阿里云數(shù)據(jù)庫RDS MySQL的數(shù)據(jù)安全預(yù)防與恢復(fù)

來源：簡書

作者：阿里云數(shù)據(jù)庫

時間：2021-07-22

數(shù)據(jù)庫往往是企業(yè)最為核心的數(shù)據(jù)保護對象，對數(shù)據(jù)庫系統(tǒng)安全的保護，對數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫中的數(shù)據(jù)、應(yīng)用、存儲的安全保護對企業(yè)來說至關(guān)重要，盡管我們用了很多技術(shù)手段，也很可能因為管理上的失誤導(dǎo)致嚴重后果，我們需要用技術(shù)和管理組合手段，在數(shù)據(jù)庫進行使用之前，就需要對敏感權(quán)限進行管控，確定使用環(huán)境的安全，并做好全面的預(yù)防措施；在數(shù)據(jù)庫的使用過程中，更是需要謹慎操作，假設(shè)真的出了問題，還可以進行數(shù)據(jù)的恢復(fù)，以防止數(shù)據(jù)庫系統(tǒng)及其數(shù)據(jù)遭到泄露、篡改或破壞。

前言

事前預(yù)防

事前預(yù)防大于事后處理，對數(shù)據(jù)庫的管理來說，更是要防患于未然。您可以通過以下方式進行數(shù)據(jù)安全的事前預(yù)防：
? 權(quán)限隔離
? 環(huán)境隔離
? 內(nèi)核回收站
? 設(shè)置實例備份規(guī)則
? 使用數(shù)據(jù)庫管理DMS
? 使用備份服務(wù)DBS

權(quán)限隔離

您可以通過設(shè)置高權(quán)限賬號和普通賬號進行數(shù)據(jù)權(quán)限隔離。包括讀寫權(quán)限，DML權(quán)限，DDL權(quán)限，創(chuàng)建表，修改表，等，除了只讀權(quán)限之外都需要進行管理和關(guān)注。權(quán)限說明見下圖：

可在數(shù)據(jù)庫管理界面配置不同的權(quán)限。

更多信息請參見創(chuàng)建數(shù)據(jù)庫賬號和授權(quán)服務(wù)賬號幫助文檔：https://help.aliyun.com/document_detail/87038.html

環(huán)境隔離

對環(huán)境的隔離也是同樣重要，測試環(huán)境、開發(fā)環(huán)境、生產(chǎn)環(huán)境要分開，不要共用一套數(shù)據(jù)庫。

內(nèi)核回收站

第三個預(yù)防的重點是內(nèi)核上面的回收站，當執(zhí)行drop時，與表無關(guān)的對象會做保留，防止誤刪。

MySQL 8.0的回收機制
執(zhí)行DROP TABLE/DATABASE語句時，只保留相關(guān)的表對象，并移動到專門的recycle bin目錄中。其它對象的刪除策略如下：

如果是與表無關(guān)的對象，根據(jù)操作語句決定是否保留，不做回收。
如果是表的附屬對象，可能會修改表數(shù)據(jù)的，做刪除處理，例如Trigger和Foreign key。但Column statistics不做清理，隨表進入回收站。

MySQL 8.0的清理機制
回收站會啟動一個后臺線程，來異步清理超過recycle_bin_retention時間的表對象。在清理回收站表的時候，如果遇到大表，會再啟動一個后臺線程異步刪除大表。

