在12日的论坛上，华为云安全专家分享了云上数据库一体化保险箱，展现了华为云数据库安全技术的优势。当前，公有云数据库业务的最大困局就是数据泄漏，涉及的行业也愈加广泛，据统计，全球受数据泄露影响最为严重的行业有金融、政府、制造、电商、教育、医疗等，一旦发生，损失惨重，针对此类数据库的安全防范因此成为企业数据库上云首要考虑的问题。

华为云数据库安全服务（Database Security Service，简称DBSS），经过华为内部大规模实践和广泛邀请各行业企业试用后，已经在今年上线华为云。作为一款智能的数据库安全防护服务，能够更加全面的解决前文提到的敏感数据泄露的问题。该产品基于反向代理机制，提供敏感数据发现、数据脱敏、数据库审计和防注入攻击等功能，真正实现从事前、事中到事后的全生命周期防护，保障云上数据库的安全。

华为云安专家在会上介绍了华为为什么要研发这款产品，到当客户把数据库迁移到云上使用时，在享受了弹性按需的云计算技术带来的便利同时，往往忽视对核心价值资产的安全防护，或者并没有给予整个数据库使用生命周期的考虑来设计安全防护方案。云上数据库需要考虑事前、事中、事后的安全设计思维，从用户的角度思考，华为云需要做些什么来保证数据库中的数据在使用前后的安全性。

市面上进行数据库安全防护的常见方式有三种。第一种是透明桥接模式，是指设备直接处于数据转发的链路上，直接捕获数据报文并执行各种访问控制，不会对IT现有基础架构产生影响，并且不会对DB应用系统的可用性和性能产生影响。Agent监控模式是指通过安装Agent软件实现对数据的采集和管理，由于Agent代理软件运行在被监控的主机，所以对该Agent软件的性能和可靠性有较高要求，同时由于采集的数据量较大，需要占用比较多的内存。

Proxy模式与Agent模式都是建立在应用层上的服务软件，它接受来自Application的请求，然后把请求转发给内部的DB服务器，并把DB服务器的结果返回给Application，对Proxy软件的性能和可靠性有较高要求。华为云的数据库安全服务就是采用的这种模式。

数据存储的关键位置仍然在数据库中，而现状则是，大量互联互通的企业环境中，数据库普遍缺乏有效安全防护。传统的防护手段通常有规则库机制和旁路审计机制两种，都偏重于在单点或者在入侵发生后进行回溯，而没有前摄的主动防御机制，无法提前对敏感数据进行保护，从而让数据库中的重要资产实质上处于裸奔的状态。

华为数据库安全服务能够更加全面的解决前文提到的敏感数据泄露的问题。可以按SOX，HIPAA，PCI DSS等法规进行合规分析，通过正则表达式来添加特定的自定义敏感信息，按日期（每天一次、每周一次或每月一次）或模式更改进行计划扫描。对于密级较高的数据，也可以采用密钥管理服务（Key Management Service）来进行加密。该服务采用专利技术反向代理模式，这样设计的最大好处就是可以实时阻断恶意请求，一遍处理同时满足数据库防火墙、数据脱敏、数据库审计三大功能，而几乎没有性能上的损耗。由于内置了合规库，可以真正实现自动化一键脱敏，并且输出符合合规要求的审计报告，大大降低运维人员的分析工作量。真正做到事前，敏感数据早发现；事中，实时防御恶意攻击，动态脱敏正常访问；事后，多维审计满足合规。

通过三步走的数据库安全防护设计，相信您的数据库系统从此固若金汤，从此告别被动响应的救火队员角色，为您的云上数据资产加把锁。

如需了解关于华为云数据库安全服务的更多信息，欢迎阅读华为官网服务信息：https://www.huaweicloud.com/product/dbss.html