隨著越來越多的企業用戶將傳統的業務系統遷移至虛擬化環境或是云服務商提供的云平臺,數據的泄露及篡改風險變的越發嚴峻,針對數據安全的防護以及事后審計追溯也變得越來越困難。究其原因,主要是傳統的數據庫審計解決方案是通過旁路分析目標被審計數據庫鏡像的流量,而虛擬化環境或者云平臺由于內部的虛擬交換機(Vswitch)流量很難鏡像或者無法鏡像,因此傳統的數據庫審計解決方案不足以應對虛擬化和云平臺的數據庫審計需求。
首先我們對虛擬化及云平臺環境中,傳統的數據庫審計解決方案在典型的幾種場景下的優缺點進行解析:
場景一:應用和數據庫的虛擬主機不在同一臺物理機器上
如下圖所示這種情況下的應用和數據庫虛擬主機不在同一臺物理機器上,對傳統數據庫審計來說,可以采用傳統方式直接鏡像數據庫服務器所在的物理宿主主機(物理機器4)網卡的流量,完成對目標數據庫的審計,缺點是需要將虛擬機流量全部鏡像過去,同時可能會導致一些無需審計的主機的數據的泄露,這是這種解決方案最大的一個風險。
場景二:應用和數據庫的虛擬主機在同一臺物理機器上
針對應用和數據庫在同一臺物理機器上,應用和數據庫的交互過程通過內部的Vswitch進行了流量轉發,流量并不通過所在的物理機器的宿主主機網卡,因此采用傳統的鏡像流量根本無法鏡像,如下圖所示:
針對這種情況傳統數據庫解決方案有三種方法解決:
a、 虛擬機虛擬網卡綁定物理網卡
要求宿主主機有多個物理網卡,每個物理網卡和上層交換機直連,虛擬機層面在安裝時可以指定將虛擬網卡綁定在對應的宿主主機的物理網卡上,然后使用傳統的鏡像方式鏡像物理網卡的流量完成審計,這種缺點非常明顯,要求物理服務器要有多個網卡,實際上大部分PC服務器只有不超過1-4個網卡端口,大部分物理機器上虛擬了幾十個虛擬機,因此,在實際部署上并沒有那么多網卡可供綁定,存在諸多限制,實際上并無法實施。
b、在VDS上配置流量鏡像
Vmware ESX在最新版本中推出的功能,將某虛擬機網卡流量通過GRE封包,直接通過TCP協議發送到某個IP地址上(數據庫審計設備),數據庫審計設備接收GRE數據包完成審計,但是這種解決方案的缺點如下:
◆Vmware版本及VDS(分布式虛擬交換機),據官方技術資料只有Vmware 5.5以上版本才支持,目前客戶現場主流的4.x、5.0、5.1等版本都不支持,其他非Vmware虛擬化環境就更不支持,因此針對大部分客戶現場環境實際并不支持部署。
◆通過GRE封裝做流量鏡像對宿主主機的物理網卡性能影響非常嚴重,所有鏡像流量都要通過宿主主機的物理網卡進出,極大影響了物理網卡的性能。
◆VDS屬于虛擬交換機,其對數據包的處理完全依賴于CPU,并不像傳統交換機靠硬件進行流量轉發,因此對宿主主機的CPU資源占用也非常嚴重,極大的降低了宿主主機的性能。
c、 開啟流量廣播
這種方式目前是最主流的方式,將數據庫審計以虛擬機的方式部署在對應的宿主主機,當做宿主宿主機的一個虛擬機看待,然后開啟Vmware的流量廣播功能,每個虛擬機都將收到Vswitch上每個端口通信的IP流量,因此DB審計設備只需要采集其虛擬網卡上的流量就可以采集到目標數據庫服務器的流量,只需要在采集階段過濾掉其他流量即可完成審計,如下圖所示:
這種解決方案的缺點也非常明顯:
◆開啟流量廣播雖然大部分Vswitch都支持,但是這種方式就好比早期的Hub一樣,tcp通信能力將明顯降低,嚴重影響整體網絡傳輸的時延及可靠;
◆DB審計可以采集到所有虛擬機的流量,其他虛擬機一樣也會采集到所有的流量,這些流量里肯定包含很多未加密的敏感數據如用戶名、密碼等,假設這些虛擬機中有一臺機器被入侵或者非法利用,這樣會帶來極大的安全問題。
