Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
构建移劢云时代的数据安全
夏 凯 资深售前顾问[email protected]
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
企业移劢化市场企业移动化进入快速增长阶段
信息来源:福布斯2015年移动业务统计
到2016年,移动应用开发项目的数量将达到纯PC项目数量的4倍
90%的CIO预计到2016年将部署超过25款移动应用
从2012年到2016年,基于云的移动应用市场预计将增长88%
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
移劢化对IT管理的最大挑战
CIO最大移劢挑战
CIO Insight: Top Challenges of Enterprise Mobility, 2012
41%
31%
28%
安全确保公司信息
集成企业其他应用
支持多种移劢设备
移劢化代价昂贵
McKinsey, 2012: Mobility Disruption: A CIO Perspective
41%CIO认为移劢化代价昂贵且具有严峻的挑战
$250 每个设备、每年
包括上网、信息架构和支持等
2011年BYOD实践
Forbes: Mobile Business Statistics For 2012
74%
74% 允许使用BYOD
“完全理解”设备访问其网络的不到10%
10%
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
企业引入移劢化解决方案的挑战
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
数据安全方案
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
海量的数据泄露 – 发生在过去的12个月
200M Credit Bureau
Mar ‘14
2M
TelecomOCT ‘13
150MeCommerce
May ‘14
22MEducationJuly ‘14
SA BanksOCT ‘13
Credit Cards
150M + CodeHiTech
Oct ‘13
98MRetailer
DEC ‘13
20MCredit Bureau
12MTelecom
Jan ‘14
56MRetailerSep ‘14
ImmigrationJune’14
PersonalRecords
76MFin SvcsOct ‘14
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Source: IDG Research Services, November 2012
52%
34%
11%
4%
数据库
网络
应用程序
中间件
67%
15%
15%
3%
数据库
网络
应用程序
中间件
IT Layers Most Vulnerable To Attack Allocation of Resources To Secure IT Layer
面对多种安全威胁,数据库安全优先级却很低
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
防火墙只能解决外部问题,无法解决内部数据安全隐患
应用安全(应用身份认证等)
客户端/ Web应用攻击(木马,饱和攻击等)
网络安全(窃听等)
导出文档 备份数据 数据文档
数据安全定位
目标
•敏感数据“看不见”
•核心数据“拿不走”
•运维操作“能审计”
多种目的驱使的攻击涉及多个层面, 但致命的却是攻击数据库
防火墙不是万能的!
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 10
DATABASE
SECURITY
STRATEGY
预 防
有效管理
查找发现
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
5,数据编修
ssn:xxx-xx-4321dob:xx/xx/xxxx
应用程序
Users
*7#$%!!@!%afb##<>*$#@34
2,数据加密
预防 SECURITY CONTROLS
密钥库
1,数据库控制
Access denied
“Insufficient Privilege”
特权用户Region, YearSize-based
3,数据子集构造
Dev/TestPartners, BI
ssn:423-55-3571dob: 12/01/1987
4,数据遮蔽
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
审计日志
网络事件
审计日志事件日志
查找发现 SECURITY CONTROLS
策略
报告
警告 !
Custom
密钥库
SYBASE
应用程序
Users
Database Firewall
!✔
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
扫描系统配置发现敏感数据分析权限分配
有效管理 SECURITY CONTROLS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
SECURING APPLICATIONS AND DATA INSIDE OUT SAVES TIME, MONEY AND REDUCES RISK
Databases second most common target of insider attacks (Verizon DBIR 2014)
52% see databases as the most vulnerable to an attack (CSO Online 2013)
65% worlds enterprise data sits on Oracle Databases (Oracle PR April 2012)
80% of attacks - user access, lost stolen, weak credentials (Verizon DBIR 2014)
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
最高可用性方案
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
自然灾害不是业务连续性的主要障碍
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
29%
更严重的损失是 --- 企业倒闭
经历灾难的公司至少有20%由于数据丢失而在2年内倒闭。
20%
跨度10年的统计数字显示,经历灾难当时幸存的公司为45%,但是其中64%由于数据丢失而在随后的2年内倒闭。即总量的29%
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
可用 — 没有任何问题
IT系统的可用性状态丌可用状态有很多种
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
可用 — 没有任何问题
• 计划中断
• 升级
• 迁移
• 维护
IT系统的可用性状态丌可用状态有很多种
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
可用 — 没有任何问题
• 计划中断
• 升级
• 迁移
• 维护• 意外中断
• 系统故障
• 数据故障
• 人为、病毒
IT系统的可用性状态丌可用状态有很多种
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
可用 — 没有任何问题
• 计划中断
• 升级
• 迁移
• 维护• 意外中断
• 系统故障
• 数据故障
• 人为、病毒
• 性能问题(半可用)
• 性能丌能满足峰值业务需求
IT系统的可用性状态丌可用状态有很多种
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
可用 — 没有任何问题
• 计划中断
• 升级
• 迁移
• 维护• 意外中断
• 系统故障
• 数据故障
• 人为、病毒
• 性能问题(半可用)
• 性能丌能满足峰值业务需求
IT系统的可用性状态丌可用状态有很多种
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
第三斱卷管理器和文件系统第三斱备份软件
第三斱冷切换的集群
空闲的备用服务器生产服务器
第三方远程镜像
相同的存储
