安华金和数据安全管控平台是防止“删库跑”的利刃 – 作者:安华金和

微信图片_20200304220602 (1).jpg

2月末的一个午后,我正独坐书房,静静思考着公司今年的IT建设方向。突然,一阵急促的铃声打断了我的思绪…拿起手机,看到屏幕上的“XX公司CIO-李总”,我已大致猜到了这通电话的来意。

微信图片_20200304220607 (1).jpg

“老杨,听说“删库跑路”那事儿了吗?”

“那还能没听说,哎,你们公司好像没用那家的服务吧?这么着急做什么?”

“我们是没用那家,但我用了很多别家的SaaS服务啊!我可听说,老张他们公司因为这次事件整个业务都中断了,之前在电话里他都带哭腔了…说他身为CIO,没能应对好这种突发事件,就是公司的“头号罪人”!前车之鉴啊,咱们这些当CIO的,还不得趁着无事,赶紧调研调研新方案?万一下回这“大事儿”被咱摊上了呢?我这边也是,当初选择SaaS服务光考虑对工作的便利性和高效性了,对‘删库跑路’什么的还真是没引起重视…”

微信图片_20200304220612 (1).jpg

听着话筒另一头焦虑万分的声音,我却是面露微笑,从容不迫地说道:

“老李啊,正所谓‘智者虑于因,迷者惑于果’。你应该记得,当初咱们两家公司可是在同一时间挑选的SaaS服务;那会儿我就提醒过你,在将公司数据交到SaaS企业手上,把公司业务放到互联网上之前,先要考虑清楚“安全”怎么办!可你呢?为了省点预算,根本没听进去,现在看别人家出事儿了,小**开始承受不住啦?”

微信图片_20200304220617 (1).jpg

 “老杨啊,你就别再补刀啦…我现在这不是态度诚恳地向你取经来了嘛!赶紧地,分享一下宝贵经验,你总不能看着我一条道儿走到黑吧?”李总尴尬地笑着说道。

微信图片_20200304220622 (1).jpg

“好吧,我就给老朋友讲讲在那次选择SaaS服务时,我这边是怎么做的吧…”

伴随着李总对“删库跑路”事件和数据安全的一大通担忧,我的思绪也回到了一年前:

微信图片_20200304220627 (1).jpg

彼时,公司需要提升销售管理能力和部门协作的沟通效率,作为CIO我自是责无旁贷。经过对市面上相关产品的大量调研工作,发现做得最好的都是SaaS服务型产品。但我并没有急于出手,多年养成的职业习惯让我对产品选择提出了一个前置条件:一定要支持私有化部署!

最终,我选择了两款SaaS产品——赢单罗盘和Worktile。部署过程中,虽然采用的是这两家的原生应用系统,以便打通桌面和APP的访问通道;但数据库却是部署在我们公司自己的阿里云VPC中,从而真正实现“把数据掌握在用户自己手中”这一目的。

可这样就足够了吗?当然不!虽然数据库在我们手上,但还是需要放到在互联网上;同时,这两家SaaS企业的技术人员也还是需要对数据库进行远程运维操作。“删库跑路”的风险似乎并没有得到彻底解决,所以我当即下定决心,必须进一步加强安全性!

通过调研,我了解到安华金和推出的“数据安全管控平台”,与对方交流后发现这正是我需要的产品。之后,根据安华金和的建议,我在阿里云部署了他们的数据安全管控平台——具有对数据库操作行为审计、运维管控和防黑客三种能力(简称“三合一”),作为数据库的前置代理,从而把数据库完全隐藏了起来,让安全更加彻底。安华金和的“三合一”产品确实做到了,通过一系列功能和策略保护我们的数据库及数据安全:

1、安全代理

赢单罗盘、Worktile等SaaS企业的业务系统和运维人员必须使用SSL加密方式访问“三合一”的代理端口,确保他们只对各自负责的数据库执行操作。

2、安全审计

对所有的数据库操作行为进行记录,并定期产生报表;一旦发生安全事件,即可准确溯源。

3、云平台安全组

仅对外开放必要的三合一代理端口,而其他端口则全部关闭;此外,对数据库、“三合一”的管理配置操作,都需要通过跳板机进行,以确保数据库、“三合一”的核心模块不会直接暴露在互联网上。

4、风险管控

配置通用的“三合一”安全规则,对SQL注入、高危操作等行为进行阻断,防止黑客攻击或来自SaaS企业运维人员的恶意或误操作行为。

5、运维管控

SaaS企业运维人员可使用“三合一”分配的运维账号进行操作,但仅分配给其必要的权限;同时,所有核心数据都会经过数据遮蔽,替换为****等字符,以防止明文泄密;而当运维人员需要较高权限时,则必须提交工单由我亲自审批通过才能获得,用完后也会立即收回。

6、健康检查

配置数据库的健康检查以及“三合一”和SaaS系统的双向健康检查,在第一时间发现异常状况,从而确保业务系统的连续性。

7、数据备份

通过数据库的定时自动备份功能,确保随时都有可还原的数据。

“老李啊,最后我把居安思危、未雨绸缪、防微杜渐这几个成语送给你。我们这些从业者,时刻要牢记,只有把IT安全建设做全、做细、做在前面,才不会临阵磨*、措手不及啊!通过部署安华金和数据安全管控平台,我们公司现已构建起‘三合一的私有域’,在享受SaaS服务便利的同时,不再担心数据会被窃取和破坏,所以我说自己并不担心‘删库跑路’什么的,你知道原因了吧?”

听完我的介绍,李总不禁叹一声:

“老杨,你要是当初就给我介绍清楚,我肯定…”

“哎,这锅我可不背啊!再者说,你现在开始也为时不晚啊!我挂了电话就把安华金和那边的产品经理联系方式发你,后边该怎么做,不用我再多言了吧?”

“嘟嘟嘟…”(李总这电话挂得倒是够快…)

您有一条新的消息:

安华金和产品经理,郑先生:15522228284。记得说是我介绍的啊!

                         ——称职的CIO 老杨敬上

来源:freebuf.com 2020-03-06 14:33:43 by: 安华金和

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论