自2011年以來，多家互聯網站頻發被黑客公開用戶數據庫的事件，超過5000萬個用戶帳號和密碼在網上大規模被泄露，數據庫拖庫事件頻發。2018年某中文論壇上，公然出現了售賣國內知名酒店集團數據庫的“廣告”，詳細信息合計近 5 億條，涵蓋了入住者及酒店會員個人信息、入住登記、開房記錄等內容。

最近，網絡安全組織GDI基金會又爆出，有數以億計的中國用戶私人聊天記錄被泄露在互聯網上。據美國電信公司Verizon 2018年發布的年度安全報告顯示，在數據泄露原因方面，62%的數據泄露與黑客攻擊有關；81%的的數據泄露涉及到撞庫或弱口令。

數據庫泄露的原因很多，數據庫管理員安全意識弱、程序設計沒有考慮安全冗余性、應用層漏洞等均可導致數據庫拖庫、數據泄露。單一的安全手段已經無法防范數據泄露的多重風險，只有多手段并用才可以最大程度地提高數據安全。

由世紀互聯運營的Azure服務平臺通過多種先進的安全技術構建完整的安全平臺，從多角度、多層面保護用戶的數據安全，防止數據泄露事件的發生。Azure中國版SQL數據庫服務目前已提供了以下四種數據庫安全增強配置，分別是高級數據安全（ADS）、透明數據加密（TDE）、動態數據掩碼（DDM）、審核（Audit），真正做到了多維度數據保護。

高級數據安全 (ADS)

高級數據安全 (ADS) 是一種從策略上保護數據庫安全性的機制，它提供一組高級 SQL 安全功能，包括數據發現與分類、漏洞評估和威脅檢測。漏洞評估可以發現、跟蹤并幫助修正潛在的數據庫漏洞，分析檢查身份驗證與授權配置、數據保護設置、外圍應用設置、審核配置等，并提供相應的修復方法與建議。它可直觀查看安全狀態，包括解決安全問題的可操作步驟，并可加強數據庫的防御工事。

如上圖所示，檢測結果發現dbo賬戶被當作普通用戶去使用，這被標記為中等風險，因為dbo具有最高的權限，ADS功能會針對不同風險給出相應建議與解決方法。

除了對數據庫漏洞及配置進行評估，ADS還集成了威脅檢測模塊，對常見的風險如SQL注入等進行檢測，用戶可根據需要勾選。 來自異常位置的訪問、陌生賬戶的登錄、暴力破解SQL憑據的行為都可以被檢測到并觸發警報。

ADS功能支持設置定期掃描、設置安全基線，并生成安全報告發送至管理員郵箱。這些功能有效減少了黑客撞庫或管理員配置弱口令的可能性。

透明數據加密 (TDE)

透明數據加密 (TDE) 是一種從元數據層級保護數據庫的方式，它有助于保護 Azure SQL 數據庫、Azure SQL 托管實例和 Azure 數據倉庫免受惡意活動的威脅。 它可執行靜態數據庫、關聯備份和事務日志文件的實時加密和解密，無需更改應用程序。 默認情況下，為所有新部署的 Azure SQL 數據庫啟用了 TDE。

 

 

 

 

TDE功能可以防止數據庫文件（mdf/ndf/ldf）被附加到非授權服務器或者使用TDE功能的備份文件被輕易還原到別的服務器上，從而進一步加強了數據的安全性。對黑客拖庫行為有一定的限制作用。啟用TDE后，將組織內部的密鑰與數據管理責任相分離，即使非授權人員在取得數據庫后，如無密鑰，無法在異地還原盜取的數據庫。

 

 

 

如上圖所示，我們在本地試圖還原一個啟用過TDE的數據庫，在沒有密鑰的情況下顯示還原失敗。這樣，即便數據庫文件層級泄露，黑客也無法訪問數據。

動態數據掩碼（DDM）

動態數據掩碼技術用一種假名化（pseudonymization）手段保護元數據，通過對非特權用戶模糊化敏感數據來限制此類數據的泄露。動態數據屏蔽允許客戶指定在對應用層產生最小影響的前提下可以透露的敏感數據量，從而幫助防止未經授權的用戶訪問敏感數據。它是一種基于策略的安全功能，會在針對指定的數據庫字段運行查詢后返回的結果集中隱藏敏感數據，同時保持數據庫中的數據不變。

例如，我們用管理員賬戶在數據庫中創建表dbo.JOBS并插入數據:

開啟動態數據掩碼功能，并設置掩碼字段, 掩飾工資字段:

切換為非管理員賬戶后執行查詢:

如圖所示，敏感字段已經自動按照配置規則進行掩飾。這項功能在一定程度上緩解了非拖庫行為造成的數據泄露，例如SQL注入。該功能目前支持自定義屏蔽規則及屏蔽函數。

審核（Audit）

除了上述安全功能，Azure版SQL還具有審核功能。審核 Azure SQL 數據庫和 SQL 數據倉庫會跟蹤數據庫事件，并將這些事件寫入 Azure 存儲帳戶、OMS 工作區或事件中心中的審核日志。審核功能幫助管理員追溯數據庫發生的事件，它能告訴你“誰什么時候做了什么事情”。具體是指審核SQL Server 數據庫引擎實例或單獨的數據庫涉及到跟蹤和記錄數據庫引擎中發生的事件。

如圖所示，審核日志提供了訪問者IP地址、賬戶名稱、事件類型、執行語句等詳細信息，幫助數據庫管理員定位問題，及時排查風險，解決隱患。

Azure版SQL數據庫依托強大的Azure平臺，不僅支持以上安全特性，還集成了一些平臺的安全特點，如集成Azure AD身份驗證、服務器級別IP防火墻、傳輸過程加密等特征。通過分層深度防御的方法，分別在網絡安全、訪問管理、威脅防護、信息保護四大方面無死角保護用戶虛擬資產安全，盡可能降低數據泄露風險。

當然，數據千萬條，安全第一條；配置不規范，用戶兩行淚。Azure為廣大用戶提供了強大的安全防護，數據庫管理員還需要樹立安全意識，減少不規范的配置問題，杜絕弱口令，嚴格限制賬戶權限，適當開啟IP訪問白名單，減小黑客攻擊面。

（本文作者陳初，世紀互聯藍云ISC security團隊工程師）