数据库审计系统基本原理与部署方式

数据库审计系统基本原理与部署方式

发表于 2020-06-17 | 分类于 网络安全 | 阅读次数: | 字数: 1,837 | 阅读时长: 6

什么是数据库审计?

数据库审计是记录数据库被访问行为的日志系统。

访问数据库的一般有两种行为,一种是应用服务区的访问,一种是数据库运维人员的访问。

数据库审计(简称 DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。

数据库审计是数据库安全技术之一,数据库安全技术主要包括:数据库漏扫、数据库加密数据库防火墙数据脱敏数据库安全审计系统

黑客的 SQL 注入攻击行为,可以通过数据库审计发现。

数据库审计系统能干什么?

  • 性能监控

    SQL 吞吐、会话监控、性能瓶颈

  • 攻击预警

    对漏洞攻击、SQL 注入、敏感语句、风险操作等进行预警。

  • 事后追溯

    具有基本行为审计、应用关联分析、记录全、准、可读性高。

  • 告警通知

    一般可通过短信、邮件、SNMP、Syslog 进行告警通知。

数据审计经历的技术:

  • 第一阶段:流量行为审计

    实现了对 OSI 七层模型中的网络层到会话层的覆盖,主要对数据库访问行为进行分析和统计

  • 第二阶段:内容审计阶段

    实现了 OSI 七层模型中的表示层到应用层的覆盖,利用关键字进行模糊匹配,对数据库访问行为实现内容记录,如登陆账户、SQL 语句等

  • 第三阶段:语法解析阶段

    主要集中在应用层,实现对 SQL 语句的语义分析,尽可能的将操作数据库的 SQL 语句进行细颗粒解析,比如账户名、数据名等等

  • 第四阶段:大数据审计阶段

    解决面向对象的 M 语言安全设计问题,全面支持大数据审计,Hive、HBASE、MogoDB 等

数据审计系统可审计的风险项:

功能项策 略 元 素
登录风险对 IP、MAC、客户端、用户名、登录密码、时间等进行风险告警
影响行风险对超过指定行数的更新、删除、查询和导出行为进行告警
权限风险对用户、操作(DML、DDL、DCL)和对象进行访问控制风险定义。 增加 Update Nowhere 和 Delete Nowhere 等高危操作的风险告警
漏洞攻击对符合 CVE 上公开的数据库漏洞攻击特征的访问进行告警
SQL 注入对符合 SQL 注入特征的访问行为进行告警
SQL 黑名单精确地描述,出现了哪些语句就要进行告警(比如是一个要求授权很高的语句)
登录许可通过 IP、MAC、客户端、用户名、时间等因素描述信任的,不需要告警的登录
SQL 白名单大量的应用 SQL 语句属于来自于应用的正常访问,可以不需要告警
白名单规则通过用户、操作、对象、时间等因素描述许可以信任不需要告警的访问

双向审计:

通过对双向数据包的解析、识别及还原,不仅对数据库操作请求进行实时审计,而且还可对数据库系统返回结果进行完整的还原和审计,包括数据库命令执行时长、执行的结果集等内容;

操作行为内容和描述
用户行为数据库用户的登录、注销
数据定义语言(DDL)操作Create、Alter、Drop 等创建、修改或者删除数据库对象(表、索引、视图、存储过程、触发器、域等等)的 SQL 指令
数据操作语言(DML)操作Select、Delete、Updata、Insert 等用户检索或者修改数据的 SQL 指令
数据控制语言(DCL)操作Grant、Revoke 定义数据库用户的权限的 SQL 指令
其他操作包括 Execute、Commit、Rollback 等事务操作指令

数据库审计系统的主要功能架构:

图:数据库审计系统的主要功能架构

5W1H 的行为审计:

数据安全需求描述
Who(谁干的)数据库用户名、操作系统用户名、应用用户名
Where(在什么地方)数据库客户端 IP+MAC、应用客户端 IP
When(什么时间)发生时间、耗时时长
What(干了些什么)操作对象是谁、操作是什么
How(怎么干的)SQL 语句、参数
结果怎么样是否成功、影响行数、性能情况

流镜像部署:

数据库审计系统主要原理是,将所有访问数据库的流量镜像给审计系统,然后进行分析数据包,从而进行记录。

  • 审计系统采用旁路部署,不需要再数据库服务器上安装插件,不影响网络和业务系统的结构。
  • 无需与业务系统对接,与数据库服务器没有数据交互,不需要数据库服务器提供用户名密码。
  • 用户预留增加额外网络设备,也无需对现有的网络结构进行改造。

Agent 代理客户端部署:

Agent 部署方式一般是因为:当 Web 应用和数据库在同一台物理服务器上的话,那么 Web 应用访问数据库的流量都是在本地产生的,没法通过交换机来镜像到数据库审计,此时需要在这种主机上安装 agent 代理,主动监听 Web 应用访问数据库的流量,从而主动推送给数据库审计系统。

不需要云环境底层支持流量镜像,只需要安装 Agent 即可完成云环境数据库的安全审计,支持主流的云环境中的主流的 linux 和 windows 等虚拟主机 ,单台审计设备可以同时支持多个数据库的审计。

反向代理方式部署:

反向代理适用于流量不能到审计设备,又不允许安装 agent 代理软件的情况。它的原理是直接把审计设备当作一个代理,客户端数据库连接直接连接到审计设备,通过审计设备再到达数据库,从而达到审计数据库的目的。

是针对云环境中的共享数据库专门开发的一种部署模式,主要是为了解决公有云和私有云环境中共享数据库无法安装 agent 提供的一种解决方案,主要是通过 tcp 层协议代理实现。


参考资料:

https://baike.baidu.com/item/%E6%95%B0%E6%8D%AE%E5%BA%93%E5%AE%A1%E8%AE%A1/7882064?fr=aladdin

https://zhuanlan.zhihu.com/p/100905028

https://www.venustech.com.cn/article/type/1/233.html

https://www.dbappsecurity.com.cn/show-62-32-1.html


原文地址 cshihong.github.io