【TiDBer 唠嗑茶话会 19】来聊聊你们公司是否会给开发人员开放线上数据库访问权限？公司有啥保证线上数据安全的平台或工具吗？求推荐

1,堡垒机
2，数据库审计
3，数据库防火墙
4，变更控制

线上数据库是不会开放给开发人员的，只有DBA有查看权限，技术大佬会通过PMA查询数据，开放的是离线库。大数据同步也是会进行view进行数据脱敏。总的来说，还是专业的人做专业的事。

搭建数据查询平台，允许执行有限的SELECT查询语句，并限制允许访问的数据行数。

只给最基本的增删查改权限，其余通过自助平台自助，或者提交工单

数据库账号
1、数据库访问都是通过VPN+堡垒机访问，做到专有网络访问加操作记录保留
2、账号按业务划分对应数据库等级和主要开发人员权限，一般除去应用账号和管理账号以外不开放其他账号，线上问题处理查询使用的特定的只读账号进行相关查询，权限也是按IP地址段进行分配，数据库白名单按实际内网和办公环境做管控
3、查询平台工具Cloudquery或者 goInception 以及一些常用的查询工具Navicat或者phpadmin等等 可以根据实际需求进行部署使用
4、数据安全：
数据库系统会做相应的高可用架构部署
数据库统一账号管理，应用和数据库端的对等白名单
生产数据一般对重要的业务表字段做数据脱敏 开启ssl加密链接
日常数据库的热备份做到表级时间点恢复能力

线上数据库绝对是不允许办公机直连，一是出于数据安全考虑，二是办公机直连线上书库，很有可能导致影响线上数据库的性能等；

通过公司内部开发的工具，将需要查看的线上的数据库表克隆出现一份，并且和线上实时同步数据（是从从库同步数据的），然后通过web端的方式查询，web端查询会有审计；

肯定只读吧，数据库个人感觉是数据库厂商的重要要素，开发工具的话这个不太了解，得公司专业人员这个比较清楚

这得问问公司后端大佬了
只读权限吧

数据库一般都是又后端管理，我们公司呢有一个数据研发中心团队，是专门负责数据管理跟数据分析的。

你好。是自研的平台，还是使用的开源产品呢？

很厉害呀，感觉可以写一篇分享文章了

自研平台

很遗憾，访问不到

会开放备库只读查询权限，堡垒机+存过控制登录，数据无法导出

通过堡垒机和IT操作员进行操作，隔离开发团队的直接操作。未经脱敏的数据无法导出到生产以外的环境，业务用户权限最小化分配

开放只读权限。

但数据脱敏与便于线上问题排查确实很难兼得。

应该不会直接开放给开发使用，可以做测试环境来共开发使用

第十九期【TiDBer唠嗑茶话会】开奖啦:tada:

【点赞最多的Top3公示】
@yangchao909 @reboot @mliaukz @边城元元
点赞最多的 Top 3 奖累计获得 5 次的TiDBer将奖励Ti能说徽章一个哦~

image1920×886 539 KB

ps.所有参与话题讨论的TiDBer都将获得50积分、50经验值的奖励，积分已发放，可以自行前往 积分兑换中心 兑换TiDB周边哈:two_hearts:~

【感谢名单】
@yangchao909 @reboot @mliaukz @边城元元 @ShawnYan @张雨齐0720 @xfworld @TiDBer_yanggui @Myth @muyouchen @BraveChen @望海崖2084 @pupillord @linjian19811027 @TiDBer_8uyahLJJ @啦啦啦啦啦 @wisdom @TiDBer_u3l1hNrT @twentycui @TiDBer_RdhDgy1K @TiDBer_dog @Mark @Mickyun @TiDBWR @JiekeXu @seiang @Kongdom @buchuitoudegou @TiDBer_R2Ppmucw @半瓶醋仙 @TiDBer_Anthony @Hi70KG @YuchongXU @xiaobai021sdo @FoolishPike @whymalin @Hacker007 @eastfisher @danghuagood @TiDBer_sao游 @dba_wxm @MyronWang @CuteRay @Kamner @edward-大辰 @猫上树_Ti @_张建国

谢谢上榜

终于上了一次榜，不容易