隨著越來(lái)越多的企業(yè)用戶(hù)將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至虛擬化環(huán)境或是云服務(wù)商提供的云平臺(tái),數(shù)據(jù)的泄露及篡改風(fēng)險(xiǎn)變的越發(fā)嚴(yán)峻,針對(duì)數(shù)據(jù)平安的防護(hù)以及事后審計(jì)追溯也變得越來(lái)越困難.究其原因,主要是傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)解決方案是通過(guò)旁路分析目標(biāo)被審計(jì)數(shù)據(jù)庫(kù)鏡像的流量,而虛擬化環(huán)境或者云平臺(tái)由于內(nèi)部的虛擬交換機(jī)(Vswitch)流量很難鏡像或者無(wú)法鏡像,因此傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)解決方案不足以應(yīng)對(duì)虛擬化和云平臺(tái)的數(shù)據(jù)庫(kù)審計(jì)需求.

虛擬化平臺(tái)和傳統(tǒng)網(wǎng)絡(luò)情況共存,應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器要在混合云平臺(tái)進(jìn)行數(shù)據(jù)庫(kù)審計(jì),就要區(qū)別于傳統(tǒng)的部署方式,中安星云對(duì)數(shù)據(jù)庫(kù)審計(jì)在混合虛擬化平臺(tái)上的部署進(jìn)行實(shí)踐探討.

接下來(lái)我們以阿里云為例,對(duì)云數(shù)據(jù)庫(kù)審計(jì)部署場(chǎng)景進(jìn)行闡發(fā)：

場(chǎng)景一：以阿里云為例,在ECS上自建數(shù)據(jù)庫(kù)

對(duì)于自建ECS云數(shù)據(jù)庫(kù)的情況,在ECS服務(wù)器上以agent探針部署的方式從操作系統(tǒng)層面獲取SQL相關(guān)的流量,進(jìn)了對(duì)數(shù)據(jù)庫(kù)拜訪(fǎng)行為進(jìn)行審計(jì).具體部署結(jié)構(gòu)如圖1所示.

圖1云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署示意圖

中安星云依據(jù)ECS自建數(shù)據(jù)庫(kù)環(huán)境,建議在數(shù)據(jù)庫(kù)服務(wù)端安裝Agent,抓取數(shù)據(jù)庫(kù)端信息,將數(shù)據(jù)傳送回ECS云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中.

部署方式的優(yōu)點(diǎn)：部署探針便利快捷,不改變網(wǎng)絡(luò)結(jié)構(gòu),日志收集準(zhǔn)確完整,數(shù)據(jù)庫(kù)服務(wù)器資源占用率≤3%.

部署方式的缺點(diǎn)：必要在數(shù)據(jù)庫(kù)服務(wù)器上安裝agent程序；會(huì)占用部分服務(wù)器資源.

場(chǎng)景二：以阿里云為例,直接購(gòu)置云數(shù)據(jù)庫(kù)服務(wù)RDS

對(duì)于購(gòu)買(mǎi)數(shù)據(jù)庫(kù)RDS的場(chǎng)景,除了在數(shù)據(jù)庫(kù)系統(tǒng)上通過(guò)觸發(fā)器、存儲(chǔ)過(guò)程相結(jié)合的方式從數(shù)據(jù)庫(kù)系統(tǒng)層面獲取SQL相關(guān)的流量外,還可以由云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)直接讀取云數(shù)據(jù)庫(kù)RDS的日志文件.具體部署布局如圖3所示.

圖2云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署示意圖

因?yàn)槲覀儫o(wú)法對(duì)RDS所在的服務(wù)器進(jìn)行操作,同時(shí)在數(shù)據(jù)庫(kù)上編寫(xiě)觸發(fā)器、存儲(chǔ)過(guò)程會(huì)對(duì)數(shù)據(jù)庫(kù)造成很大影響,所以必要我們開(kāi)啟RDS數(shù)據(jù)庫(kù)的SQL審計(jì)功能,然后由中安星云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)讀取日志文件,進(jìn)行分析、存儲(chǔ)、生成統(tǒng)計(jì)報(bào)表、告警信息等.

部署方式的優(yōu)點(diǎn)： 調(diào)取原始數(shù)據(jù)剝繭抽絲系統(tǒng)化的進(jìn)行分析、存儲(chǔ),提供中立的第三方審計(jì)功能；不增添數(shù)據(jù)庫(kù)壓力,不改變現(xiàn)有網(wǎng)絡(luò)布局.

部署方式的缺點(diǎn)：必要分配一個(gè)可讀日志文件的數(shù)據(jù)庫(kù)用戶(hù)；必要對(duì)數(shù)據(jù)庫(kù)自身審計(jì)功能進(jìn)行嚴(yán)格的控制,禁止關(guān)閉.

場(chǎng)景三：以阿里云為例,采用RDS或者自建數(shù)據(jù)庫(kù),且不希望對(duì)數(shù)據(jù)庫(kù)做任何變動(dòng)

對(duì)于此類(lèi)情況,采用在應(yīng)用服務(wù)器、運(yùn)維客戶(hù)端的操作系統(tǒng)上安裝agent探針,可有效辦理云數(shù)據(jù)庫(kù)審計(jì)的問(wèn)題.具體部署結(jié)構(gòu)如圖3所示.

圖3云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)部署示意圖

以ECS自建數(shù)據(jù)庫(kù)為例,在ECS自建數(shù)據(jù)庫(kù)對(duì)應(yīng)的應(yīng)用系統(tǒng)和運(yùn)維終端上安裝Agent,將應(yīng)用和運(yùn)維人員執(zhí)行的SQL操作數(shù)據(jù)傳送回中安星云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)中,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)拜訪(fǎng)行為的審計(jì).

部署方式的優(yōu)點(diǎn)：部署探針便利快捷,不改變網(wǎng)絡(luò)結(jié)構(gòu),不改變ECS自建數(shù)據(jù)庫(kù).

部署方式的缺點(diǎn)：需要在拜訪(fǎng)數(shù)據(jù)庫(kù)的所有系統(tǒng)上安裝Agent,工作量大；同時(shí)Agent容易被卸載或者禁用.

隨著虛擬化、云計(jì)算技術(shù)的不斷成熟,業(yè)務(wù)遷移到云端也是不可逆的趨勢(shì),未來(lái)將會(huì)有越來(lái)越多的企業(yè)、政府、個(gè)人用戶(hù)將應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)逐漸遷移到自主搭建的私有云中,或者是第三方服務(wù)商提供的公有云平臺(tái)中,企業(yè)、政府的核心敏感數(shù)據(jù)托管在云環(huán)境中,面臨著各種竊取、篡改的威脅,數(shù)據(jù)的平安審計(jì)將越發(fā)重要,中安星云作為數(shù)據(jù)平安行業(yè)的領(lǐng)先者,在云計(jì)算、大數(shù)據(jù)時(shí)代將繼續(xù)為用戶(hù)的數(shù)據(jù)庫(kù)平安審計(jì)保駕護(hù)航.

(起源：中安星云 趙衛(wèi)國(guó) 黃芳)