安华金和防护知名车企数据跨境安全
作者:安华金和 发布时间:2020-04-27

微信图片_20200427161522 (1).jpg

数据跨境场景

随着欧盟《通用数据保护条例》GDPR颁布以来,频繁开出的巨额罚单赚足了全球观众眼球,也让欧盟内企业对数据安全保护与管理愈发重视。数据只有在流动中才能创造其根本价值,而数据在流动中的非安全使用,也会为企业造成核心数据资产泄露的风险,甚至招来最高2000万欧元或其全球营业额4%的罚款(以高者为准)。对一些中小企业来说,巨额罚款无异于灭顶之灾,即便是亚马逊这样的科技巨头,全球营业额的4%同样是一笔堪称天价的罚单。2017年,中国《网络安全法》的正式施行,把对数据的使用要求上升到法律高度;同年《个人信息安全规范》的发布,也将对隐私数据的安全使用提升到了全新高度。

随着经济全球化的持续发展,业务遍布世界各地已成为很多企业的常态。其中,德国某知名豪车企业耕耘中国市场超过20年,中国大陆已成为其在德国本土外最重要的业务阵地,尤其是中国区的汽车和金融业务在该集团业务中拥有举足轻重的地位。严守“不触碰法律红线”这一准则,是其百年来得以持续稳步发展的重要基础之一,而面对欧盟GDPR以及中国大陆相关法律的共同监管,如何确保在企业业务正常开展的同时满足政策合规要求,就成为了该车企数据安全建设的首要任务目标。

微信图片_20200427161533 (1).jpg

为此,四大咨询公司的专业咨询报告,为该车企制定了完善的数据安全建设方案;其中,针对“个人隐私数据的跨境访问监管”这一首期建设内容,安华金和因连续2年入选Gartner数据安全领域技术成熟度曲线研究报告,成功入围该项目的备选厂商;后经该车企对一众候选厂商的多方面考量,安华金和最终凭借全方位的行业技术积累、扎实的已落地项目案例和持续稳定的售后服务能力等优势因素胜出,成为该知名豪车企业数据库安全项目的唯一供应商。由安华金和提供的,以数据库安全预防为主、防治结合的纵深防御方案,得到该客户的高度肯定并全部予以采纳。

客户价值实现

安华金和根据该车企现阶段对数据安全建设的基本诉求,在客户数据库资产清单相对完善的情况下,制定了包括针对性主动检查预警、运维过程中数据跨境的合规访问、开发测试过程中合规使用生产型数据以及事后追溯在内的,由前到后的纵深防御体系,并实现以下价值效果:

微信图片_20200427161537 (1).jpg

1、数据库漏洞情况摸底排查

客户的IT过程管理相对规范,有完善的数据库资产登记信息和日常管理制度;同时,业务系统以外购或现场定制开发居多,存在不同的供应商、多年不同阶段的建设以及数据库版本跨度较大等情况。DBA运维人员日常更多关注的是对业务系统的持续服务能力,主机安全人员更多关注的是数据库主机安全,且两组安全人员对数据库漏洞情况的关注都比较少,而这些漏洞却极有可能成为数据泄露或安全攻击的突破点。针对以上问题,可通过安华金和数据库安全评估系统(DSAS)对数据库逐一进行扫描,主动发现当前版本存在的数据库漏洞,评估漏洞可能影响的范围并提出修复建议。

2、跨境数据有效管控

该车企在全球有多个分公司,遍布南非、北美、印度、英国、德国本土以及中国大陆等地区,根据业务的开展情况运维也由分散在这些分公司的员工分别完成,是真正24小时不间断的多国团队协作。在线上生产库的日常运维及数据分析过程中,几乎难以避免运维人员有意或无意接触生产数据的情况,而此类数据含有大量个人敏感信息,这就成为数据跨境背景下最有可能的潜在泄露通道。

通过部署在中国区数据中心的安华金和数据库运维管理系统(DOMS),可对境外运维人员访问存储在中国境内数据的行为进行审核与管理。其中,对数据库系统级的运维全部放行,由客户现有的操作制度进行规范;对业务表的任何操作都需提交运维操作申请,并由业务主管及IT安全主管交叉审批通过后方可执行;对未经审核通过的业务运维操作,以及已审核通过但在非授权时间、非授权终端、非授权范围的操作进行阻断,从根本上杜绝运维侧敏感数据泄露的可能。

微信图片_20200427161542 (1).jpg

与此同时,系统内置的运维中敏感数据防泄露功能成为了客户最意外的收获:运维过程中会涉及到部分业务数据的校对,运维人员会看到其中的敏感数据,如手机号、身份证号、银行卡号、车架号等信息,而通过预设的敏感数据保护策略,可将经过脱敏处理的数据返回给运维人员,从而在满足日常运维需要的前提下,有效规避了无意识的敏感数据泄露。

3、全链条审计数据库访问行为

通过多种流量采集方式,将应用服务器、运维人员对数据库的日常访问流量进行解析、归类、入库,并对数据分类统计汇总,提供数据使用情况的分析;预设的非合规行为一旦命中规则即生成实时告警,并通知到安全管理人员。在对违规事件的事后追溯上,从风险维度开始,使用“一钻到底”的操作方式,提供从风险到风险语句详情、风险到语句模板(风险行为的抽象化)、风险到访问源、风险到会话再到语句流水等多种追溯路径,易于上手。

此外,丰富的统计和报表功能为DBA对数据库,以及业务人员对应用系统的优化提供参考,如数据库语句和会话执行压力情况,语句执行频度Top分析,高耗时语句Top分析等。在满足政策合规的同时,提供了数据库管理的实用价值。