設(shè)置實例備份規(guī)則

還可以對數(shù)據(jù)進行備份來預(yù)防潛在的風(fēng)險。實例備份規(guī)則為默認按照整實例進行備份和可以按照表進行備份。如下圖所示：

具體操作，參見幫助文檔：https://help.aliyun.com/document_detail/130152.html

使用數(shù)據(jù)庫管理DMS進行安全預(yù)防

在事前預(yù)防中，阿里云提供強大的數(shù)據(jù)庫管理DMS服務(wù)和備份恢復(fù)DBS服務(wù)。DMS是一款強大的數(shù)據(jù)庫管理和設(shè)計工具，直觀的GUI開發(fā)環(huán)境讓用戶簡單管理多達25種數(shù)據(jù)庫，包括表結(jié)構(gòu)設(shè)計、數(shù)據(jù)操作、數(shù)據(jù)開發(fā)及性能診斷優(yōu)化等操作。DMS通過研發(fā)規(guī)范、研發(fā)流程、權(quán)限控制（可控制到列級別、行級別）、操作攔截、數(shù)據(jù)脫敏、流程審批、安全審計及變更回滾等功能有效保障數(shù)據(jù)安全。

DMS是一種新的工作模式：
? 多種角色參與整個研發(fā)流程，包括管理員、DBA、安全管理員及開發(fā)、測試、產(chǎn)品、運營、財務(wù)等。
? 可消除集中管控的人員瓶頸、減少溝通成本、規(guī)范化管理減少故障誤操作、變更周期可控、業(yè)務(wù)迭代速度快、提升研發(fā)效率。

對接企業(yè)賬號系統(tǒng)，數(shù)據(jù)安全解決方案-從“審計”到“攔截”。

可控的SQL操作包含：全局權(quán)限管控、風(fēng)險識別、數(shù)據(jù)脫敏、操作審計、安全規(guī)則引擎。

可進行靈活的安全規(guī)則設(shè)置：

變更穩(wěn)定-覆蓋數(shù)據(jù)變更、結(jié)構(gòu)變更、代碼發(fā)布的全流程把控。尤其是對于大批量的數(shù)據(jù)變更，大表結(jié)構(gòu)變更等，會有針對性的流程把控和精細化的管理，在不影響業(yè)務(wù)的情況下，提升整體的安全性。

使用阿里云備份服務(wù)DBS

備份服務(wù)DBS為數(shù)據(jù)庫提供連續(xù)數(shù)據(jù)保護、低成本的備份服務(wù)。它可以為多種環(huán)境的數(shù)據(jù)提供強有力的保護，包括企業(yè)數(shù)據(jù)中心、其他云廠商、混合云及公共云。RDS備份的數(shù)據(jù)是可見的，如果有數(shù)據(jù)分析的需求還可以用云原生數(shù)據(jù)湖進行支持，整個產(chǎn)品生態(tài)是打通和健全的。

產(chǎn)品功能：
? 可恢復(fù)任1秒數(shù)據(jù)
實例、單庫、多表、單表，備份及恢復(fù)粒度自由選擇，RTO大幅降低，備份有效性實時驗證。
? 安全加密
無論傳輸，還是存儲使用最嚴苛的加密技術(shù)，保護用戶數(shù)據(jù)安全。
? 低成本，免運維
低成本異地備份，讓企業(yè)快速滿足三級等保要求，無需為災(zāi)備提供前期成本，配置到運行只需幾分鐘。
? 多環(huán)境支持
支持自建IDC、云上自建數(shù)據(jù)庫、其他云環(huán)境的數(shù)據(jù)庫備份。

備份服務(wù)DBS與RDS自帶備份的區(qū)別：
? 針對RDS數(shù)據(jù)庫，DBS提供轉(zhuǎn)儲備份和邏輯備份，滿足RDS客戶的異地備份和靈活備份訴求。
? 針對RDS數(shù)據(jù)庫，RDS提供物理備份，滿足RDS客戶的本地備份和快速恢復(fù)訴求。

DBS控制臺入口：

詳細內(nèi)容請參見幫助文檔：https://www.aliyun.com/product/dbs
和用戶指南：https://help.aliyun.com/document_detail/69077.html

事中謹慎

即使非常謹慎，數(shù)據(jù)庫在現(xiàn)場運行時是不可能不對數(shù)據(jù)進行查詢、修改和刪除的，我們不能因噎廢食，仍然要進行這些看似有風(fēng)險的操作，但是我們可以采取以下措施，讓整個數(shù)據(jù)庫的使用過程更加安全。
? 使用內(nèi)核回收站
? 操作隔離
? 操作備份

使用內(nèi)核回收站

如果要使用DROP語句，可以在操作之前可以先打開回收站，回收站是可以進行清理和查詢的。回收站會有id與原表相對應(yīng)，并會對過程進行記錄。
以下示例是操作以MySQL 8.0為例進行說明：
SET SESSION RECYCLE_BIN=ON;--------------------打開會話級回收站CALL DBMS_RECYCLE.SHOW_TABLES();--------------看回收站里的表DROP TABLE tablename;--------------------------------------------------刪除表CALL DBMS_RECYCLE.PURGE_TABLE (‘<TABLE>’);-----清理回收站里的表
表示例：
mysql> call dbms_recycle.show_tables();+-----------------+---------------+---------------+--------------+---------------------+---------------------+| SCHEMA | TABLE | ORIGIN_SCHEMA | ORIGIN_TABLE | RECYCLED_TIME | PURGE_TIME |+-----------------+---------------+---------------+--------------+---------------------+---------------------+| recycle_bin | __innodb_1063 | product_db | t1 | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 || recycle_bin | __innodb_1064 | product_db | t2 | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 || recycle_bin | __innodb_1065 | product_db | parent | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 || recycle_bin | __innodb_1066 | product_db | child | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 |+-----------------+---------------+---------------+--------------+---------------------+---------------------+4 rows in set (0.00 sec)

更多信息請參見幫助文檔：https://help.aliyun.com/document_detail/130152.html

操作隔離

如果我們要執(zhí)行DML類的操作，在執(zhí)行變更的時候最好走一下變更的流程。如果缺少這樣流程，大批量的操作語句最好有多人review。

注意：
1、業(yè)務(wù)相關(guān)的操作：一定帶WHERE條件語句，把執(zhí)行變更的范圍變到最小。
2、運維/后臺相關(guān)操作
? 注意讀寫分離
針對數(shù)據(jù)統(tǒng)計分析類/定時任務(wù)類/大批量操作類
? 盡量避免業(yè)務(wù)高峰
? 多人Review保證正確性

操作備份

最好在每次操作執(zhí)行之前，都把數(shù)據(jù)備份一遍，這樣即使真正出現(xiàn)問題，也可以執(zhí)行回滾。

備份方法
每次執(zhí)行DML/DDL之前，導(dǎo)出執(zhí)行前的SQL，作為回滾腳本。

運維/后臺相關(guān)操作
? 立即執(zhí)行
默認開啟為“是”，提交即刻執(zhí)行；可按需指定在業(yè)務(wù)特定時間執(zhí)行。
? 事務(wù)控制
默認不開啟為“否”，逐條提交，遇到失敗則終止但不回滾；開啟該功能遇到失敗則全部回滾（僅限D(zhuǎn)ML，DDL不在此范圍內(nèi)）。
? 備份數(shù)據(jù)
默認開啟為“是”，針對update、delete操作進行將要影響數(shù)據(jù)的全記錄行，insert腳本生成附件。

幫助文檔：https://help.aliyun.com/document_detail/98818.html

事后恢復(fù)

即使我們非常謹慎，也不能百分百避免問題的發(fā)生，如果真的發(fā)生問題了，我們可以通過以下操作來進行事后恢復(fù)。
? DMS工單操作歷史。
? DMS數(shù)據(jù)追蹤。
? 內(nèi)核回收站。
? RDS克隆實例。
? RDS庫/表恢復(fù)。
? DBS恢復(fù)。

DMS工單操作歷史

如果您使用了阿里云數(shù)據(jù)管理DMS平臺，可以使用DMS查看工單操作歷史。

使用場景

? MySQL 5.5/5.6/5.7/8.0
? DELETE/UPDATE/INSERT
? 需要管控的數(shù)據(jù)庫實例開通了DMS安全協(xié)同管控模式

恢復(fù)方法

? 對于變更執(zhí)行后出現(xiàn)異常不符合訴求需要回滾的，可以直接在工單頁面內(nèi)，選擇右側(cè)>工單操作歷史>查看備份，找到備份文件。
? 下載備份腳本下載，做相應(yīng)處理。
? 確認數(shù)據(jù)滿足需求后，重新提交變更工單。
更多內(nèi)容請參見幫助文檔：https://help.aliyun.com/document_detail/63780.html

DMS數(shù)據(jù)追蹤

如果您不是通過DMS進行的變更，也可以通過DMS進行數(shù)據(jù)的追蹤，逆向解析Binlog，本地Binlog和本地清理后到OSS上的Binlog都可以追蹤。（前提在binlog仍然存在，一般云數(shù)據(jù)庫Binlog保留周期為7天，如需更長時間可在RDS控制臺按需調(diào)整）

使用場景

? MySQL 5.5/5.6/5.7/8.0
? DELETE/UPDATE/INSERT
? 少量

功能

? 在線搜索日志內(nèi)容，無需手工下載Binlog。
? 支持數(shù)據(jù)的插入/更新/刪除日志搜索，無需手工解析Binlog。
? 支持逐條數(shù)據(jù)恢復(fù)，無需手工生成回滾語句。

支持的Binlog

? OSS Binlog（RDS會定時將Binlog備份到OSS上）。
? 本地?zé)酈inlog（數(shù)據(jù)庫服務(wù)器上Binlog）。

操作示例如下圖所示：

示例—少量數(shù)據(jù)追蹤

操作示例如下圖所示：

更多內(nèi)容請參見幫助文檔：https://help.aliyun.com/document_detail/126449.html

從回收站恢復(fù)

內(nèi)核支持從回收站進行恢復(fù)，我們只需要確認回收站中有我們想要的表。

使用場景

? MySQL 8.0
? DROP TABLE/SCHEMA
? 其它對象的刪除
策略是：

與表無關(guān)的對象，比如 procedure，根據(jù)操作語句決定是否保留，不做回收。
表的附屬對象，比如 trigger，F(xiàn)oreign key，column statistics等，只要存在可能修改表數(shù)據(jù)的，做刪除，比如 trigger，F(xiàn)oreign key。但columns statistics不做清理，隨表進入回收站。

找回方法

查看回收站表

CALL DBMS_RECYCLE.SHOW_TABLES();--------------看回收站里的表。

找回

CREATE TABLE SRC_SCHEMA.SRC_TABLE LIKE SCHEMA.TABLE;-------------------- 加粗部分是要替換的內(nèi)容。INSERT INTO SRC_SCHEMA.SRC_TABLE SELECT * FROM SCHEMA.TABLE; ----- 加粗部分是要替換的內(nèi)容。

示例—從回收站恢復(fù)T1的數(shù)據(jù)

mysql> call dbms_recycle.show_tables();+-----------------+---------------+---------------+--------------+---------------------+---------------------+| SCHEMA | TABLE | ORIGIN_SCHEMA | ORIGIN_TABLE | RECYCLED_TIME | PURGE_TIME |+-----------------+---------------+---------------+--------------+---------------------+---------------------+| recycle_bin | __innodb_1063 | product_db | t1 | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 || recycle_bin | __innodb_1064 | product_db | t2 | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 || recycle_bin | __innodb_1065 | product_db | parent | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 || recycle_bin | __innodb_1066 | product_db | child | 2019-08-08 11:01:46 | 2019-08-15 11:01:46 |+-----------------+---------------+---------------+--------------+---------------------+---------------------+4 rows in set (0.00 sec)mysql>create table product_db.t1 like recycle_bin. __innodb_1063;mysql>insert into product_db.t1 select * from recycle_bin. __innodb_1063;