9-張磊-探索 PG 的高效訪問與安全管控之道.pdf

《9-張磊-探索 PG 的高效訪問與安全管控之道.pdf》由會員分享，可在線閱讀，更多相關《9-張磊-探索 PG 的高效訪問與安全管控之道.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、探索 PG 的高效訪問與安全管控之道杭州圖爾茲信息技術有限公司 2024 版權所有自研產品線3條知識產權34企業文化氛圍工程師文化四大核心行業金融、政府、醫療、現代制造業團隊研發比例80%平均年齡29歲核心成員以阿里經驗者為主成立于2018年3月總部位于浙江杭州團隊為技術研發導向的工具產品型軟件公司關于圖爾茲圖爾茲 取名自Tools，主要面向IT，故標識主體為Binary Tools即BinTools。我們信奉工具的力量，致力于“Tools 讓 IT 更美好”！公司圍繞按數據操作和運維提供全套數據庫（包括大數據）安全解決方案。通過自研，建立3條產品線，分別是：CloudQuery數據庫管控，D

2、PEasy數據庫密碼變更，AskPanel 安全面板運維，全面助力對數據內容敏感且不愿犧牲效率的政府和企事業單位。目前有4大核心行業：金融、政府、醫療、現代制造業，并已與大數據安全行業內諸多知名企業形成產品間的戰略合作關系。杭州圖爾茲信息技術有限公司 2024 版權所有02CloudQuery效率與安全設計03未來規劃01PG數據庫訪問管控現狀目錄與PG相關/兼容的數據庫家族體系不斷發展壯大國產數據庫數量國產數據庫份額數據庫技術形態截至2024年3月墨天輪上共288款國產數據庫參與排名國產數據庫份額25%(?)左右，未來將加速國產替代NewSQL、分布式、HTAP、serverless、湖倉一

3、體、內存技術、超融合與流式處理、云原生數據安全法規對數據庫訪問控制和審計要求日益嚴格網絡安全法數據安全法個人信息保護法等保2.0金 融金融數據安全數據生命周期安全規范個人金融信息保護技術規范醫 療電子病歷評級互聯互通評級醫療等保政 府政務服務平臺基礎數據規范關于規范省級稅收大數據平臺建設和加強數據管理的通知企業DCMM數據庫訪問管控現狀及問題 客戶端堡壘機其他協議內部開發內部運維三方代運維開發集成商散點狀訪問通道效率問題安全問題賬號共享賬號多人共享，操作行為難以定位到人，易造成賬號泄漏權限失控權限管理混亂，員工被賦予過多的超出其工作所需的權限數據泄露核心數據缺乏脫敏保護和導出控制，存在數據泄露

4、風險客戶端種類多數據庫細分導致工具復雜多樣，頻繁切換，學習成本高管理難度大不同數據庫擁有不同用戶權限體系，無法統一管理缺少協作流程權限申請授予、數據變更導出等日常操作缺少一體化流程傳統工具方式難以兼顧效率與安全客戶端1客戶端2客戶端3共享的真實數據庫賬號/權限堡壘機傳統桌面客戶端堡壘機內嵌客戶端效率安全數據庫支持內置SQL編輯器使用靈活性賬號安全權限控制數據脫敏操作審計傳統桌面客戶端國外數據庫有一般直聯數據庫，賬號密碼泄露風險無無無堡壘機(內嵌桌面客戶端)國外數據庫有一般密碼代填，登錄繞過風險庫級無字符審計與錄像回放理想中的數據庫客戶端應該長什么樣多種數據源支 持 P G 家 族 體 系 及

5、其 他 各 種 類 型RDBMS、NoSQL、HTAP、MPP、BigData數據源細粒度權限控制可提供比數據庫內置權限體系顆粒度更細更靈活的權限控制能力，多樣化的授權方式和策略數據訪問保護對明文敏感數據支持動態脫敏、靜態脫敏，可控制數據查詢和導出數據量，結果集水印防止數據泄露操作審計分析精準記錄用戶對數據庫的所有SQL訪問和操作日志，通過不同維度對操作進行審計分析和溯源企業級集成與企業內部的用戶系統、流程工單、審計中心等管理平臺無縫集成，形成一體化的管控體系流程協同將在客戶端上的日常操作和流程申請進行有效銜接，操作、變更、權限申請賦予一站式搞定理想客戶端=統一+效率+安全提供統一的數據庫訪問

6、入口，在高效使用的同時透明化加入安全防護機制新一代詢盾CloudQuery數據庫訪問客戶端支持RDBMS、NoSQL、MPP、大數據等多達20多種數據源。豐富的數據源多云異構數據庫統一訪問，完全替代傳統桌面數據庫開發工具，簡單易用。統一的Web客戶端覆蓋數據庫使用上下游全鏈路各團隊角色成員，實現高效敏捷數據操作與管控。多人高效協同用戶多因素認證、對象最小權限控制、數據脫敏加密、導出水印、操作審計360度無死角防控。全方位數據安全通過自研數據庫客戶端和SQL解析引擎實現統一人員訪問入口、統一數據庫客戶端、統一授權管理、統一協作流程、統一監控審計詢盾CloudQuery對PG的支持數據類型常見數據

