去年11月,我们在 BinTools 社区推出了一款新产品——DpEasy。在我们最初设计这款产品的时候,我们给出的定位是「数据库安全风险扫描工具」,目标是提供一种简单、安全且高效的方式来管理数据库账号密码以及分析数据库账号的使用情况,帮助企业更加合理地管理使用数据库账号,提高操作效率,保护数据安全。
但随着与更多客户的深入沟通和市场调研分析,我们发现目前企业除了有外部人员变动造成账号治理困难、内部业务复杂造成数据泄露,应用对于企业进行数据库安全治理的过程中也是重要的一环,关乎到团队运维效率、数据库账号定期更新以及业务的连续性。
因此,我们在原来账号安全分析和账号改密的核心功能基础上,增加了应用服务管理功能,加强安全通道的密码存储和传输,避免账号变更造成应用停机和业务中断,确保数据安全、业务连续性和用户体验,全流程审计,提升操作透明度和可追溯性。
在产品迭代过程中,我们也发现这些功能皆属于「特权账号管理」范畴,并且持续的有客户和用户提出了关于「数据库特权账号管理」的需求。至此,我们团队对产品迭代方向及功能计划进行了深入梳理和规划,最终决定将 DpEasy 定位至特权账号管理——Database Privilege Easy。
「变身」后的 DpEasy,将更加专注解决企业数据库特权账号管理难题,如账号梳理难、风险识别难、账号维护难、满足合规性难。
DpEasy 将通过建设高性能、高可靠、覆盖主流应用和数据库类型、支持账号风险识别、使用治理、密码防护、应用审计的数据库特权账号管理系统,掌握账号密码管控主动性,防止出现账号不当使用、密码失控传播、敏感数据泄露和安全合规风险。
账号梳理、标记、授权
DpEasy 数据库特权账号管理平台可提供一种简单高效的方式来进行数据库账号梳理,全面了解账号的使用情况。
账号梳理
DpEasy 可通过自动同步数据库账号信息,确保信息的实时性和准确性;通过定期获取数据session信息,来监控账号的活跃度和使用情况;通过深入分析来访客户端信息,帮助企业快速了解哪些设备或IP正在访问数据库,从而有效加强数据库的安全管理。
账号标记
平台支持对账号进行多种标记和风险评估。它能够自动区分人用账号和机用账号,防止混淆误用;同时,平台能识别并标记内置的、默认的系统账号及长时间未使用的闲置账号,以优化账号管理。此外,根据账号的使用情况和访问记录,平台会为账号进行风险评分,并生成账号拓扑图,帮助企业直观了解账号风险状况。
授权回收
授权回收方面,DpEasy 支持对非正常访问账号进行授权管理。管理员可通过密码授权,将密码临时授权给用户并限制其有效使用期限,到期后 DpEasy 会自动判定并将账号回收管理,有效防范人员对数据库进行违规操作和恶意使用,确保数据库安全。
账号安全分析与诊断
DpEasy 通过对数据库系统表、会话信息及应用会话信息进行定期扫描和分析,形成针对单一资产的诊断报告和风险视图,并集中呈现风险视图,全局统计风险账号,将相关风险数据提供给数据库运维人员和安全人员,建立 “定期扫描->搜集分析->优化建议->效果监测” 的改进闭环。
定期扫描
基于设定时间,周期性扫描数据库账号访问、使用、权限变化情况,捕获并分析数据库会话信息,以了解账号的实时活动状态;抓取应用服务分析,识别与数据库连接相关的潜在风险。
搜集分析
基于采集的账号、权限、访问数据,DpEasy 会进行账号风险统计分析和访问来源分析,形成风险分析和建议报告,清晰呈现风险点和可能的影响。
搜集分析
根据风险分析建议报告,DpEasy 会为数据库运维人员和安全人员提供具体的优化建议,进行账号权限过高、共享使用、不当访问方式整改,防止问题蔓延。
效果监测
在实施优化建议后,DpEasy 会继续对数据库进行定期扫描,进行改善前-后数据对比,监控改善行为效果,不断调整策略,形成最佳实践。
数据库账号密码备份
