赞
踩
当系统出现威胁事件,或因为某个可疑行为而亮起红灯,安全人员总是要面临如下问题:
- 是谁动了我的数据,这个人做了什么?
- 操作行为是何时发生的?又是在哪些资产上进行的?
- 访问或者更改行为是否得到了批准?他是如何获取权限的?
针对以上问题,仅仅记录完整的系统日志远远不够,而使用数据库自身的审计功能会影响数据库性能,专业的数据库审计产品又缺乏运维人员的审计维度,于是数据库运维审计成为用户最佳选择。本文主要基于MS SQL Server、MySQL、Oracle三种典型数据库,分享齐治的数据库运维审计解题思路。
数据库运维审计针对数据库管理员(DBA)访问数据库的行为进行监管与记录,通常包括目标操作行为所对应的操作对象、操作账户、操作时间、操作内容等相关信息,用以监控系统的健康状态,并对发生的威胁事件进行溯源与追责。
数据库审计有多种维度,如报表审计、特权审计、对象审计、语句审计等,审计日志对不同审计人员的价值不同,针对特权用户的权限制定相对应的审计策略,同时从特定角度呈现相关信息才能输出高效的审计结果,降低系统的潜在风险。
完整采集数据库内所有账号密码,包括只读、读写、Sysdba等,通过齐治PAM定期改密巡检来保障数据库账号的自身安全。
DBA在维护数据库前必须申请自己的访问对象(连接字符串:数据库实例/端口/账号/…),批准之后方可登录堡垒机进行访问,以此对DBA维护行为本身进行准确记录,避免越权访问、权限滥用等风险。
维护不同的数据库需要用到不同的客户端,理论上DBA不允许直接登录系统后台访问。以MySQL为例,有些DBA在维护时习惯通过Navicat客户端工具进行维护,有的则习惯在命令行直连。因此,在DBA选择要维护的数据库实例对象后,堡垒机需要根据运维人员设置好的访问习惯,完成客户端或者命令行工具的自动登录过程。
SQL语句的审计依赖各数据库私有协议的解析,一方面通过协议代理技术实现协议流量的转发和结果返回,另一方面对协议流量进行解析,在不影响性能的情况下解析出流量中的SQL语句。针对目标用户行为、系统资源异常使用和系统命令等事件,进行细粒度的语句解析,并根据审计人员需求生成审计报表。
数据库客户端工具自身支持建立数据库连接会话,在运维过程中,存在绕过访问权限的风险。以Oracle为例,通常DBA习惯用PL/SQL工具进行运维,在连接上目标数据库实例后,DBA理论上可以通过PL/SQL工具二次连接到其他的数据库实例,从而绕过。诸如此类的安全风险问题,堡垒机对此类客户端工具进行实时监控或功能限制,从而实现访问控制。
数据库审计过程中,一方面需要保证审计的完整性和准确性,另一方面,也需要确保数据本身的安全性。在诸如财务系统、银行系统等存取敏感信息的数据库中,安全要求非常严格。齐治堡垒机全面满足网络安全法、等级保护2.0以及各行各业不同的政策法规,针对敏感数据的审计结果进行脱敏处理,在降低用户使用的复杂度和维护成本的同时,保证审计数据的可靠性和安全性。
不仅如此,齐治堡垒机的数据库审计无需更改网络拓扑,无需更改交换机配置,无需改变现有数据库运维模式,采用平滑部署的方式,对数据库性能零影响。除MS SQL Server、MySQL、Oracle之外,我们还支持DB2、Sybase、MongoDB、Redis、Elasticsearch、 PostgreSQL 等多种主流数据库,以及PL/SQL、Navicat、Toad、SqlDbx、SQLPLUSW、SQL Server Management Studio (SSMS)等常见客户端工具,深度满足用户的数据库审计需求,帮助用户全面洞察数据库安全风险。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。