7、類型高階數據類型函數內置函數用戶自定義函數對象表外表視圖物化視圖SQL語言PL/pgSQLPL/SQL函數存儲過程序列CloudQuery已支持眾多PG家族體系數據庫，對數據類型、函數、數據庫對象、SQL語法也做了良好的兼容和適配。支持列表(不斷增加中)PGMogdbGreenplum瀚高OpenGaussTDSQL PGGaussDBKingbase PG 海量數據PolarDB PG 神州通用詢盾CloudQuery自研SQL引擎SQL引擎解析詞法分析語法分析鑒權操作對象分析主體分析數據保護數據保護配置操作對象匹配執行連接管理事務管理結果集處理結果集管理字段標準化方言適配標準對象封裝RBA

8、C權限鑒別權限策略命中鑒別高危操作保護SQL改寫SQL執行歸并處理權限服務數據保護服務SQL引擎可有效兼容屏蔽各類數據庫的SQL方言與權限服務、數據保護服務聯動實現權限管控和數據脫敏保護SQL輸入詢盾CloudQuery效率與安全功能的設計考慮效率安全使用效率管理效率全 鏈 路 管 控多因子認證自然人賬號行列級授權過期自動回收高危操作攔截告警關鍵數據脫敏自動掃描發現查導分離數據水印操作軌跡記錄行為回溯操作體驗兼容高效SQL編輯器SQL規范模板操作備份與閃回批量腳本執行數據源批量納管統一授權方式豐富授權策略內置流程工單企業級集成客戶端如何實現與傳統數據庫桌面工具兼容和增強兼容可視化數據庫對象管理

9、對象右鍵功能菜單 增強右鍵菜單權限數據庫對象操作權限元素瀏覽區兼容智能語法提示和高亮常用工具欄SQL編輯區增強SQL權限控制、操作閃回快捷工單、個人腳本倉庫兼容樹對象信息 增強運行任務訪問權限申請單輔助側邊欄兼容結果集展示、編輯執行日志 增強結果集編輯、導出權限結果集過濾、脫敏結果集和執行日志兼容執行語句、字符集、光標位置.狀態欄詢盾CloudQuery SQL規范模板為更好提升SQL編寫的性能和規范性，平臺內置Oracle、SQLServer、MySQL、PostgreSQL多種數據庫SQL審核規則模板，可在SQL窗口、工單場景啟用，且支持自定義審核規則，更好適配內部使用實踐。內置標準SQL

10、規則模板默認提供常用數據源DQL、DML、DDL、使用建議、命名規則等多種SQL編寫規范。支持多種場景啟用可在SQL編輯窗、數據變更工單、SQL腳本等多個場景啟用審核規則。自定義SQL審核規則規則模板可根據數據庫類型、數據庫實例指定具體生效目標，也可自定義審核規則模板。詢盾CloudQuery 操作備份與閃回解析SQL是否需備份操作備份數據當前業務庫備份庫改寫SQL是否開啟閃回獲取備份數據生成閃回SQL是是SQL編輯窗及變更工單可開啟自動備份，以便誤操作時進行回滾詢盾CloudQuery 批量腳本執行針對復雜場景下自助執行批量SQL腳本提供了編排調度能力與變更工單構成生產庫變更兩種互補方式可在

11、多數據源、多腳本批量執行情況下編排執行順序，既可通過索引文件也可手工調整先后關系。創建任務定義執行方式和錯誤處理邏輯，在管理側對可批量執行腳本的實例也進行權限控制。定義執行方式提供執行日志、腳本替換和重試，執行動作可通知管理人員。執行結果日志詢盾CloudQuery賬號安全管理自有賬號LDAPAD域CAS客戶內部用戶系統用用戶戶中中心心普通用戶獨立分配自然人賬號對接實例納管資源配置數數據據庫庫管管理理管理員納管數據庫實例賬號授權管理賦予訪問操作權限數據庫訪問組件選擇訪問實例獲取真實連接賬號訪問操作普通用戶接觸不到數據庫賬號密碼使用真實身份訪問數據庫，防止數據庫賬號交叉使用或者泄漏詢盾Cloud

