上與海外市場還有一定差距。國內 CWPP 技術應用較為廣泛,對於 CASB、CSPM 一些新興的雲安全技術應用較少。但隨著國內公有雲市場的加速發展,雲原生技術的應用越來越廣泛,我們認為CASB、SCPM、SASE 等新興技術在國內的應用也將越來越廣泛。
#雲上安全呈原生化發展趨勢#
雲原生技術逐漸成為雲計算市場新趨勢,所帶來的安全問題更為復雜。以容器、服務網格、微服務等為代表的雲原生技術,正在影響各行各業的 IT 基礎設施、平台和應用系統,也在滲透到如 IT/OT 融合的工業互聯網、IT/CT 融合的 5G、邊緣計算等新型基礎設施中。隨著雲原生越來越多的落地應用,其相關的安全風險與威脅也不斷的顯現出來。Docker/Kubernetes 等服務暴露問題、特斯拉 Kubernetes 集群挖礦事件、Docker Hub 中的容器鏡像被「投毒」注入挖礦程序、微軟 Azure 安全中心檢測到大規模 Kubernetes 挖礦事件、Graboid 蠕蟲挖礦傳播事件等一系列針對雲原生的安全攻擊事件層出不窮。
從各種各樣的安全風險中可以一窺雲原生技術的安全態勢,雲原生環境仍然存在許多安全問題亟待解決。在雲原生技術的落地過程中,安全是必須要考慮的重要因素。
#雲原生安全的定義#
國內外各組織、企業對雲原生安全理念的解釋略有差異,結合我國產業現狀與痛點,雲原生與雲計算安全相似,雲原生安全也包含兩層含義:「面向雲原生環境的安全」和「具有雲原生特徵的安全」。
面向雲原生環境的安全,其目標是防護雲原生環境中的基礎設施、編排系統和微服務的安全。這類安全機制,不一定具備雲原生的特性(比如容器化、可編排),它們可以是傳統模式部署的,甚至是硬體設備,但其作用是保護日益普及的雲原生環境。
具有雲原生特徵的安全,是指具有雲原生的彈性敏捷、輕量級、可編排等特性的各類安全機制。雲原生是一種理念上的創新,通過容器化、資源編排和微服務重構了傳統的開發運營體系,加速業務上線和變更的速度,因而,雲原生系統的種種優良特性同樣會給安全廠商帶來很大的啟發,重構安全產品、平台,改變其交付、更新模式。
#雲原生安全理念構建#
為緩解傳統安全防護建設中存在的痛點,促進雲計算成為更加安全可信的信息基礎設施,助力雲客戶更加安全的使用雲計算,雲原生安全理念興起,國內外第三方組織、服務商紛紛提出以原生為核心構建和發展雲安全。
Gartner提倡以雲原生思維建設雲安全體系
基於雲原生思維,Gartner提出的雲安全體系覆蓋八方面。其中,基礎設施配置、身份和訪問管理兩部分由雲服務商作為基礎能力提供,其它六部分,包括持續的雲安全態勢管理,全方位的可視化、日誌、審計和評估,工作負載安全,應用、PaaS 和 API 安全,擴展的數據保護,雲威脅檢測,客戶需基於安全產品實現。
Forrester評估公有雲平台原生安全能力
Forrester認為公有雲平台原生安全(Public cloud platform native security, PCPNS)應從三大類、37 個方面去衡量。從已提供的產品和功能,以及未來戰略規劃可以看出,一是考察雲服務商自身的安全能力和建設情況,如數據中心安全、內部人員等,二是雲平台具備的基礎安全功能,如幫助和文檔、授權和認證等,三是為用戶提供的原生安全產品,如容器安全、數據安全等。
安全狗以4項工作防護體系建設雲原生安全
(1)結合雲原生技術的具體落地情況開展並落實最小許可權、縱深防禦工作,對於雲原生環境中的各種組成部分,均可貫徹落實「安全左移」的原則,進行安全基線配置,防範於未然。而對於微服務架構Web應用以及Serverless應用的防護而言,其重點是應用安全問題。
(2)圍繞雲原生應用的生命周期來進行DevSecOps建設,以當前的雲原生環境的關鍵技術棧「K8S + Docker」舉例進行分析。應該在容器的全生命周期注重「配置安全」,在項目構建時注重「鏡像安全」,在項目部署時注重「容器准入」,在容器的運行環境注重雲計算的三要素「計算」「網路」以及「存儲」等方面的安全問題。
