2005年,游侠的老东家就在卖数据库审计,到现在也算是八年抗战了……说一点点感想:
在不算久远的过去,那时候应用基本都是C/S模式,数据库审计非常简单
客户端→数据库服务器
只需要把流量镜像过来就OK了
无非就是审计源和目的IP、源和目的MAC、登录账号、数据库名、表名、语句、返回值
渐渐的,三层架构的业务系统开始增多,包括:
1、网站模式
2、中间件模式
或者说,IIS、Apache、Nginx也算一种中间件,其实对数据库审计而言,一样
这个时候,数据库如果在同一台机器上,则几乎没办法
当然,可以装客户端的方式来解决,但是大型客户一定不会同意
——以前有一家做软件数据库审计的,一家关门大吉了
那么,如果不在服务器上不输任何客户端,则通过旁路的方式,客户最能接受
其实中间还有一个折中,就是管理员访问数据库的时候,通过堡垒机的方式实现
这样的方式,可以设定阻断策略,对管理员的操作进行数据库操作阻断
但是,多数客户依然会选择旁路的方案,因为最简单,无风险
并且,我所遇到的客户,全部都不想在中间件安装客户端
所以,只剩下了:
1、镜像“浏览器客户端→中间件或服务器”流量
2、镜像“中间件或服务器→数据库服务器”流量
然后,二者进行关联……
理所当然的,如各位所考虑的,做不到百分之百的准确
甚至,有一次测试,去了4家,其中3家都说百分之五六十、六七十的准确性
客户放弃了!我们去的比较晚,所以我也没机会亲自测试到底准确性有多少
各类语句,包括select、delete、insert、update等都没问题
登录操作、退出操作等,也没有问题,这一点,无需多虑
性能上,如果单台搞不定,通过“agent+host”的方式,部署多台agent
在agent上对数据库日志进行压缩、归并,然后发送到host,这不是问题
公司以前是纯粹的做数据库审计,后来推出了业务数据库审计,比以前强很多
可以定义特定操作进行报警,可以针对操作频率报警,也可以阻断非合规客户端
不但像以前那样可以审计到计算机(IP),也可以抓到多人一机的帐号
(三班倒的情况,多人共用一台计算机,并且是B/S模式)
关于存储,我们做到12TB了……并且可以直接存到存储上去,这个不是大问题
告警方式:邮件、snmp trap、短信、syslog,不建议短信,烦死
SQL语句翻译,思福迪的业务数据库审计系统是做了,比看语句直观的多!
游侠建议数据库审计、网络审计一起部署,网络审计可以做数据库审计的有益补充
同时,针对管理员的操作,部署堡垒机,基本算是比较完善的解决方案了
一直想写一篇数据库审计的文章,稍微细致一些的,不过现在太懒了!
并且,因为自己公司就在做数据库审计,所以……估计别人也不放心把资料给我。
文章部分图片来自思福迪公司资料,部分来自思福迪审计产品。
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