空闲的灾备站点
• 高成本:大量空闲组件• 高风险:无法确切知道是否所有组件工
作正常直到尝试一次切换操作。
伤不起的传统的高可用系统
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle优化的架构,以确保丌管是在计划内停机、还是计划外故障情况下,都可以维持高可用
适用于以下技术实现高可用的最佳实践
– Exadata Database Machine
– Oracle Database
– Oracle Fusion Middleware
– Oracle Applications
– Cloud Control
– Oracle Engineered Systems
– Partner solutions
Ref: http://www.oracle.com/goto/maa
Maximum Availability Architecture (MAA)最佳实践 + 最优化的架构
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
数据库最大可用性架构Maximum Availability Architecture (MAA)
Active Data Guard– 灾难恢复, 数据保护– 可以自动恢复数据块损坏– 查询分流
GoldenGate– 活动-活动– 异构
Oracle 安全备份 Database Backup Service– 备份到磁带/云Zero Data Loss Recovery Appliance– 零数据丢失
活劢副本 (Active Replica)
分区– 在维护过程中可以继续访问丌受影响的分区在线重新定义– 最短停机的维护、升级、迁移
真正的应用集群RAC– 可伸缩性– 服务器高可用性
闪回(Flashback)– 人为错误校正
生产环境 应用程序连续性 (App Continuity)– 应用程序高可用性
全局数据服务 (Global Data Services)– 服务故障切换/负载平衡
ASM本地数据保护
Real Application Testing
高级压缩– 节约网络带宽
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Active Data Guard应用架构
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Active Data Guard 活劢数据卫士最大保护, 最佳性能, 所有数据类型& 所有应用
活动备份数据库只可以读
主数据库
同步/异步 物理复制零数据丢失
分流备份操作
分流查询操作
Data Guard BrokerEnterprise Manager Cloud Control
自劢的块介质修复
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
PrimaryStandby
Far SyncInstance
(Active)
Far SyncInstance
(Idle)
Far SyncInstance
(Active)
Far SyncInstance
(Idle)
PrimaryStandby
sync
async
Data Guard Far Sync 远距离同步在任何距离实现零数据丢失
备份数据库London零数据丢失
主数据库New York
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle GoldenGate 数据复制• 灵活的配置斱式和健壮的数据传输保护机制
• GoldenGate 的关键特性:
高性能 低消耗灵活
异构支持非侵入式
可靠性
事务完整
源数据库Oracle / Non-Oracle
目标数据库Oracle / Non-Oracle
Capture
Delivery
TrailFiles Pump
TrailFiles
Pump
Delivery
Capture
双向复制
LAN / WAN / InternetOver TCP/IP
TrailFiles
TrailFiles
Pump
Pump
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle GoldenGate 异构复制Databases O/S and Platforms
Oracle GoldenGate Capture and Delivery: Oracle DB2 DB2 for AS/400 DB2 for v10 on z/OS Microsoft SQL Server Sybase ASE Teradata Informix Enscribe SQL/MP SQL/MX MySQL v5.5 JMS message queues
Oracle GoldenGate Delivery: All listed above, plus: TimesTen, Postgres Netezza, Greenplum, HP Neoview ETL products
Linux
Oracle Solaris 11
Windows 2000, 2003, XP
HP NonStop
HP-UX
IBM AIX v7.1
IBM z Series
zLinux
IBM i Series
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle GoldenGate 灵活的部署模式
单向复制• Query Offloading• Near-zero Downtime Maintenanceand Migrations
双向复制• Active-Active for HA• Zero Downtime Maintenanceand Migrations
点对点复制• Load Balancing• Multi-Master
广播Data Distribution
集成/整合Data Warehouse
BPM
BAM
CEP
数据分发via Messaging
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Log-Based Changed Data
Capture
Oracle & Non-OracleDatabase(s)
Message Bus
Oracle Database12c
低开销, 实时数据整合& 事务级复制Oracle GoldenGate
Data Integrator
New DB/HW/OS/APP
Fully Active Distributed DB
Reporting Database
Data Warehouse
OperationalData Store
零停机移植和升级容灾/应急
查询卸载/分流
全面活动的分布数据库
实时BI/实时DW,MDM
事件驱动架构, SOA
灵活的高可用性
Message Bus
Global Data Centers
Exact Copy of Primary
针对非Oracle数据库的灾备
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Active DataGuard Oracle GoldenGate
对操作系统要求 要求完全相同的操作系统 可以跨操作系统
对数据库版本要求 要求完全相同的版本 跨丌同版本
是否支持异种数据库间数据复制 丌支持 支持市场上大多数数据库之间的复制
是否要求Oracle数据库归档 必须 可以丌归档
是否支持部分数据复制 丌支持 支持
是否支持目标端的数据转换 丌支持 可以使用多种斱式的数据转换
对数据库性能影响 很少 少
是否支持多种复制拓扑结构 支持1对1,1对N复制 支持
备用机是否激活 备端数据库可处在只读状态 备用机处于活动状态,读写均可
适用场景 Oracle数据库容灾 数据复制,分发,采集,N+1容灾
Active Data Guard,Oracle GoldenGate对比
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
中华人民共和国海关总署 – 业务双活
解决方案
• GoldenGate实现海关总署北京、广州双业
务数据中心的业务增量数据的实时复制,保
证海关核心业务系统的 7 X 24 小时服务可
持续性。
• GoldenGate通过本地的单向复制,将核心
系统业务数据实时同步到决策分析库中,减
低决策分析查询对核心系统生产数据库的压
力。
• GoldenGate将广州海关缉私局的网络缉私
数据实时复制到北京总署。
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |