网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


游侠随笔:关于业务型数据库审计 有图有真相

2012-12-11 20:30 推荐: 浏览: 87 views 字号:

摘要: 2005年,游侠的老东家就在卖数据库审计,到现在也算是八年抗战了……说一点点感想: 在不算久远的过去,那时候应用基本都是C/S模式,数据库审计非常简单 客户端→数据库服务器 只需要把流量镜像过来就OK了 无非就是审计源和目的IP、源和目的MAC、登录账号、数...

2005年,游侠的老东家就在卖数据库审计,到现在也算是八年抗战了……说一点点感想:

在不算久远的过去,那时候应用基本都是C/S模式,数据库审计非常简单

客户端→数据库服务器

只需要把流量镜像过来就OK了

无非就是审计源和目的IP、源和目的MAC、登录账号、数据库名、表名、语句、返回值

渐渐的,三层架构的业务系统开始增多,包括:

1、网站模式

2、中间件模式

或者说,IIS、Apache、Nginx也算一种中间件,其实对数据库审计而言,一样

这个时候,数据库如果在同一台机器上,则几乎没办法

当然,可以装客户端的方式来解决,但是大型客户一定不会同意

——以前有一家做软件数据库审计的,一家关门大吉了

那么,如果不在服务器上不输任何客户端,则通过旁路的方式,客户最能接受

其实中间还有一个折中,就是管理员访问数据库的时候,通过堡垒机的方式实现

这样的方式,可以设定阻断策略,对管理员的操作进行数据库操作阻断

但是,多数客户依然会选择旁路的方案,因为最简单,无风险

并且,我所遇到的客户,全部都不想在中间件安装客户端

所以,只剩下了:

1、镜像“浏览器客户端→中间件或服务器”流量

2、镜像“中间件或服务器→数据库服务器”流量

然后,二者进行关联……

理所当然的,如各位所考虑的,做不到百分之百的准确

甚至,有一次测试,去了4家,其中3家都说百分之五六十、六七十的准确性

客户放弃了!我们去的比较晚,所以我也没机会亲自测试到底准确性有多少

各类语句,包括select、delete、insert、update等都没问题

登录操作、退出操作等,也没有问题,这一点,无需多虑

性能上,如果单台搞不定,通过“agent+host”的方式,部署多台agent

在agent上对数据库日志进行压缩、归并,然后发送到host,这不是问题

公司以前是纯粹的做数据库审计,后来推出了业务数据库审计,比以前强很多

可以定义特定操作进行报警,可以针对操作频率报警,也可以阻断非合规客户端

不但像以前那样可以审计到计算机(IP),也可以抓到多人一机的帐号

(三班倒的情况,多人共用一台计算机,并且是B/S模式)

关于存储,我们做到12TB了……并且可以直接存到存储上去,这个不是大问题

告警方式:邮件、snmp trap、短信、syslog,不建议短信,烦死

SQL语句翻译,思福迪的业务数据库审计系统是做了,比看语句直观的多!

游侠建议数据库审计、网络审计一起部署,网络审计可以做数据库审计的有益补充

同时,针对管理员的操作,部署堡垒机,基本算是比较完善的解决方案了

一直想写一篇数据库审计的文章,稍微细致一些的,不过现在太懒了!

并且,因为自己公司就在做数据库审计,所以……估计别人也不放心把资料给我。

文章部分图片来自思福迪公司资料,部分来自思福迪审计产品。

相关产品

作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢

联系站长租广告位!

中国首席信息安全官


关闭


关闭