DpEasy 具备数据库账号密码全局备份能力,可一键开启定期备份密钥轮换,指定密钥管理人分别保管备份密钥,以全方位保障数据的安全性和完整性,轻松满足企业多样化的合规规范要求。
账号备份
在 DpEasy 上,用户可用过执行手动备份或自动备份,指定多样的备份方式如本地、邮件、SFTP等。同时保留备份历史记录,使数据库账号密码备份有迹可循,保证备份行为的安全性。
备份密钥
备份密钥可分为三段自动发送至指定密钥保管员邮箱中,备份密钥只用于打开账号备份文件,保障备份的安全性和合规性。
应用侧密码保护与SQL审计
通过自动数据库账号与应用映射关系梳理功能,DpEasy 可高效确定需纳入改密管理的数据库实例下账号信息与关联应用列表,为周期改密建立良好基础。全流程审计,提升操作透明度和可追溯性。
DpEasy数据库特权账号管理平台提供了4种应用接入方式:驱动模式、Agent模式、API/SDK 模式和代理模式,可以全面覆盖Java应用和非Java应用、新建应用和遗留应用,支持传统商业数据库、开源数据库和国产数据库。
应用侧数据库账号密码保护
通过引入数据库密码保护机制,可实现应用侧的数据库账号密码能够以密文形式进行配置,从而极大地加强安全通道的密码存储和传输,提高数据访问的安全性。通过这一策略,即使开发人员拥有应用程序的访问权限,也无法直接查看数据库密码的明文形式,也无法通过解密手段获取密码。
与CloudQuery联动实现应用SQL审计
DpEasy 可通过拦截抓取应用的数据库访问层 SQL,可实现对应用访问的 SQL 进行全面监控,提供详尽的查询日志和统计信息。
同时联动 CloudQuery,在 CQ 审计模块展示应用审计看板。让管理员能够清晰地了解数据库的使用情况,并进行记录和分析,不仅有助于确保数据的安全性,还能帮助组织满足合规性要求,并对数据库性能进行精准优化。
密码管理
根据等保、密码法等要求,密码需要定期进行修改,另外客户内部安全合规角度也需要定期改密让泄露的数据库密码失效掉,封堵私有访问链路。
DpEasy密码变更支持平滑改密,通过密码双轨制解耦数据库密码变更和应用发布操作,特别是驱动模式下不需要重启应用,可以简单、快速、低成本、低风险的实现周期性改密。
DpEasy 提供密码策略设置、密码变更操作申请、审批、审计日志全流程相关节点管控,保证改密过程可见、可审、可靠,从技术层面和流程层面双重把关。同时可对数据库实例设定账号风险自动扫描计划和账号密码自动更新任务,周期性定时执行风险扫描分析和密码更新作业,提高数据库账号的监控管理效率。
监控审计
DpEasy 提供了详尽的改密设置、操作、申请审批及组件访问状态等明细日志数据,同时以管理员视角呈现全局总览,为数据库密码管理提供了体系化的支撑视图。
- 密码状态监控: 数据库侧密码变更和应用侧密码配置更新情况监控,密码是否超过合规更新周期。
- 变更流程审计: 改密申请审批全流程环节信息可提供审计查看,方便还原改密现场。
- 平台操作审计: 提供对用户在平台上所有登录登出、系统配置、改密设置等操作审计能力
- 组件和应用访问监控: 实时监控改密服务和应用访问数据库健康状态,保障业务连续性。
介绍了这么多 DpEasy 的核心能力,那么新版本的 DpEasy 将何时上线?
🎉 6月5日,DpEasy 1.4 将携众多新增功能在社区正式发布!新版本将为大家带来更加全面、高效和安全的数据库特权账号管理方案!
本次全新版本,我们增加了统一账号扫描入口,增加了对闲置账号、幽灵账号、弱密码的诊断分析;增加了自动改密计划,支持多种自动计划,如改密计划、扫描计划、备份计划;增加了风险视图;增加了自动账号备份计划……
🌱 6月5日,期待大家一起下载体验~ 我们也将热切期盼届时大家的反馈和建议,携手共建全新的 DpEasy!
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。