場景三:應用和數據庫的虛擬主機隨機的分配在一個虛擬化集群的某個主機上
這種場景其實是場景一和場景二的結合,目前大部分客戶為了避免單一硬件的故障,基本上都采用虛擬化集群的方式實現企業的虛擬化,當碰到單一硬件的故障,虛擬機會在整個硬件虛擬化資源池中自動遷移,具體遷移到哪臺物理主機上并不確定,因此傳統的鏡像方式并不能確定虛擬主機此刻在哪個交換機上,如下圖所示:
因此在這種場景下同樣無法做鏡像,只能把虛擬化集群所有主機的流量全部鏡像出來,這種缺點也非常明顯:
◆當出現業務和DB在遷移到同一個物理機器上時,其實并沒有流量,實質上審計不到任何數據,這個時候是存在嚴重的漏審計;
◆虛擬化集群涉及的機器比較多,流量非常大,網絡可能也比較復雜,傳統的鏡像方式很難在實際中進行配置,因此很難實施;
場景四:應用和數據庫分別托管部署在完全獨立的第三方云計算平臺
場景四是場景三的一種延伸與擴大,場景四主要指目前主流的第三方云平臺提供商如阿里云、亞馬遜、騰訊云、華為云、百度云等等,底層的硬件、存儲、網絡等等都對用戶不透明,上層的虛擬機具體在哪個物理硬件服務器上,連接哪個物理交換機,用戶一概不知道,如下圖所示:
因此要用傳統方式配置鏡像,基本上沒有可能,云平臺提供商并不會提供底層資源的控制權給云主機租戶,因此對這種場景的數據庫要進行審計,傳統數據庫審計解決方案將徹底無能為力。
綜上所述,在虛擬化和云環境平臺中,只有場景一,傳統的數據庫審計解決方案勉強可以解決。針對場景二傳統數據庫審計解決方案基本上是不支持,部分情況即使支持也是有非常明顯的缺點及種種環境的限制,針對場景三、場景四傳統的解決方案直接是無法支持。
針對虛擬化環境和云平臺中的數據庫審計難題,安恒信息推出了全新架構的虛擬化云環境Agent代理審計解決方案。通過在虛擬主機上部署Agent,以不變應萬變,全面支持以上描述的四種典型場景,這種解決方案由Agent對數據庫的請求行為直接進行處理,處理完成之后由Agent直接將數據發給采集器統一檢測、告警、存儲及挖掘分析,徹底解決了各種虛擬化、云環境數據庫無法審計的難題。具體部署拓撲圖如下圖所示:
本解決方案有以下優點:
◆全面支持所有虛擬化環境和云環境的數據庫安全審計,不區分業務部署架構、底層虛擬化軟件架構和底層的網絡架構,不依賴傳統的交換機流量鏡像;
◆支持部署在虛擬化環境中所有的Linux 2.6以上內核版本、及windows2003、2008、2012等版本;
◆支持主流的Oracle、SQL Server、DB2、Sybase、Mysql、Lnformix等數據庫,同時支持達夢、人大金倉、Oscar、Gbase等國產數據庫,還支持cache、teradata、postgresql等數據庫的審計;
◆部署簡單,支持一鍵安裝;
◆對虛擬主機的性能影響可以忽略不計,經實際阿里云環境虛擬主機測試,DB服務器流量在120Mb以內,agent對目標服務器的性能影響在3-8%之內。
隨著虛擬化、云計算技術的不斷成熟,業務遷移到云端也是不可逆的趨勢,未來將會有越來越多的企業、政府、個人用戶將應用系統及數據庫逐漸遷移到自主搭建的私有云中,或者是第三方服務商提供的公有云平臺中,企業、政府的核心敏感數據托管在云環境中,面臨著各種竊取、篡改的威脅,數據的安全審計將越發重要,傳統的數據庫審計產品將逐步被下一代數據庫審計產品所替代,安恒明御數據庫審計產品將繼續作為行業的領導者,在虛擬化、云計算時代繼續為用戶的數據庫安全審計保駕護航。
更多信息請查看IT技術專欄
版權所有:易賢網
公眾號
事業單位
當前位置:
公考類
招聘類
各類考試