資料庫審計是記錄資料庫被訪問行為的日誌系統。
訪問資料庫的一般有兩種行為,一種是應用服務區的訪問,一種是資料庫運維人員的訪問。資料庫審計(簡稱dbaudit)能夠實時記錄網路上的資料庫活動,對資料庫操作進行細粒度審計的合規性管理,對資料庫遭受到的風險行為進行告警,對攻擊行為進行阻斷。它通過對使用者訪問資料庫行為的記錄、分析和匯報,用來幫助使用者事後生成合規報告、事故追根溯源,同時加強內外部資料庫網路行為記錄,提高資料資產安全。
資料庫審計是資料庫安全技術之一,資料庫安全技術主要包括:資料庫漏掃、資料庫加密、資料庫防火牆、資料脫敏、資料庫安全審計系統。
黑客的sql注入攻擊行為,可以通過資料庫審計發現。
功能項策 略 元 素
登入風險
對ip、mac、客戶端、使用者名稱、登入密碼、時間等進行風險告警
影響行風險
對超過指定行數的更新、刪除、查詢和匯出行為進行告警
許可權風險
對使用者、操作(dml、ddl、dcl)和物件進行訪問控制風險定義。 增加update nowhere和delete nowhere等高危操作的風險告警
漏洞攻擊
對符合cve上公開的資料庫漏洞攻擊特徵的訪問進行告警
sql注入
對符合sql注入特徵的訪問行為進行告警
sql黑名單
精確地描述,出現了哪些語句就要進行告警(比如是乙個要求授權很高的語句)
登入許可
通過ip、mac、客戶端、使用者名稱、時間等因素描述信任的,不需要告警的登入
sql白名單
大量的應用sql語句屬於來自於應用的正常訪問,可以不需要告警
白名單規則
通過使用者、操作、物件、時間等因素描述許可以信任不需要告警的訪問
通過對雙向資料報的解析、識別及還原,不僅對資料庫操作請求進行實時審計,而且還可對資料庫系統返回結果進行完整的還原和審計,包括資料庫命令執行時長、執行的結果集等內容;
操作行為
內容和描述
使用者行為
資料庫使用者的登入、登出
資料定義語言(ddl)操作
create、alter、drop等建立、修改或者刪除資料庫物件(表、索引、檢視、儲存過程、觸發器、域等等)的sql指令
資料操作語言(dml)操作
select、delete、updata、insert等使用者檢索或者修改資料的sql指令
資料控制語言(dcl)操作
grant、revoke定義資料庫使用者的許可權的sql指令
其他操作
包括execute、commit、rollback等事務操作指令
圖:資料庫審計系統的主要功能架構
資料安全需求
描述who(誰幹的)
資料庫使用者名稱、作業系統使用者名稱、應用使用者名稱
where(在什麼地方)
資料庫客戶端ip+mac、應用客戶端ip
when(什麼時間)
發生時間、耗時時長
what(幹了些什麼)
操作物件是誰、操作是什麼
how(怎麼幹的)
sql語句、引數
結果怎麼樣
是否成功、影響行數、效能情況
資料庫審計系統主要原理是,將所有訪問資料庫的流量映象給審計系統,然後進行分析資料報,從而進行記錄。
agent部署方式一般是因為:當web應用和資料庫在同一臺物理伺服器上的話,那麼web應用訪問資料庫的流量都是在本地產生的,沒法通過交換機來映象到資料庫審計,此時需要在這種主機上安裝agent**,主動監聽web應用訪問資料庫的流量,從而主動推送給資料庫審計系統。
不需要雲環境底層支援流量映象,只需要安裝agent即可完成雲環境資料庫的安全審計,支援主流的雲環境中的主流的linux和windows等虛擬主機 ,單台審計裝置可以同時支援多個資料庫的審計。
反向**適用於流量不能到審計裝置,又不允許安裝agent**軟體的情況。它的原理是直接把審計裝置當作乙個**,客戶端資料庫連線直接連線到審計裝置,通過審計裝置再到達資料庫,從而達到審計資料庫的目的。
是針對雲環境中的共享資料庫專門開發的一種部署模式,主要是為了解決公有雲和私有雲環境中共享資料庫無法安裝agent提供的一種解決方案,主要是通過tcp層協議**實現。
日誌審計系統的基本原理與部署方式
綜合日誌審計平台,通過集中採集資訊系統中的系統安全事件 使用者訪問記錄 系統執行日誌 系統執行狀態等各類資訊,經過規範化 過濾 歸併和告警分析等處理後,以統一格式的日誌形式進行集中儲存和管理,結合豐富的日誌統計彙總及關聯分析功能,實現對資訊系統日誌的全面審計。日誌審計的合規要求,由於網路安全法的頒布...
堡壘機 運維審計系統 的基本原理與部署方式
堡壘機目前也有很多叫運維審計系統。簡單總結一句話 堡壘機是用來控制哪些人可以登入哪些資產 事先防範和事中控制 以及錄影記錄登入資產後做了什麼事情 事後溯源.堡壘機的核心是可控及審計。可控是指許可權可控 行為可控。許可權可控,比如某個工程師要離職或要轉崗了。如果沒有乙個統一的許可權管理入口,是一場夢魘...
資料庫最基本原理
資料庫 database 是按照資料結構來組織 儲存和管理資料的倉庫,它產生於距今六十多年前,隨著資訊科技和市場的發展,特別是二十世紀九十年代以後,資料管理不再僅僅是儲存和管理資料,而轉變成使用者所需要的各種資料管理的方式。資料庫有很多種型別,從最簡單的儲存有各種資料的 到能夠進行海量資料儲存的大型...