12、Query權限管控整體思路人員A人員B人員C用戶管理角色管理認證管理組織管理賬戶A權限A賬戶B權限B賬戶C權限C通過將不同類型數據庫的賬號權限體系統一抽象至客戶端平臺結合SQL解析引擎、Pipeline執行框架實現精確、細化、豐富的權限管控手段SQL解析引擎+Pipeline執行框架實現細粒度權限控制賬號權限體系上移，在客戶端平臺實現賬號、權限隔離到人資源分組、權限分組、人員分組+屬性時間變量+計數器實現豐富策略詢盾CloudQuery權限管控詳細能力授權模式 手工批量 自動策略 分級授權人員權限 行列級 時間周期 操作行數(限量)操作窗口(限時)結果集與工具權限 訪問安全設置 高危操作攔截

13、導出安全設置對象安全設置兩個權限管控角度：人員+數據庫對象三種授權模式：手工批量授權+自動策略授權+分級授權 主體權限 客體權限無權限僅瀏覽僅訪問可編輯可管理詢盾CloudQuery的三種授權策略數據庫分組分組A分組B權限等級部門A部門B部門C批量授予手工批量授權手工批量授權自動授權自動授權分級授權分級授權人員架構和權限相對穩定，快速實現權限管控部門或臨時性項目組成員變動頻繁，減輕權限管理工作量多部門、多系統獨立閉環權限管理$USER.Dept=A部門$USER.Group=B項目組$TIME.FullTime=202307271430人員屬性變量時間屬性變量$USER.Group=B項目組

14、and$TIME.FullTime=202307271430權限集授權策略動態生效有權限用戶無權限用戶業務庫A業務庫B業務庫C數據庫資源池DBA實例資源管理部門A業務庫A部門B業務庫B部門C業務庫C資源管理職責分發實例授權管理部門管理人員無權限僅瀏覽僅訪問可編輯可管理詢盾Cl oudQ uery的三種授權策略數據庫分組分組A分組B權限等級部門A部門B部門C批量授予手手工工批批量量授授權權自自動動授授權權分分級級授授權權人員架構和權限相對穩定，快速實現權限管控部門或臨時性項目組成員變動頻繁，減輕權限管理工作量多部門、多系統獨立閉環權限管理$U SER.D ept=A部門$U SER.G roup

15、=B項組$TIM E.Ful l Ti m e=202307271430人員屬性變量時間屬性變量$U SER.G roup=B項組 and$TIM E.Ful l Ti m e=202307271430權限集授權策略動態生效有權限用戶無權限用戶業務庫A業務庫B業務庫C數據庫資源池D BA實例資源管理部門A業務庫A部門B業務庫B部門C業務庫C資源管理職責分發實例授權管理部門管理人員詢盾CloudQuery動態脫敏架構流程SQL執行引擎數據保護服務解析鑒權脫敏、行過濾執行結果集處理SQL改寫結果集改寫SQL脫敏改寫和結果集改寫兩種方式結合可以有效規避脫敏規則繞過、覆蓋不同場景類型語句改寫將包含敏感

16、字段查詢的語句改寫，對于查詢中涉及的敏感字段（表列）通過外層嵌套函數的方式改寫。結果集改寫提前獲悉數據表結構，待數據庫返回結果后再根據表結構判斷集合內哪些數據需要脫敏，并逐條改寫結果數據。多種數據脫敏工具和方式保護PG數據庫字段脫敏對字段設計脫敏加密規則和算法，統一數據庫可采用相同密鑰保證加密后正常關聯查詢內置規則脫敏數據庫實例或Schema/DB級別開啟即可生效，通過數據采樣方式對匹配的字段進行自動脫敏仿真脫敏基于數據的邏輯構成，保證脫敏后數據與脫敏前數據的格式一致，用于二次開發測試等使用脫敏掃描通過掃描規則和定時任務周期性掃描庫表，幫助管理員發現未知的敏感數據詢盾CloudQuery所提供

17、的全方位操作審計分析能力審計大盤個性化審計主頁，支持設置和展示統計信息儀表盤，并可靈活自定義儀表盤。對象審計以數據庫對象為角度的獨立審計功能，可以查看指定數據庫對象的操作記錄，用戶權限信息用戶審計以用戶對象為角度的獨立審計功能，可以查看指定用戶擁有的訪問權限、數據庫操作記錄和SQL訪問明細等。操作日志針對數據庫操作和平臺操作日志提供檢索、篩選、查看，方便進行安全問題根因定位?；谄脚_底層接口獲取到執行的SQL語句區別于傳統數據庫審計產品，審計結果能達到百分比準確，審計精確到人詢盾CloudQuery未來的規劃賬號分析 分析數據庫賬號使用和訪問情況，對不當使用和非法來源提供治理建議?？蛻舳斯芸?攔截管控客戶端工具，幫助客戶引入CloudQuery后收斂其他訪問方式?；A能力增強 參考桌面客戶端工具進行基礎能力增強創新，適時引入AI能力。感謝您的觀看！杭州圖爾茲信息技術有限公司 2024 版權所有CloudQueryCloudQuery公眾號公眾號BinToolsBinTools小助手小助手