資料庫審計系統基本原理與部署方式

資料庫審計是記錄資料庫被訪問行為的日誌系統。

訪問資料庫的一般有兩種行為，一種是應用服務區的訪問，一種是資料庫運維人員的訪問。

資料庫審計（簡稱dbaudit）能夠實時記錄網路上的資料庫活動，對資料庫操作進行細粒度審計的合規性管理，對資料庫遭受到的風險行為進行告警，對攻擊行為進行阻斷。它通過對使用者訪問資料庫行為的記錄、分析和匯報，用來幫助使用者事後生成合規報告、事故追根溯源，同時加強內外部資料庫網路行為記錄，提高資料資產安全。

資料庫審計是資料庫安全技術之一，資料庫安全技術主要包括：資料庫漏掃、資料庫加密、資料庫防火牆、資料脫敏、資料庫安全審計系統。

黑客的sql注入攻擊行為，可以通過資料庫審計發現。

功能項策略元素

登入風險

對ip、mac、客戶端、使用者名稱、登入密碼、時間等進行風險告警

影響行風險

對超過指定行數的更新、刪除、查詢和匯出行為進行告警

許可權風險

對使用者、操作（dml、ddl、dcl）和物件進行訪問控制風險定義。增加update nowhere和delete nowhere等高危操作的風險告警

漏洞攻擊

對符合cve上公開的資料庫漏洞攻擊特徵的訪問進行告警

sql注入

對符合sql注入特徵的訪問行為進行告警

sql黑名單

精確地描述，出現了哪些語句就要進行告警（比如是乙個要求授權很高的語句）

登入許可

通過ip、mac、客戶端、使用者名稱、時間等因素描述信任的，不需要告警的登入

sql白名單

大量的應用sql語句屬於來自於應用的正常訪問，可以不需要告警

白名單規則

通過使用者、操作、物件、時間等因素描述許可以信任不需要告警的訪問

通過對雙向資料報的解析、識別及還原，不僅對資料庫操作請求進行實時審計，而且還可對資料庫系統返回結果進行完整的還原和審計，包括資料庫命令執行時長、執行的結果集等內容；

操作行為

內容和描述

使用者行為

資料庫使用者的登入、登出

資料定義語言（ddl）操作

create、alter、drop等建立、修改或者刪除資料庫物件（表、索引、檢視、儲存過程、觸發器、域等等）的sql指令

資料操作語言（dml）操作

select、delete、updata、insert等使用者檢索或者修改資料的sql指令

資料控制語言（dcl）操作

grant、revoke定義資料庫使用者的許可權的sql指令

其他操作

包括execute、commit、rollback等事務操作指令

圖：資料庫審計系統的主要功能架構

資料安全需求

描述who(誰幹的）

資料庫使用者名稱、作業系統使用者名稱、應用使用者名稱

where(在什麼地方）

資料庫客戶端ip+mac、應用客戶端ip

when(什麼時間）

發生時間、耗時時長

what（幹了些什麼）

操作物件是誰、操作是什麼

how（怎麼幹的）

sql語句、引數

結果怎麼樣

是否成功、影響行數、效能情況

資料庫審計系統主要原理是，將所有訪問資料庫的流量映象給審計系統，然後進行分析資料報，從而進行記錄。

agent部署方式一般是因為：當web應用和資料庫在同一臺物理伺服器上的話，那麼web應用訪問資料庫的流量都是在本地產生的，沒法通過交換機來映象到資料庫審計，此時需要在這種主機上安裝agent**，主動監聽web應用訪問資料庫的流量，從而主動推送給資料庫審計系統。

不需要雲環境底層支援流量映象，只需要安裝agent即可完成雲環境資料庫的安全審計，支援主流的雲環境中的主流的linux和windows等虛擬主機，單台審計裝置可以同時支援多個資料庫的審計。

反向**適用於流量不能到審計裝置，又不允許安裝agent**軟體的情況。它的原理是直接把審計裝置當作乙個**，客戶端資料庫連線直接連線到審計裝置，通過審計裝置再到達資料庫，從而達到審計資料庫的目的。

是針對雲環境中的共享資料庫專門開發的一種部署模式，主要是為了解決公有雲和私有雲環境中共享資料庫無法安裝agent提供的一種解決方案，主要是通過tcp層協議**實現。

資料庫審計系統基本原理與部署方式

日誌審計系統的基本原理與部署方式

堡壘機運維審計系統的基本原理與部署方式

資料庫最基本原理

資料庫審計系統基本原理與部署方式

日誌審計系統的基本原理與部署方式

堡壘機 運維審計系統 的基本原理與部署方式

資料庫最基本原理

相關推薦

堡壘機運維審計系統的基本原理與部署方式