(3)圍繞攻擊前、中、後的安全實施准則進行構建,可依據安全實施准則對攻擊前、中、後這三個階段開展檢測與防禦工作。
(4)改造並綜合運用現有雲安全技術,不應將「雲原生安全」視為一個獨立的命題,為雲原生環境提供更多支持的主機安全、微隔離等技術可賦能於雲原生安全。
#雲原生安全新型風險#
雲原生架構的安全風險包含雲原生基礎設施自身的安全風險,以及上層應用雲原生化改造後新增和擴大的安全風險。雲原生環境面臨著嚴峻的安全風險問題。攻擊者可能利用的重要攻擊麵包括但不限於:容器安全、編排系統、軟體供應鏈等。下面對重要的攻擊面安全風險問題進行梳理。
#雲原生安全問題梳理#
問題1:容器安全問題
在雲原生應用和服務平台的構建過程中,容器技術憑借高彈性、敏捷的特性,成為雲原生應用場景下的重要技術支撐,因而容器安全也是雲原生安全的重要基石。
(1)容器鏡像不安全
Sysdig的報告中提到,在用戶的生產環境中,會將公開的鏡像倉庫作為軟體源,如最大的容器鏡像倉庫Docker Hub。一方面,很多開源軟體會在Docker Hub上發布容器鏡像。另一方面,開發者通常會直接下載公開倉庫中的容器鏡像,或者基於這些基礎鏡像定製自己的鏡像,整個過程非常方便、高效。然而,Docker Hub上的鏡像安全並不理想,有大量的官方鏡像存在高危漏洞,如果使用了這些帶高危漏洞的鏡像,就會極大的增加容器和主機的入侵風險。目前容器鏡像的安全問題主要有以下三點:
1.不安全的第三方組件
在實際的容器化應用開發過程當中,很少從零開始構建鏡像,而是在基礎鏡像之上增加自己的程序和代碼,然後統一打包最終的業務鏡像並上線運行,這導致許多開發者根本不知道基礎鏡像中包含多少組件,以及包含哪些組件,包含的組件越多,可能存在的漏洞就越多。
2.惡意鏡像
公共鏡像倉庫中可能存在第三方上傳的惡意鏡像,如果使用了這些惡意鏡像來創建容器後,將會影響容器和應用程序的安全
3.敏感信息泄露
為了開發和調試的方便,開發者將敏感信息存在配置文件中,例如資料庫密碼、證書和密鑰等內容,在構建鏡像時,這些敏感信息跟隨配置文件一並打包進鏡像,從而造成敏感信息泄露
(2)容器生命周期的時間短
雲原生技術以其敏捷、可靠的特點驅動引領企業的業務發展,成為企業數字業務應用創新的原動力。在容器環境下,一部分容器是以docker的命令啟動和管理的,還有大量的容器是通過Kubernetes容器編排系統啟動和管理,帶來了容器在構建、部署、運行,快速敏捷的特點,大量容器生命周期短於1小時,這樣一來容器的生命周期防護較傳統虛擬化環境發生了巨大的變化,容器的全生命周期防護存在很大變數。對防守者而言,需要採用傳統異常檢測和行為分析相結合的方式,來適應短容器生命周期的場景。
傳統的異常檢測採用WAF、IDS等設備,其規則庫已經很完善,通過這種檢測方法能夠直觀的展示出存在的威脅,在容器環境下,這種方法仍然適用。
傳統的異常檢測能夠快速、精確地發現已知威脅,但大多數未知威脅是無法通過規則庫匹配到的,因而需要通過行為分析機制來從大量模式中將異常模式分析出來。一般來說,一段生產運營時間內的業務模式是相對固定的,這意味著,業務行為是可以預測的,無論啟動多少個容器,容器內部的行為總是相似的。通過機器學習、採集進程行為,自動構建出合理的基線,利用這些基線對容器內的未知威脅進行檢測。
(3)容器運行時安全
容器技術帶來便利的同時,往往會忽略容器運行時的安全加固,由於容器的生命周期短、輕量級的特性,傳統在宿主機或虛擬機上安裝殺毒軟體來對一個運行一兩個進程的容器進行防護,顯示費時費力且消耗資源,但在黑客眼裡容器和裸奔沒有什麼區別。容器運行時安全主要關注點:
1.不安全的容器應用
與傳統的Web安全類似,容器環境下也會存在SQL注入、XSS、RCE、XXE等漏洞,容器在對外提供服務的同時,就有可能被攻擊者利用,從而導致容器被入侵
