能力概述
數據庫防水壩
數據庫防水壩,針對敏感資產及敏感操作,提供圍繞數據庫訪問全會話的最小化權控能力,通過在不可信的內部環境建立可信防線,解決人的安全問題。
網關集成了數據庫準入控制、敏感資產/敏感SQL/數據庫賬號授權、動態訪問控制、敏感數據脫敏、誤操作恢復、訪問行數控制等能力,解決數據庫運維場景面臨的賬號共享、敏感數據泄露、刪庫跑路、越權操作、意外刪除等各類數據安全問題。
功能特點
-
默認不信任
采用零信任主動防御機制,默認杜絕任何一切未授權的運維訪問,包括直連數據庫行為
-
賬號安全托管
提供賬號托管/免密登錄能力,規避真實賬密泄漏風險,實現賬號安全管理
-
資產細粒度管理
支持從數據庫、 schema、表、 列的敏感資產歸類管理授權
支持視圖、函數、觸發器、存儲過程的安全管控
-
數據庫準入控制
獨有安全客戶端、動態指紋等多因素校驗機制,實現身份的可信鑒別和嚴密的準入控制。
-
分類分級自適應管理
內置分類分級管控策略,海量數據自適應防護
-
個性化訪問授權
針對敏感資產的DML(增/刪/改/查)操作授權
針對敏感SQL、高危操作的獨立授權
運維訪問脫敏授權
-
安全防御機制
賬號安全防御、防掃描、行數管控、數據恢復、應用防假冒
-
授權審批
提供多層級的工單審批機制,建立安全合規的訪問流程。
能力優勢
-
主動式防護機制
風險更易把控
-
規范安全管理機制
嚴格控制數據無序訪問
-
補齊堡壘機短板
實現數據庫層細粒度運維管控
-
全面身份檢測機制
有效攔截非法用戶
主動式防護機制
風險更易把控
規范安全管理機制
嚴格控制數據無序訪問
補齊堡壘機短板
實現數據庫層細粒度運維管控
全面身份檢測機制
有效攔截非法用戶
應用場景
場景一:數據庫基礎信息暴露
通過反向代理模式部署防水壩,將數據庫真實IP、端口、賬號密碼進行隱藏,運維人員訪問數據庫時無需知道數據庫的真實賬號密碼信息,根據訪問權限分配臨時賬號進行訪問,臨時賬號與真實的數據庫賬號綁定,形成映射關系,由防水壩代理訪問。
場景二:竊取、篡改數據牟利
通過防水壩限制運維人員的操作權限,對操作過程中的行為進行監測管控,防止運維人員操作數據庫的過程中違規導出數據或刪除數據。
場景三:刪庫跑路、高危操作導致數據不可用
通過防水壩的高危操作管控和誤操作恢復功能,設置增刪改權限,權限外人員無權進行操作,對權限內人員的操作行為進行嚴格管控,并支持對誤操作后的數據進行恢復。
場景一:數據庫基礎信息暴露
通過反向代理模式部署防水壩,將數據庫真實IP、端口、賬號密碼進行隱藏,運維人員訪問數據庫時無需知道數據庫的真實賬號密碼信息,根據訪問權限分配臨時賬號進行訪問,臨時賬號與真實的數據庫賬號綁定,形成映射關系,由防水壩代理訪問。
場景二:竊取、篡改數據牟利
通過防水壩限制運維人員的操作權限,對操作過程中的行為進行監測管控,防止運維人員操作數據庫的過程中違規導出數據或刪除數據。
場景三:刪庫跑路、高危操作導致數據不可用
通過防水壩的高危操作管控和誤操作恢復功能,設置增刪改權限,權限外人員無權進行操作,對權限內人員的操作行為進行嚴格管控,并支持對誤操作后的數據進行恢復。
相關資料
浙公網安備 33010502006954號 
