能力概述
数据库防水坝
数据库防水坝,针对敏感资产及敏感操作,提供围绕数据库访问全会话的最小化权控能力,通过在不可信的内部环境建立可信防线,解决人的安全问题。
网关集成了数据库准入控制、敏感资产/敏感SQL/数据库账号授权、动态访问控制、敏感数据脱敏、误操作恢复、访问行数控制等能力,解决数据库运维场景面临的账号共享、敏感数据泄露、删库跑路、越权操作、意外删除等各类数据安全问题。
功能特点
-
默认不信任
采用零信任主动防御机制,默认杜绝任何一切未授权的运维访问,包括直连数据库行为
-
账号安全托管
提供账号托管/免密登录能力,规避真实账密泄漏风险,实现账号安全管理
-
资产细粒度管理
支持从数据库、 schema、表、 列的敏感资产归类管理授权
支持视图、函数、触发器、存储过程的安全管控
-
数据库准入控制
独有安全客户端、动态指纹等多因素校验机制,实现身份的可信鉴别和严密的准入控制。
-
分类分级自适应管理
内置分类分级管控策略,海量数据自适应防护
-
个性化访问授权
针对敏感资产的DML(增/删/改/查)操作授权
针对敏感SQL、高危操作的独立授权
运维访问脱敏授权
-
安全防御机制
账号安全防御、防扫描、行数管控、数据恢复、应用防假冒
-
授权审批
提供多层级的工单审批机制,建立安全合规的访问流程。
能力优势
-
主动式防护机制
风险更易把控
-
规范安全管理机制
严格控制数据无序访问
-
补齐堡垒机短板
实现数据库层细粒度运维管控
-
全面身份检测机制
有效拦截非法用户
主动式防护机制
风险更易把控
规范安全管理机制
严格控制数据无序访问
补齐堡垒机短板
实现数据库层细粒度运维管控
全面身份检测机制
有效拦截非法用户
应用场景
场景一:数据库基础信息暴露
通过反向代理模式部署防水坝,将数据库真实IP、端口、账号密码进行隐藏,运维人员访问数据库时无需知道数据库的真实账号密码信息,根据访问权限分配临时账号进行访问,临时账号与真实的数据库账号绑定,形成映射关系,由防水坝代理访问。
场景二:窃取、篡改数据牟利
通过防水坝限制运维人员的操作权限,对操作过程中的行为进行监测管控,防止运维人员操作数据库的过程中违规导出数据或删除数据。
场景三:删库跑路、高危操作导致数据不可用
通过防水坝的高危操作管控和误操作恢复功能,设置增删改权限,权限外人员无权进行操作,对权限内人员的操作行为进行严格管控,并支持对误操作后的数据进行恢复。
场景一:数据库基础信息暴露
通过反向代理模式部署防水坝,将数据库真实IP、端口、账号密码进行隐藏,运维人员访问数据库时无需知道数据库的真实账号密码信息,根据访问权限分配临时账号进行访问,临时账号与真实的数据库账号绑定,形成映射关系,由防水坝代理访问。
场景二:窃取、篡改数据牟利
通过防水坝限制运维人员的操作权限,对操作过程中的行为进行监测管控,防止运维人员操作数据库的过程中违规导出数据或删除数据。
场景三:删库跑路、高危操作导致数据不可用
通过防水坝的高危操作管控和误操作恢复功能,设置增删改权限,权限外人员无权进行操作,对权限内人员的操作行为进行严格管控,并支持对误操作后的数据进行恢复。
相关资料
浙公网安备 33010502006954号 
