隨著越來越多的企業(yè)用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至虛擬化環(huán)境或是云服務(wù)商提供的云平臺,數(shù)據(jù)的泄露及篡改風險變的越發(fā)嚴峻,針對數(shù)據(jù)平安的防護以及事后審計追溯也變得越來越困難.究其原因,主要是傳統(tǒng)的數(shù)據(jù)庫審計解決方案是通過旁路分析目標被審計數(shù)據(jù)庫鏡像的流量,而虛擬化環(huán)境或者云平臺由于內(nèi)部的虛擬交換機(Vswitch)流量很難鏡像或者無法鏡像,因此傳統(tǒng)的數(shù)據(jù)庫審計解決方案不足以應(yīng)對虛擬化和云平臺的數(shù)據(jù)庫審計需求.

虛擬化平臺和傳統(tǒng)網(wǎng)絡(luò)情況共存,應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器要在混合云平臺進行數(shù)據(jù)庫審計,就要區(qū)別于傳統(tǒng)的部署方式,中安星云對數(shù)據(jù)庫審計在混合虛擬化平臺上的部署進行實踐探討.

接下來我們以阿里云為例,對云數(shù)據(jù)庫審計部署場景進行闡發(fā)：

場景一：以阿里云為例,在ECS上自建數(shù)據(jù)庫

對于自建ECS云數(shù)據(jù)庫的情況,在ECS服務(wù)器上以agent探針部署的方式從操作系統(tǒng)層面獲取SQL相關(guān)的流量,進了對數(shù)據(jù)庫拜訪行為進行審計.具體部署結(jié)構(gòu)如圖1所示.

圖1云數(shù)據(jù)庫審計系統(tǒng)部署示意圖

中安星云依據(jù)ECS自建數(shù)據(jù)庫環(huán)境,建議在數(shù)據(jù)庫服務(wù)端安裝Agent,抓取數(shù)據(jù)庫端信息,將數(shù)據(jù)傳送回ECS云數(shù)據(jù)庫審計系統(tǒng)中.

部署方式的優(yōu)點：部署探針便利快捷,不改變網(wǎng)絡(luò)結(jié)構(gòu),日志收集準確完整,數(shù)據(jù)庫服務(wù)器資源占用率≤3%.

部署方式的缺點：必要在數(shù)據(jù)庫服務(wù)器上安裝agent程序；會占用部分服務(wù)器資源.

場景二：以阿里云為例,直接購置云數(shù)據(jù)庫服務(wù)RDS

對于購買數(shù)據(jù)庫RDS的場景,除了在數(shù)據(jù)庫系統(tǒng)上通過觸發(fā)器、存儲過程相結(jié)合的方式從數(shù)據(jù)庫系統(tǒng)層面獲取SQL相關(guān)的流量外,還可以由云數(shù)據(jù)庫審計系統(tǒng)直接讀取云數(shù)據(jù)庫RDS的日志文件.具體部署布局如圖3所示.

圖2云數(shù)據(jù)庫審計系統(tǒng)部署示意圖

因為我們無法對RDS所在的服務(wù)器進行操作,同時在數(shù)據(jù)庫上編寫觸發(fā)器、存儲過程會對數(shù)據(jù)庫造成很大影響,所以必要我們開啟RDS數(shù)據(jù)庫的SQL審計功能,然后由中安星云數(shù)據(jù)庫審計系統(tǒng)讀取日志文件,進行分析、存儲、生成統(tǒng)計報表、告警信息等.

部署方式的優(yōu)點： 調(diào)取原始數(shù)據(jù)剝繭抽絲系統(tǒng)化的進行分析、存儲,提供中立的第三方審計功能；不增添數(shù)據(jù)庫壓力,不改變現(xiàn)有網(wǎng)絡(luò)布局.

部署方式的缺點：必要分配一個可讀日志文件的數(shù)據(jù)庫用戶；必要對數(shù)據(jù)庫自身審計功能進行嚴格的控制,禁止關(guān)閉.

場景三：以阿里云為例,采用RDS或者自建數(shù)據(jù)庫,且不希望對數(shù)據(jù)庫做任何變動

對于此類情況,采用在應(yīng)用服務(wù)器、運維客戶端的操作系統(tǒng)上安裝agent探針,可有效辦理云數(shù)據(jù)庫審計的問題.具體部署結(jié)構(gòu)如圖3所示.

圖3云數(shù)據(jù)庫審計系統(tǒng)部署示意圖

以ECS自建數(shù)據(jù)庫為例,在ECS自建數(shù)據(jù)庫對應(yīng)的應(yīng)用系統(tǒng)和運維終端上安裝Agent,將應(yīng)用和運維人員執(zhí)行的SQL操作數(shù)據(jù)傳送回中安星云數(shù)據(jù)庫審計系統(tǒng)中,從而實現(xiàn)對數(shù)據(jù)庫拜訪行為的審計.

部署方式的優(yōu)點：部署探針便利快捷,不改變網(wǎng)絡(luò)結(jié)構(gòu),不改變ECS自建數(shù)據(jù)庫.

部署方式的缺點：需要在拜訪數(shù)據(jù)庫的所有系統(tǒng)上安裝Agent,工作量大；同時Agent容易被卸載或者禁用.

隨著虛擬化、云計算技術(shù)的不斷成熟,業(yè)務(wù)遷移到云端也是不可逆的趨勢,未來將會有越來越多的企業(yè)、政府、個人用戶將應(yīng)用系統(tǒng)及數(shù)據(jù)庫逐漸遷移到自主搭建的私有云中,或者是第三方服務(wù)商提供的公有云平臺中,企業(yè)、政府的核心敏感數(shù)據(jù)托管在云環(huán)境中,面臨著各種竊取、篡改的威脅,數(shù)據(jù)的平安審計將越發(fā)重要,中安星云作為數(shù)據(jù)平安行業(yè)的領(lǐng)先者,在云計算、大數(shù)據(jù)時代將繼續(xù)為用戶的數(shù)據(jù)庫平安審計保駕護航.

(起源：中安星云 趙衛(wèi)國 黃芳)