隨著越來越多的企業用戶將傳統的業務系統遷移至虛擬化環境或是云服務商提供的云平臺,數據的泄露及篡改風險變的越發嚴峻,針對數據平安的防護以及事后審計追溯也變得越來越困難.究其原因,主要是傳統的數據庫審計解決方案是通過旁路分析目標被審計數據庫鏡像的流量,而虛擬化環境或者云平臺由于內部的虛擬交換機(Vswitch)流量很難鏡像或者無法鏡像,因此傳統的數據庫審計解決方案不足以應對虛擬化和云平臺的數據庫審計需求.

虛擬化平臺和傳統網絡情況共存,應用服務器和數據庫服務器要在混合云平臺進行數據庫審計,就要區別于傳統的部署方式,中安星云對數據庫審計在混合虛擬化平臺上的部署進行實踐探討.

接下來我們以阿里云為例,對云數據庫審計部署場景進行闡發：

場景一：以阿里云為例,在ECS上自建數據庫

對于自建ECS云數據庫的情況,在ECS服務器上以agent探針部署的方式從操作系統層面獲取SQL相關的流量,進了對數據庫拜訪行為進行審計.具體部署結構如圖1所示.

圖1云數據庫審計系統部署示意圖

中安星云依據ECS自建數據庫環境,建議在數據庫服務端安裝Agent,抓取數據庫端信息,將數據傳送回ECS云數據庫審計系統中.

部署方式的優點：部署探針便利快捷,不改變網絡結構,日志收集準確完整,數據庫服務器資源占用率≤3%.

部署方式的缺點：必要在數據庫服務器上安裝agent程序；會占用部分服務器資源.

場景二：以阿里云為例,直接購置云數據庫服務RDS

對于購買數據庫RDS的場景,除了在數據庫系統上通過觸發器、存儲過程相結合的方式從數據庫系統層面獲取SQL相關的流量外,還可以由云數據庫審計系統直接讀取云數據庫RDS的日志文件.具體部署布局如圖3所示.

圖2云數據庫審計系統部署示意圖

因為我們無法對RDS所在的服務器進行操作,同時在數據庫上編寫觸發器、存儲過程會對數據庫造成很大影響,所以必要我們開啟RDS數據庫的SQL審計功能,然后由中安星云數據庫審計系統讀取日志文件,進行分析、存儲、生成統計報表、告警信息等.

部署方式的優點： 調取原始數據剝繭抽絲系統化的進行分析、存儲,提供中立的第三方審計功能；不增添數據庫壓力,不改變現有網絡布局.

部署方式的缺點：必要分配一個可讀日志文件的數據庫用戶；必要對數據庫自身審計功能進行嚴格的控制,禁止關閉.

場景三：以阿里云為例,采用RDS或者自建數據庫,且不希望對數據庫做任何變動

對于此類情況,采用在應用服務器、運維客戶端的操作系統上安裝agent探針,可有效辦理云數據庫審計的問題.具體部署結構如圖3所示.

圖3云數據庫審計系統部署示意圖

以ECS自建數據庫為例,在ECS自建數據庫對應的應用系統和運維終端上安裝Agent,將應用和運維人員執行的SQL操作數據傳送回中安星云數據庫審計系統中,從而實現對數據庫拜訪行為的審計.

部署方式的優點：部署探針便利快捷,不改變網絡結構,不改變ECS自建數據庫.

部署方式的缺點：需要在拜訪數據庫的所有系統上安裝Agent,工作量大；同時Agent容易被卸載或者禁用.

隨著虛擬化、云計算技術的不斷成熟,業務遷移到云端也是不可逆的趨勢,未來將會有越來越多的企業、政府、個人用戶將應用系統及數據庫逐漸遷移到自主搭建的私有云中,或者是第三方服務商提供的公有云平臺中,企業、政府的核心敏感數據托管在云環境中,面臨著各種竊取、篡改的威脅,數據的平安審計將越發重要,中安星云作為數據平安行業的領先者,在云計算、大數據時代將繼續為用戶的數據庫平安審計保駕護航.

(起源：中安星云 趙衛國 黃芳)