2.容器DDOS攻擊
默認情況下,docker並不會對容器的資源使用進行限制,默認情況下可以無限使用CPU、內存、硬碟資源,造成不同層面的DDOS攻擊
(4)容器微隔離
在容器環境中,與傳統網路相比,容器的生命周期變得短了很多,其變化頻率也快很多。容器之間有著復雜的訪問關系,尤其是當容器數量達到一定規模以後,這種訪問關系帶來的東西向流量,將會變得異常的龐大和復雜。因此,在容器環境中,網路的隔離需求已經不僅僅是物理網路的隔離,而是變成了容器與容器之間、容器組與宿主機之間、宿主機與宿主機之間的隔離。
問題2:雲原生等保合規問題
等級保護2.0中,針對雲計算等新技術、新應用領域的個性安全保護需求提出安全擴展要求,形成新的網路安全等級保護基本要求標准。雖然編寫了雲計算的安全擴展要求,但是由於編寫周期很長,編寫時主流還是虛擬化場景,而沒有考慮到容器化、微服務、無服務等雲原生場景,等級保護2.0中的所有標准不能完全保證適用於目前雲原生環境;
通過安全狗在雲安全領域的經驗和具體實踐,對於雲計算安全擴展要求中訪問控制的控制點,需要檢測主機賬號安全,設置不同賬號對不同容器的訪問許可權,保證容器在構建、部署、運行時訪問控制策略隨其遷移;
對於入侵防範制的控制點,需要可視化管理,繪制業務拓撲圖,對主機入侵進行全方位的防範,控制業務流量訪問,檢測惡意代碼感染及蔓延的情況;
鏡像和快照保護的控制的,需要對鏡像和快照進行保護,保障容器鏡像的完整性、可用性和保密性,防止敏感信息泄露。
問題3:宿主機安全
容器與宿主機共享操作系統內核,因此宿主機的配置對容器運行的安全有著重要的影響,比如宿主機安裝了有漏洞的軟體可能會導致任意代碼執行風險,埠無限制開放可能會導致任意用戶訪問的風險。通過部署主機入侵監測及安全防護系統,提供主機資產管理、主機安全加固、風險漏洞識別、防範入侵行為、問題主機隔離等功能,各個功能之間進行聯動,建立採集、檢測、監測、防禦、捕獲一體化的安全閉環管理系統,對主機進行全方位的安全防護,協助用戶及時定位已經失陷的主機,響應已知、未知威脅風險,避免內部大面積主機安全事件的發生。
問題4:編排系統問題
編排系統支撐著諸多雲原生應用,如無服務、服務網格等,這些新型的微服務體系也同樣存在著安全問題。例如攻擊者編寫一段代碼獲得容器的shell許可權,進而對容器網路進行滲透橫移,造成巨大損失。
Kubernetes架構設計的復雜性,啟動一個Pod資源需要涉及API Server、Controller、Manager、Scheler等組件,因而每個組件自身的安全能力顯的尤為重要。API Server組件提供的認證授權、准入控制,進行細粒度訪問控制、Secret資源提供密鑰管理及Pod自身提供安全策略和網路策略,合理使用這些機制可以有效實現Kubernetes的安全加固。
問題5:軟體供應鏈安全問題
通常一個項目中會使用大量的開源軟體,根據Gartner統計至少有95%的企業會在關鍵IT產品中使用開源軟體,這些來自互聯網的開源軟體可能本身就帶有病毒、這些開源軟體中使用了哪些組件也不了解,導致當開源軟體中存在0day或Nday漏洞,我們根本無法獲悉。
開源軟體漏洞無法根治,容器自身的安全問題可能會給開發階段帶的各個過程帶來風險,我們能做的是根據SDL原則,從開發階段就開始對軟體安全性進行合理的評估和控制,來提升整個供應鏈的質量。
問題6:安全運營成本問題
雖然容器的生命周期很短,但是包羅萬象。對容器的全生命周期防護時,會對容器構建、部署、運行時進行異常檢測和安全防護,隨之而來的就是高成本的投入,對成千上萬容器中的進程行為進程檢測和分析,會消耗宿主機處理器和內存資源,日誌傳輸會佔用網路帶寬,行為檢測會消耗計算資源,當環境中容器數量巨大時,對應的安全運營成本就會急劇增加。
問題7:如何提升安全防護效果
