数据库审计系统基本原理与部署方式.pdf

数据库审计系统基本原理与部署⽅式 数据库审计系统简介 什么是数据库审计？ 数据库审计是记录数据库被访问⾏为的⽇志系统。 访问数据库的⼀般有两种⾏为，⼀种是应⽤服务区的访问，⼀种是数据库运维⼈员的访问。 数据库审计（简称DBAudit）能够实时记录⽹络上的数据库活动，对数据库操作进⾏细粒度审计的合规性管理，对数据库遭受到的风险⾏为 进⾏告警，对进⾏阻断。它通过对⽤户访问数据库⾏为的记录、分析和汇报，⽤来帮助⽤户事后⽣成合规报告、事故追根溯源，同时加强内 外部数据库⽹络⾏为记录，提⾼数据资产安全。 数据库审计是技术之⼀，技术主要包括：数据库漏扫、、、、。 ⿊客的⾏为，可以通过数据库审计发现。 数据库审计系统能⼲什么？ 性能监控 SQL吞吐、会话监控、性能瓶颈 攻击预警 对漏洞攻击、SQL注⼊、敏感语句、风险操作等进⾏预警。 事后追溯 具有基本⾏为审计、应⽤关联分析、记录全、准、可读性⾼。 告警通知 ⼀般可通过短信、邮件、SNMP、Syslog进⾏告警通知。 数据库审计主要功能 数据审计经历的技术: 第⼀阶段：流量⾏为审计 实现了对OSI七层模型中的⽹络层到会话层的覆盖，主要对数据库访问⾏为进⾏分析和统计 第⼆阶段：内容审计阶段 实现了OSI七层模型中的表⽰层到应⽤层的覆盖，利⽤关键字进⾏模糊匹配，对数据库访问⾏为实现内容记录，如登陆账户、SQL语句 等 第三阶段：语法解析阶段 主要集中在应⽤层，实现对SQL语句的语义分析，尽可能的将操作数据库的SQL语句进⾏细颗粒解析，⽐如账户名、数据名等等 第四阶段：⼤数据审计阶段 解决⾯向对象的M语⾔安全设计问题，全⾯⽀持⼤数据审计，Hive、HBASE、MogoDB等 数据审计系统可审计的风险项： 功能项 功能项 策 略 元 素 策 略 元 素 登录风险 对IP、MAC、客户端、⽤户名、登录密码、时间等进⾏风险告警 影响⾏风险 对超过指定⾏数的更新、删除、查询和导出⾏为进⾏告警 权限风险 对⽤户、操作（DML、DDL、DCL）和对象进⾏访问控制风险定义。 增加Update Nowhere和Delete Nowhere等⾼危操作的风险告警 漏洞攻击 对符合CVE上公开的数据库漏洞攻击特征的访问进⾏告警 SQL注⼊ 对符合SQL注⼊特征的访问⾏为进⾏告警 SQL⿊名单 精确地描述，出现了哪些语句就要进⾏告警（⽐如是⼀个要求授权很⾼的语句） 登录许可 通过IP、MAC、客户端、⽤户名、时间等因素描述信任的，不需要告警的登录 SQL⽩名单 ⼤量的应⽤SQL语句属于来⾃于应⽤的正常访问，可以不需要告警 ⽩名单规则 通过⽤户、操作、对象、时间等因素描述许可以信任不需要告警的访问 双向审计： 通过对双向数据包的解析、识别及还原，不仅对数据库操作请求进⾏实时审计，⽽且还可对数据库系统返回结果进⾏完整的还原和审计，包 括数据库命令执⾏时长、执⾏的结果集等内容； 操作⾏为 操作⾏为 内容和描述 内容和描述 ⽤户⾏为 数据库⽤户的登录、注销 数据定义语⾔（DDL）操作 Create、Alter、Drop等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域等等）的SQL指令 数据操作语⾔（DML）操作 Select、Delete、Updata、Insert等⽤户检索或者修改数据的SQL指令 数据控制语⾔（DCL）操作 Grant、Revoke定义数据库⽤户的权限的SQL指令 其他操作 包括Execute、Commit、Rollback等事务操作指令 数据库审计系统的主要功能架构： 图：数据库审计系统的主要功能架构 5W1H的⾏为审计： 数据安全需求 数据安全需求 描述 描述 Who(谁⼲的） 数据库⽤户名、操作系统⽤户名、应⽤⽤户名 Where(在什么地⽅） 数据库客户端IP+MAC、应⽤客户端IP When(什么时间） 发⽣时间、耗时时长 What（⼲了些什么） 操作对象是谁、操作是什么 How（怎么⼲的） SQL语句、参数 结果怎么样 是否成功、影响⾏数、性能情况 数据安全需求 数据安全需求 描述 描述 数据库审计系统部署⽅式 流镜像部署： 数据库审计系统主要原理是，将所有访问数据库的流量镜像给审计系统，然后进⾏分析数据包，从⽽进⾏记录。 审计系统采⽤旁路部署，不需要再数据库服务器上安装插件，不影响⽹络和业务系统的结构。 ⽆需与业务系统对接，与数据库服务器没有数据交互，不需要数据库服务器提供⽤户名密码。 ⽤户预留增加额外⽹络设备，也⽆需对现有的⽹络结构进⾏改造。 Agent代理客户端部署： Agent部署⽅式⼀般是因为：当Web应⽤和数据库在同⼀台物理服务器上的话，那么Web应⽤访问数据库的流量都是在本地产⽣的，没法 通过交换机来镜像到数据库审计，此时需要在这种主机上安装agent代理，主动监听