什么是数据库审计-尊龙凯时官方旗舰店


什么是数据库审计
作者:安华金和 发布时间:2020-10-02


  一、数据库审计是什么?
  数据库审计是对数据库访问行为进行监管的系统,一般采用旁路部署的方式,通过镜像或探针的方式采集所有数据库的访问流量,并基于sql语法、语义的解析技术,记录下数据库的所有访问和操作行为,例如访问数据的用户(ip、账号、时间),操作(增、删、改、查)、对象(表、字段)等。数据库审计系统的主要价值有两点,一是:在发生数据库安全事件(例如数据篡改、泄露)后为事件的追责定责提供依据;二是,针对数据库操作的风险行为进行时时告警。
  二、数据库审计怎么审?
  1、数据库访问流量采集
  流量采集是数据库审计系统的基础,只有做到数据库访问流量的全采集,才能保证数据库审计的可用性和价值,目前主要的流量采集方式主要有两种:
  镜像方式:采用旁路部署通过镜像方式获取数据库的所有访问流量。一般适用于传统it架构,通过镜像方式将所有访问数据库的流量转发到数据库审计系统,来实现数据库访问流量的获取。
  探针方式:为了适应“云环境”“虚拟化”及“一体机”数据库审计需求,基于“探针”方式捕获数据库访问流量。适用于复杂的网络环境,在应用端或数据库服务器部署rmagent组件(产品提供),通过虚拟环境分配的审计管理网口进行数据传输,完成数据库流量采集。
  探针式数据采集,还可以进行数据库本地行为审计,包括数据库和应用系统同机审计和远程登录后的客户端行为。
  2、语法、语义解析
  sql语法、语义的解析技术,是实现数据库审计系统可用、易用的必要条件。准确的数据库协议解析,能够保障数据库审计的全面性与易用性。全面的审计结果应该包括:访问数据库的应用层信息、客户端信息、数据库信息、对象信息、响应信息、登录时间、操作时间、sql响应时长等;高易用性的数据库审计产品的审计结果和报告,应该能够使用业务化的语言呈现出对数据库的访问行为,例如将数据库中的要素客户端ip、数据库用户、sql 操作类型、数据库表名称、列名称、过滤条件变成业务人员熟悉的要素:办公地点、工作人员名称、业务操作、业务对象、业务元素、某种类别的业务信息。这样的是审计结果呈现即便是非专业的dba或运维人员的管理者或业务人员也能够看懂。
  三、数据库审计的价值?
  1、数据库相关安全事件的追溯与定责
  数据库审计的核心价值是在发生数据库安全事件后,为追责、定责提供依据,与此同时也可以对数据库的攻击和非法操作等行为起到震慑的作用。数据库自身携带的审计功能,不仅会拖慢数据库的性能,同时也有其自身的弊端,比如高权限用户可以删除审计日志,日志查看需要专业知识,日志分析复杂度高等。独立的数据库审计产品,可以有效避免以上弊端。三权分立原则可以避免针对审计日志的删除和篡改,sql语句解析技术,可以将审计结果翻译成通俗易懂的业务化语言,使得一般的业务人员和管理者也能看懂。
  2、数据库风险行为发现与告警
  数据库审计系统还可以对于针对数据库的攻击和风险操作等进行实时告警,以便管理人员及时作出应对措施,从而避免数据被破坏或者窃取。这一功能的实现主要基于sql的语句准确解析技术,利用对sql语句的特征分析,快速实现对语句的策略判定,从而发现数据库入侵行为、数据库异常行为、数据库违规访问行为,并通过短信、邮件、syslog等多种方式实时告警。
  3、满足合规需求
  满足国家《网络安全法》、等保规定以及各行业规定中对于数据库审计的合规性需求。并可根据需求形成不同的审计报表,例如:综合报表、合规性报表、专项报表、自定义报表等。
  四、数据库审计系统怎样部署?
  1、部署方式一:旁路审计
  系统支持旁路部署模式,在无须插件植入数据库的前提下,实现数据库通讯流量的全量解析和审计。旁路模式下系统并不直接接入数据库网络,而是将网络流量镜像传输给审计系统,系统通过网络监听口捕获镜像流量完成审计。
  2、部署方式二:虚拟化审计
  系统支持虚拟环境部署,可适用于主流私有云环境(如:青云、华为云、阿里云、腾讯云等),可以支持虚拟机环境部署(如 vmware、kvm 等)。系统可基于 centos 操作系统解压安装,可基于以下两种方式进行实时数据采集:
  a. 虚拟交换机引流
  适用于数据库和应用在同一虚拟化环境下,依赖虚拟交换机(vswitch)进行流量镜像,网络配置方式类似于物理机设备的“旁路镜像”。
  b. rmagent 插件部署
  虚拟环境中,虽然支持 vswitch(虚拟交换机)功能,实现在虚拟环境下的数据镜像,但在实施过程中往往受到环境影响无法完成数据引流。为了适应虚拟环境下的灵活部署,产品可基于 rmagent 插件部署于数据库服务器从而完成数据采集。
  其思路是:在被审计的机器上安装 rmagent 插件,可以从网卡上进行抓包,然后通过tcp 连接,把此网络包发送给审计设备。审计系统提供接口和 rms 程序用于接收 rmagent传输的数据包,接受后传输到数据区进行协议解析并形成常规的审计。rmagent 具备良好的兼容性,可适用于 centos、redhat、solaris、aix 等主流操作系统。
  3、部署方式三:本地审计
  数据库的本地操作行为包括:tcp 式协议访问、客户端工具直连访问。系统通过部署rmagent 组件可以利用 npcap 抓取本地“回环口”流量,并将采集到的数据库本地通讯信息,通过内部网络传递给审计设备完成本地流量解析。
  数据库客户端工具(例如:sqlplus)部署于数据库服务器,可以直连数据库 server进行操作,此类信息无法通过回环口抓包获取。系统通过向客户端工具植入插件的方式,获取操作日志,并传递给 rmagent 完成信息采集,从而实现全量的数据库本地行为记录。
  安全审计系统介绍


网站地图