impala数据库审计是能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
【impala数据库审计价值】
1、数据库审计可基于数据库镜像进行旁路审计,不仅可以解决应用和数据库同机无法审计的难题,还可以采集虚拟化网络的数据库流量,适用于复杂的数据库网络环境且审计范畴覆盖数据库各通讯链路,面向数据库提供全量的业务审计能力;
2、数据库审计提供数据库风险告警能力,对于外部发起的数据库漏洞攻击、恶意的sql注入行为、非法的业务登录、高危的sql操作和批量的数据下载,设置风险规则,提供实时的风险告警;
3、数据库审计可有效的追溯和定责、定位数据库风险、展现会话和语句详情及进行有效的追溯和定责;
4、数据库审计可进行有效的分析和深入的挖掘,基于建模分析提供实时告警能力,降低数据库信息泄露的损失。
5、数据库审计提供实时的数据库运行状态监控,针对数据库访问流量、并发吞吐量、解析语句量、语句归类模板量、sql 语句的响应速度进行专项的界面分析,帮助用户优化数据库性能;
【impala数据库审计功能】
1、可基于流量识别技术,自动发现、添加数据库并快速进行审计;
2、可以解决现场网络环境复杂、数据库资产不清晰等问题;
3、可快速关联到目标数据库并启动风险规则;
4、可基于用户的实际业务需求划分数据库管理权限;
5、数据库审计可提供sql语句业务翻译功能,并针对来源ip设置业务别名,从而形成业务人员可读、可操作的审计分析记录;
6、提供针对数据库漏洞攻击的“检测”功能:当外部系统利用数据库漏洞进行数据库攻击时,系统可以实时捕获到对应的sql语句及相关会话信息并发送告警,帮助用户实时监控数据库漏洞风险并有效追溯风险来源;
7、数据库审计可对数据库异常行为及违规行为进行监测;
8、数据库审计可以对数据库的sql吞吐量、会话并发量进行实时监控,从而评估数据库运行状态和资源使用情况;
【impala数据库审计部署方式】
1、旁路审计
在无须插件植入数据库的前提下,实现数据库通讯流量的全量解析和审计。旁路模式下系统并不直接接入数据库网络,而是将网络流量镜像传输给审计系统,系统通过网络监听口捕获镜像流量完成审计。
2、虚拟化审计
支持虚拟环境部署,可适用于主流私有云环境(如:青云、华为云、阿里云、腾讯云等),可以支持虚拟机环境部署(如 vmware、kvm 等)。系统可基于 centos 操作系统解压安装,可基于以下两种方式进行实时数据采集:
方式一:虚拟交换机引流
适用于数据库和应用在同一虚拟化环境下,依赖虚拟交换机(vswitch)进行流 量镜像,网络配置方式类似于物理机设备的“旁路镜像”。
方式二: rmagent 插件部署
虚拟环境中,虽然支持 vswitch(虚拟交换机)功能,实现在虚拟环境下的数据镜像,但在实施过程中往往受到环境影响无法完成数据引流。为了适应虚拟环境下的灵活部署,impala数据库审计可基于rmagent插件部署于数据库服务器从而完成数据采集。
3、本地审计
通过部署rmagent 组件可以利用 npcap 抓取本地“回环口”流量,并将采集到的数据库本地通讯信息,通过内部网络传递给审计设备完成本地流量解析。
【impala数据库审计核心技术】
1、结构设计如下图,包括如下几部分内容:
数据库协议解析、sql 语句重写、规则命中与日志入库、告警于统计分析;
2、漏洞攻击监控技术
漏洞攻击检测技术是本系统中的核心技术之一,通过该技术用户可以针对数据库漏洞攻击行为进行实时的检测,从而保证安全与应用稳定的平衡。
漏洞攻击检测技术是系统通过协议解析技术,捕捉外部系统利用数据库漏洞进行的网络攻击行为并对其进行告警,从而监控通过已知漏洞对数据库的攻击。
3、sql特征抽象技术
4、海量数据压缩
试用申请