4、提供有效的高仿真生产数据

该车企业务系统主要由外包团队驻场定制开发完成,在业务系统的持续开发过程中,需要生产库的数据进行开发和模拟测试。生产环境真实业务数据会导出到本地,进行离线的二次数据分析,从而对企业经营战略调整提供参考。虽然有线上和线下系统的逻辑层隔离,但从线上生产环境导出的数据不经过变形就直接交付给线下环境使用的话,很可能直接成为敏感数据泄露给第三方的通道。而传统的脚本式脱敏不够智能化和产品化,甚至脱敏后的数据无法保证其原有的格式和特征,失去了数据间的关联关系,即使脱敏后也无法在开发测试或统计中实现正常的二次使用。此外,越多的人工介入越可能增大过程中的数据安全风险,对风险高度敏感的外资企业对过程中存在的数据安全风险的识别与规避尤为重视。

方案中的安华金和数据脱敏系统(DMS),可为客户提供一套自动化的数据脱敏方式。在对从线上获取的数据源进行敏感数据识别后,经过灵活的脱敏算法变形,既保留了数据原有的格式和特征,也保留了数据间的关联关系,令脱敏后的数据可安心用于开发环境或BI分析,而不必担心生产库敏感数据泄露。同时,通过定时任务进行全自动的脱敏过程,替代了原有繁琐且容易出错的人工手动脱敏,从而极大规避了数据离线使用过程中的传输与使用风险。

技术特性支撑

项目实施过程中,先后遇到了多个需要突破的技术点,安华金和交付团队在充分论证方案可行性基础上大胆尝试了新的技术方案,其中具有代表性的技术点有:

1、多样化数据库流量采集方式

由于客户IT系统建设的历史原因,早期IT系统多以物理机为主,随着虚拟化平台的普及,后期的业务系统逐步向虚拟化平台迁移,这为数据库审计的流量获取带来挑战——单一的物理交换机镜像和探针采集都不能完整覆盖到所有的数据库业务流量。经过实施前的环境调研和分析,在实验室环境模拟现场几类部署场景,创造性的使用了物理交换机镜像、虚拟化平台vDS+GRE隧道方式、Agent探针三种方式混合采集流量的方式:

(1)针对早期部署的数据库物理机,采用物理交换机镜像方式将流量聚合后导入数据库审计DAS系统的镜像接收网口,一次部署无需后期网络维护。

(2)部署在虚拟化平台的数据库主机,且虚拟化平台具备虚拟交换机vDS功能,则在网络层通过vDS将流量聚合,并在外层打上一层GRE隧道封装后定向到DAS系统的指定IP上,一次部署无需后期网络维护。

(3)对于业务系统和数据库集成部署在物理机上,以及虚拟化平台不具备vDS和GRE隧道封装能力的数据库主机,在数据库主机上部署轻量级探针方式采集数据库访问流量。

微信图片_20200427161548 (1).jpg

2、通信链路加密下的数据库行为管控

在项目实施前,安华金和调研到客户有约1/4的数据库为Oracle,根据内部统一安全建设要求采用了Oracle Advanced Security通信链路层加密,这对整个数据库串接类产品来说提出了巨大的挑战,甚至在咨询公司的技术调研和分析下,客户已基本放弃了该类场景的适配。为此,安华金和专门建立了以数据库攻防实验室为主的技术攻关突破小组,深入分析Oracle通信加密机制,进行大胆猜测,并使用工程逆向方式逐步验证猜想,去繁就简挑选了Oracle通信加密方式的AES 256作为首先突破点,进一步破解其指纹信息在通信协商和加解密过程中对公钥和私钥的使用与交互流程,论证了在通信层链路加密条件下对数据库访问行为管控的可行性。这在业界都是首屈一指的关键核心技术突破,充分证明了安华金和在数据库攻防领域的技术领先优势。

在可行性调研论证通过后,安华金和围绕实现原理和实现效果向客户进行了汇报,客户了解技术复杂度后充分给予了安华金和信任和相对宽松的技术突破氛围,终于在4个月内完成了从可行性调研、关键技术突破以及代码化和产品化的过程,并在生产环境成功完成功能验证与试运行。

3、与集团安全管理业务体系无缝集成

优秀且适合的产品应尽可能多的应用到日常业务使用中,以最大限度的减少使用成本。只有与集团安全管理业务体系无缝集成,才能让安全管理日常化。在了解到客户内部使用了AD域账户一账通后,安华金和在短时间内完成了产品与客户SSO单点登录系统的适配,使用日常办公的域账户可以无缝登录到数据库安全系统。

同时,安华金和数据库运维管理系统强调多角色人员协作完成运维动作的申请和流程审批,以及日常的安全访问控制规则,通过与域账户的打通,将AD域上的账户权限与本地数据库运维管理系统进行绑定;使用一账通登录系统后,在用户无感知的情况下即可自动分配用户可见的操作权限和数据库管理权限,将系统强大的账号管理体系与业务深度融合,真正应用于日常业务。

市场前景展望

该项目的成功交付,说明在同时应对欧盟GDPR和中国《网络安全法》、个人隐私敏感信息保护、数据跨境访问等相关法律法规监管方面,安华金和的数据安全治理解决方案具备良好的可行性与可操作性。安华金和在业内多年的技术积累和在关键核心技术上的攻坚突破能力,成为方案能够有效落地的坚实后盾。同时,该方案可作为驻华外资企业、合资企业等的通用解决方案,帮助更多客户满足政策法规对企业经营的要求,让业务发展走得更稳、走得更远。