雙11購物狂歡節,阿里巴巴創造的節日,多少剁手黨們翹首以盼。阿里更沒讓大家失望,原本24小時的狂歡,今年延長至24天,真是越玩越大的節奏。聽到這個消息后,我想大概會有兩個群體倍感壓力,一個自然是負責清空購物車的老公們,另一個則是各大物流公司。稍等,我們今天要說的不是快遞員,而是容易被大家遺忘的幕后英雄,物流行業的IT運維人。
幾個月前,我們交流了一家來自上海的大型物流企業,現在,他們已經是安華金和的用戶了。作為國內排名前三的大型物流企業,用戶的信息系統建設起步較早,在2009年即啟動建設以核心業務系統為主體的信息技術平臺,并部署了傳統的網絡安全產品,以應對來自網絡層的外部攻擊。然而,近年來隨著各大電商平臺的交易量飛速上漲,與訂單量成正比的物流數據正在直面愈加復雜的安全威脅。
據統計,2015年快遞企業信息泄露案件達43起,泄露包含消費者個人隱私數據的訂單信息數量,保守估計高達上百萬。在這些案件中,更有數起源于內部人員泄露或內外勾結竊取數據。作為物流行業領頭羊之一,用戶自然不希望這個鍋砸到自己身上,于是有了這一次針對核心數據庫的安全防護交流,希望從安華金和找到滿意的安全對策。
簡單交流后,我們的咨詢工程師將用戶需求歸納為:在不影響業務系統的正常運行下,對來自應用側、運維側的數據庫訪問行為進行監控與審計,提升數據庫安全指數。對于這一需求,旁路部署安華金和數據庫審計系統(DBAudit)顯然是最為合適的解決方案。客戶對方案表示認可,但同時補充道:“對你們產品最大的挑戰恐怕不單是數據庫的安全保障,還有今年的雙十一。”我們明白,在各大電商集體爆發的雙十一期間,對于物流行業信息系統的最大挑戰,自然是超高的數據處理壓力。用戶的核心數據庫系統,主要服務于以淘寶為主的大型電商平臺傳送來的物流信息。系統承載的日均SQL語句數量為3w條/s,而在雙十一期間,日均處理量將飆升至三倍以上。
于是,我們將用戶對數據庫審計產品的關鍵要求定位在兩點:無漏審+無延遲。
實現無漏審
安華金和數據庫審計系統基于對SQL語句的精準解析能力,能夠解決包括長語句、參數化語句、查詢語句結果集、結果集壓縮等解析難點,完美實現100%無漏審。
確保無延遲
面對雙十一期間,高并發量、高語句入庫的實時業務壓力,通過“采樣優化”、專門存儲于檢索技術,實現采集、入庫、查詢、分析各環節無延遲。從而確保實時審計、實時告警。
在項目測試環節中,除安華金和,另有兩家友商同時參與測試。當測試數據量調整至模擬雙十一期間的高峰流量,結果是:兩家在延遲時間上落后安華金和3天以上,其中一家在漏審率上的表現也相差甚遠,我們理所當然的成為中標方。
故事到這里還沒有結束,時隔幾個月,我們接到了另一個項目需求,來自另一家同樣規模的上海大型物流企業。客戶明確表示,是得到來自同行業伙伴對安華金和產品的使用反饋,希望由我們為其核心數據庫系統提供安全加固方案,目的自然是應對即將到來的雙十一。
雖然在上一個項目中,客戶方的產品需求明確定位于數據庫審計系統,但這一次交流后,基于對物流行業安全現狀的了解,我們的咨詢工程師提出了更大膽的方案:部署安華金和數據庫防火墻系統。不僅限于數據庫審計系統的實時告警與事后追責,而是對于來自外部黑客及內部運維人員的數據竊取、高危操作、誤操作等行為,進行實時阻斷。
與數據庫審計系統的功能要求不同,審計的重點在審,而防火墻重點在防,這決定了數據庫防火墻的部署方式必須是串聯。聽到我們的方案,客戶有些猶豫。串聯部署意味著什么?我們自然明白,這意味著我們對于產品在高性能與高可用兩方面的要求更加嚴苛,既要防的準,還要確保對業務運轉速度做到無損,在任何突發情況下不阻斷數據傳輸。但既然敢提出這樣的方案,我們自然深有把握,在詳細的方案中我們給出了四個技術關鍵點:
1、有效應對應用側產生的SQL注入攻擊
當應用側數據庫暴露于復雜的應用交互之中,惡意的SQL注入攻擊是數據庫最大的威脅之一。安華金和數據庫防火墻基于SQL語句的精準解析能力,通過對SQL注入的特征描述,提供默認注入防護策略,實時攔截危險語句。
2、制定有針對性的行業安全策略
產品部署初期將開啟學習模式,記錄用戶日常業務中的各類SQL語句,以建立符合行業特性的語句模型。學習期結束后,根據語句模型開啟黑白名單策略,并針對用戶核心數據庫、核心數據表添加防護策略,設置update、delete影響行數限制,形成一整套符合物流行業需求的安全防護策略。
3、性能上限防護機制保障業務不停頓
針對雙十一的高并發訪問、高語句量執行壓力,開啟性能上限防守機制。基于CPU和內存的使用量動態調節產品處理方式,確保高強度數據量壓力下不影響業務正常運轉。
4、主備模式結合ByPass(鏈路導通)功能提供高可用的安全保障
通過網卡的ByPass能力,并結合“看門狗”機制,當發生設備斷電、操作系統故障、數據庫防火墻核心組件僵死等異常情況時,迅速啟動ByPass模式,重新打通網絡連接,保證業務通暢運行。現場基于雙機HA模式部署,并結合現場交換機的IRF堆疊模式,搭建主備防護體系。
進一步交流中,我們了解到用戶的網絡架構相對復雜,需要進行防護的四個數據庫服務器兩兩構成RAC集群,為了確保不影響業務正常運轉,決定采用雙數據庫防火墻方案,部署于核心交換機與核心數據庫之間,采用透明網橋模式進行串聯。
部署方案圖
兩家規模相當的物流企業,核心數據庫系統的日均數據量非常接近。在測試階段,安華金和數據庫防火墻系統成功經受住考驗,在模擬雙十一的高強度流量壓力下,依然能夠在不影響業務系統正常運行的基礎上,保證SQL語句的精準解析,嚴格執行安全策略,放行或阻斷。用戶終于放下心,認可了我們的安全加固方案。
目前,兩套安華金和數據庫防火墻已在用戶核心數據庫系統中正常運行超過兩個月。而另一個項目中的數據庫審計系統更是無故障運行近半年。
雙十一就要來了,一大波買家物流信息向各大物流企業的IT系統中涌來。也許,已經有黑產人士盯上了這些個人敏感數據?又或者,由于淘寶任性的將24小時的節日延長至24天,物流行業運維人員在高強度壓力下可能會產生高危操作和誤操作?無論哪一種情況出現,都是對安華金和產品的最終檢驗,我們有信心為用戶的數據遮風擋雨,用成熟的案例展現實力是我們在市場說話的方式。
雙十一來了,我們與物流行業用戶一起扛過!
產品咨詢:4000 258 365 