關於安全運營成本問題中,我們了解到容器安全運營成本較高,我們該如何降低安全運營成本的同時,提升安全防護效果呢?這就引入一個業界比較流行的詞「安全左移」,將軟體生命周期從左到右展開,即開發、測試、集成、部署、運行,安全左移的含義就是將安全防護從傳統運營轉向開發側,開發側主要設計開發軟體、軟體供應鏈安全和鏡像安全。
因此,想要降低雲原生場景下的安全運營成本,提升運營效率,那麼首先就要進行「安全左移」,也就是從運營安全轉向開發安全,主要考慮開發安全、軟體供應鏈安全、鏡像安全和配置核查:
開發安全
需要團隊關注代碼漏洞,比如使用進行代碼審計,找到因缺少安全意識造成的漏洞和因邏輯問題造成的代碼邏輯漏洞。
供應鏈安全
可以使用代碼檢查工具進行持續性的安全評估。
鏡像安全
使用鏡像漏洞掃描工具持續對自由倉庫中的鏡像進行持續評估,對存在風險的鏡像進行及時更新。
配置核查
核查包括暴露面、宿主機加固、資產管理等,來提升攻擊者利用漏洞的難度。
問題8:安全配置和密鑰憑證管理問題
安全配置不規范、密鑰憑證不理想也是雲原生的一大風險點。雲原生應用會存在大量與中間件、後端服務的交互,為了簡便,很多開發者將訪問憑證、密鑰文件直接存放在代碼中,或者將一些線上資源的訪問憑證設置為弱口令,導致攻擊者很容易獲得訪問敏感數據的許可權。
#雲原生安全未來展望#
從日益新增的新型攻擊威脅來看,雲原生的安全將成為今後網路安全防護的關鍵。伴隨著ATT&CK的不斷積累和相關技術的日益完善,ATT&CK也已增加了容器矩陣的內容。ATT&CK是對抗戰術、技術和常識(Adversarial Tactics, Techniques, and Common Knowledge)的縮寫,是一個攻擊行為知識庫和威脅建模模型,它包含眾多威脅組織及其使用的工具和攻擊技術。這一開源的對抗戰術和技術的知識庫已經對安全行業產生了廣泛而深刻的影響。
雲原生安全的備受關注,使ATTACK Matrix for Container on Cloud的出現恰合時宜。ATT&CK讓我們從行為的視角來看待攻擊者和防禦措施,讓相對抽象的容器攻擊技術和工具變得有跡可循。結合ATT&CK框架進行模擬紅藍對抗,評估企業目前的安全能力,對提升企業安全防護能力是很好的參考。
③ 資料庫安全的防護手段
Xsecure產品系列實現對資料庫的全方位防護 ,需要覆蓋資料庫的事前、事中、事後安全;覆蓋資料庫應用安全、維護安全、使用安全和存儲安全;是最全面的資料庫防泄露產品。 資料庫漏洞掃描系統Xsecure-DBScan ,是一款幫助用戶對當前的資料庫系統進行自動化安全評估的專業軟體,能有效暴露當前資料庫系統的安全問題,提供對資料庫的安全狀況進行持續化監控,幫助用戶保持資料庫的安全健康狀態。
發現外部黑客攻擊漏洞,防止外部攻擊:實現非授權的從外到內的檢測;模擬黑客使用的漏洞發現技術,在沒有授權的情況下,對目標資料庫的安全性作深入的探測分析;收集外部人員可以利用的資料庫漏洞的詳細信息。分析內部不安全配置,防止越權訪問:通過只讀賬戶,實現由內到外的檢測;提供現有數據的漏洞透視圖和資料庫配置安全評估;避免內外部的非授權訪問。
監控資料庫安全狀況,防止資料庫安全狀況惡化:對於資料庫建立安全基線,對資料庫進行定期掃描,對所有安全狀況發生的變化進行報告和分析。 操作系統中的對象一般情況下是文件,而資料庫支持的應用要求更為精細。通常比較完整的資料庫對數據安全性採取以下措施:
(1)將資料庫中需要保護的部分與其他部分相隔。
(2)採用授權規則,如賬戶、口令和許可權控制等訪問控制方法。
(3)對數據進行加密後存儲於資料庫。 由資料庫管理系統提供一套方法,可及時發現故障和修復故障,從而防止數據被破壞。資料庫系統能盡快恢復資料庫系統運行時出現的故障,可能是物理上或是邏輯上的錯誤。比如對系統的誤操作造成的數據錯誤等。
④ 阿里雲的主要功能是什麼
阿里雲致力於以在線公共服務的方式,提供安全、可靠的計算和數據處理能力,讓計算和人工智慧成為普惠科技。
阿里雲服務著製造、金融、政務、交通、醫療、電信、能源等眾多領域的領軍企業,包括中國聯通、12306、中石化、中石油、飛利浦、華大基因等大型企業客戶,以及微博、知乎、錘子科技等明星互聯網公司。在天貓雙11全球狂歡節、12306春運購票等極富挑戰的應用場景中,阿里雲保持著良好的運行紀錄。
阿里雲在全球各地部署高效節能的綠色數據中心,利用清潔計算為萬物互聯的新世界提供源源不斷的能源動力,目前開服的區域包括中國(華北、華東、華南、香港)、新加坡、美國(美東、美西)、歐洲、中東、澳大利亞、日本。
(4)資料庫安全基線擴展閱讀:
阿里雲主要產品:
1、彈性計算:
雲伺服器ECS:可彈性擴展、安全、穩定、易用的計算服務
塊存儲:可彈性擴展、高性能、高可靠的塊級隨機存儲
專有網路VPC:幫您輕松構建邏輯隔離的專有網路
負載均衡:對多台雲伺服器進行流量分發的負載均衡服務
彈性伸縮:自動調整彈性計算資源的管理服務
資源編排:批量創建、管理、配置雲計算資源
容器服務:應用全生命周期管理的Docker服務
高性能計算HPC:加速深度學習、渲染和科學計算的GPU物理機
批量計算:簡單易用的大規模並行批處理計算服務
E-MapRece:基於Hadoop/Spark的大數據處理分析服務
2、資料庫:
雲資料庫RDS:完全兼容MySQL,SQLServer,PostgreSQL
雲資料庫MongoDB版:三節點副本集保證高可用
雲資料庫Redis版:兼容開源Redis協議的Key-Value類型
雲資料庫Memcache版:在線緩存服務,為熱點數據的訪問提供高速響應
PB級雲資料庫PetaData:支持PB級海量數據存儲的分布式關系型資料庫
雲資料庫HybridDB:基於GreenplumDatabase的MPP數據倉庫
雲資料庫OceanBase:金融級高可靠、高性能、分布式自研資料庫
數據傳輸:比GoldenGate更易用,阿里異地多活基礎架構
數據管理:比phpMyadmin更強大,比Navicat更易用
3、存儲:
對象存儲OSS:海量、安全和高可靠的雲存儲服務
文件存儲:無限擴展、多共享、標准文件協議的文件存儲服務
歸檔存儲:海量數據的長期歸檔、備份服務
塊存儲:可彈性擴展、高性能、高可靠的塊級隨機存儲
表格存儲:高並發、低延時、無限容量的Nosql數據存儲服務
4、網路:
CDN:跨運營商、跨地域全網覆蓋的網路加速服務
專有網路VPC:幫您輕松構建邏輯隔離的專有網路
高速通道:高速穩定的VPC互聯和專線接入服務
NAT網關:支持NAT轉發、共享帶寬的VPC網關
2018年6月20日,阿里雲宣布聯合三大運營商全面對外提供IPv6服務。
5、大數據:
MaxCompute:原名ODPS,是一種快速、完全託管的TB/PB級數據倉庫解決方案。
QuickBI:高效數據分析與展現平台,通過對數據源的連接,和數據集的創建,對數據進行即席的分析與查詢。並通過電子表格或儀錶板功能,以拖拽的方式進行數據的可視化呈現。
大數據開發套件:提供可視化開發界面、離線任務調度運維、快速數據集成、多人協同工作等功能,擁有強大的OpenAPI為數據應用開發者提供良好的再創作生態
DataV數據可視化:專精於業務數據與地理信息融合的大數據可視化,通過圖形界面輕松搭建專業的可視化應用,滿足您日常業務監控、調度、會展演示等多場景使用需求
關系網路分析:基於關系網路的大數據可視化分析平台,針對數據情報偵察場景賦能,如打擊虛假交易,審理保險騙賠,案件還原研判等
推薦引擎:推薦服務框架,用於實時預測用戶對物品偏好,支持A/BTest效果對比
公眾趨勢分析:利用語義分析、情感演算法和機器學習,分析公眾對品牌形象、熱點事件和公共政策的認知趨勢
企業圖譜:提供企業多維度信息查詢,方便企業構建基於企業畫像及企業關系網路的風險控制、市場監測等企業級服務
數據集成:穩定高效、彈性伸縮的數據同步平台,為阿里雲各個雲產品提供離線(批量)數據進出通道
分析型資料庫:在毫秒級針對千億級數據進行即時的多維分析透視和業務探索
流計算:流式大數據分析平台,提供給用戶在雲上進行流式數據實時化分析工具
6、人工智慧:
機器學習:基於阿里雲分布式計算引擎的一款機器學習演算法平台,用戶通過拖拉拽的方式可視化的操作組件來進行試驗,平台提供了豐富的組件,包括數據預處理、特徵工程、演算法組件、預測與評估
語音識別與合成:基於語音識別、語音合成、自然語言理解等技術,為企業在多種實際應用場景下,賦予產品「能聽、會說、懂你」式的智能人機交互體驗
人臉識別:提供圖像和視頻幀中人臉分析的在線服務,包括人臉檢測、人臉特徵提取、人臉年齡估計和性別識別、人臉關鍵點定位等獨立服務模塊
印刷文字識別:將圖片中的文字識別出來,包括身份證文字識別、門店招牌識別、行駛證識別、駕駛證識別、名片識別等證件類文字識別場景
7、雲安全:
伺服器安全(安騎士):由輕量級Agent和雲端組成,集檢測、修復、防禦為一體,提供網站後門查殺、通用Web軟體0day漏洞修復、安全基線巡檢、主機訪問控制等功能,保障伺服器安全
DDoS高防IP:雲盾DDoS高防IP是針對互聯網伺服器(包括非阿里雲主機)在遭受大流量的DDoS攻擊後導致服務不可用的情況下,推出的付費增值服務,用戶可以通過配置高防IP,將攻擊流量引流到高防IP,確保源站的穩定可靠
Web應用防火牆:網站必備的一款安全防護產品。通過分析網站的訪問請求、過濾異常攻擊,保護網站業務可用及資產數據安全
加密服務:滿足雲上數據加密,密鑰管理、加解密運算需求的數據安全解決方案
CA證書服務:雲上簽發Symantec、CFCA、GeoTrustSSL數字證書,部署簡單,輕松實現全站HTTPS化,防監聽、防劫持,呈現給用戶可信的網站訪問
數據風控:凝聚阿里多年業務風控經驗,專業、實時對抗垃圾注冊、刷庫撞庫、活動作弊、論壇灌水等嚴重威脅互聯網業務安全的風險
綠網:智能識別文本、圖片、視頻等多媒體的內容違規風險,如涉黃,暴恐,涉政等,省去90%人力成本
安全管家:基於阿里雲多年安全實踐經驗為雲上用戶提供的全方位安全技術和咨詢服務,為雲上用戶建立和持續優化雲安全防禦體系,保障用戶業務安全
雲盾混合雲:在用戶自有IDC、專有雲、公共雲、混合雲等多種業務環境為用戶建設涵蓋網路安全、應用安全、主機安全、安全態勢感知的全方位互聯網安全攻防體系
態勢感知:安全大數據分析平台,通過機器學習和結合全網威脅情報,發現傳統防禦軟體無法覆蓋的網路威脅,溯源攻擊手段、並且提供可行動的解決方案
先知:全球頂尖白帽子和安全公司幫你找漏洞,最私密的安全眾測平台。全面體檢,提早發現業務漏洞及風險,按效果付費
移動安全:為移動APP提供安全漏洞、惡意代碼、仿冒應用等檢測服務,並可對應用進行安全增強,提高反破解和反逆向能力。
8、互聯網中間件:
企業級分布式應用服務EDAS:以應用為中心的中間件PaaS平台、
消息隊列MQ:ApacheRocketMQ商業版企業級非同步通信中間件
分布式關系型資料庫服務DRDS:水平拆分/讀寫分離的在線分布式資料庫服務
雲服務匯流排CSB:企業級互聯網能力開放平台
業務實施監控服務ARMS:端到端一體化實時監控解決方案產品
9、分析:
E-MapRece:基於Hadoop/Spark的大數據處理分析服務
雲資料庫HybirdDB:基於GreenplumDatabase的MPP數據倉庫
高性能計算HPC:加速深度學習、渲染和科學計算的GPU物理機
大數據計算服務MaxCompute:TB/PB級數據倉庫解決方案
分析型資料庫:海量數據實時高並發在線分析
開放搜索:結構化數據搜索託管服務
QuickBI:通過對數據源的連接,對數據進行即席分析和可視化呈現。