云数据库安全—中安星云数据库审计系统

随着越来越多的企业用户将传统的业务系统迁移至虚拟化环境或是云服务商提供的云平台,数据的泄露及篡改风险变的越发严峻,针对数据平安的防护以及事后审计追溯也变得越来越困难.究其原因,主要是传统的数据库审计解决方案是通过旁路分析目标被审计数据库镜像的流量,而虚拟化环境或者云平台由于内部的虚拟交换机(Vswitch)流量很难镜像或者无法镜像,因此传统的数据库审计解决方案不足以应对虚拟化和云平台的数据库审计需求.

虚拟化平台和传统网络情况共存,应用服务器和数据库服务器要在混合云平台进行数据库审计,就要区别于传统的部署方式,中安星云对数据库审计在混合虚拟化平台上的部署进行实践探讨.

接下来我们以阿里云为例,对云数据库审计部署场景进行阐发：

场景一：以阿里云为例,在ECS上自建数据库

对于自建ECS云数据库的情况,在ECS服务器上以agent探针部署的方式从操作系统层面获取SQL相关的流量,进了对数据库拜访行为进行审计.具体部署结构如图1所示.

图1云数据库审计系统部署示意图

中安星云依据ECS自建数据库环境,建议在数据库服务端安装Agent,抓取数据库端信息,将数据传送回ECS云数据库审计系统中.

部署方式的优点：部署探针便利快捷,不改变网络结构,日志收集准确完整,数据库服务器资源占用率≤3%.

部署方式的缺点：必要在数据库服务器上安装agent程序；会占用部分服务器资源.

场景二：以阿里云为例,直接购置云数据库服务RDS

对于购买数据库RDS的场景,除了在数据库系统上通过触发器、存储过程相结合的方式从数据库系统层面获取SQL相关的流量外,还可以由云数据库审计系统直接读取云数据库RDS的日志文件.具体部署布局如图3所示.

图2云数据库审计系统部署示意图

因为我们无法对RDS所在的服务器进行操作,同时在数据库上编写触发器、存储过程会对数据库造成很大影响,所以必要我们开启RDS数据库的SQL审计功能,然后由中安星云数据库审计系统读取日志文件,进行分析、存储、生成统计报表、告警信息等.

部署方式的优点： 调取原始数据剥茧抽丝系统化的进行分析、存储,提供中立的第三方审计功能；不增添数据库压力,不改变现有网络布局.

部署方式的缺点：必要分配一个可读日志文件的数据库用户；必要对数据库自身审计功能进行严格的控制,禁止关闭.

场景三：以阿里云为例,采用RDS或者自建数据库,且不希望对数据库做任何变动

对于此类情况,采用在应用服务器、运维客户端的操作系统上安装agent探针,可有效办理云数据库审计的问题.具体部署结构如图3所示.

图3云数据库审计系统部署示意图

以ECS自建数据库为例,在ECS自建数据库对应的应用系统和运维终端上安装Agent,将应用和运维人员执行的SQL操作数据传送回中安星云数据库审计系统中,从而实现对数据库拜访行为的审计.

部署方式的优点：部署探针便利快捷,不改变网络结构,不改变ECS自建数据库.

部署方式的缺点：需要在拜访数据库的所有系统上安装Agent,工作量大；同时Agent容易被卸载或者禁用.

随着虚拟化、云计算技术的不断成熟,业务迁移到云端也是不可逆的趋势,未来将会有越来越多的企业、政府、个人用户将应用系统及数据库逐渐迁移到自主搭建的私有云中,或者是第三方服务商提供的公有云平台中,企业、政府的核心敏感数据托管在云环境中,面临着各种窃取、篡改的威胁,数据的平安审计将越发重要,中安星云作为数据平安行业的领先者,在云计算、大数据时代将继续为用户的数据库平安审计保驾护航.

(起源：中安星云 赵卫国 黄芳)