數據庫審計

數據庫安全，是指以保護數據庫系統(tǒng)、數據庫服務器和數據庫中的數據、應用、存儲，以及相關網絡連接為目的，是防止數據庫系統(tǒng)及其數據遭到泄露、篡改或破壞的安全技術。數據庫審計隸屬于數據庫安全，相關領域也包含數據庫防火墻，數據庫加密等。本文主要介紹數據庫審計方案。

編輯搜圖

上圖參考自安全牛。

數據庫安全需求

在數字經濟時代，數據資源成為經濟發(fā)展的關鍵要素，無論是互聯網行業(yè)還是傳統(tǒng)行業(yè)都在踐行信息化、數字化、虛擬化。根據FileEye M-Trends 2018報告，企業(yè)組織的攻擊從發(fā)生到發(fā)現所需時長可以看出企業(yè)安全防護管理能力薄弱，亞太地區(qū)尤甚。

每個企業(yè)的業(yè)務系統(tǒng)的核心都是數據，大部分系統(tǒng)的核心數據都存儲在數據庫中，數據庫的安全關乎核心系統(tǒng)的安全，甚至關乎企業(yè)的命脈。數據庫安全問題主要體現：

• 外部非授權人員（如黑客）對數據庫進行惡意入侵，獲取或者刪除數據庫數據。

• 內部人員操作安全隱患，非法修改和刪除數據庫數據，調整數據庫配置，誤操作給業(yè)務系統(tǒng)帶來難以恢復的損失。

• 針對數據庫的安全事件發(fā)生后，無法進行有效的追溯和審計。

法律法規(guī)需求

國內制定了網絡安全等級保護制度標準和網絡安全法等，從法律法規(guī)的層面要求企業(yè)應當履行安全保護義務。

編輯搜圖

數據庫審計系統(tǒng)是一種降低數據庫存安全風險和滿足審計需求的系統(tǒng)。國內安全廠商基本都有完善數據庫審計方案，接下來將對數據庫審計方案的功能點進行梳理，最后提出一種輕量級、低成本的自建數據庫審計方案。

業(yè)界數據庫審計方案

數據庫審計系統(tǒng)功能模塊

數據庫審計作為一個完整的系統(tǒng)，主要功能模塊包括采集、審計、存儲查詢、審計告警和可視化報表展示等功能。

編輯搜圖

支持數據庫類型

數據庫一般支持國內外主流數據庫，包括MySQL、PostgreSQL、SQL Server、Oracle、DB2等關系數據庫，還包括HBase、MongoDB、Redis等數據庫，國產數據庫包括大夢，人大金倉、南大通用等。總體而言，主流數據庫一般都包含在內。

審計數據采集范圍

數據庫審計系統(tǒng)一般會將采集Agent和審計分析等模塊，整個系統(tǒng)部署在交換機的鏡像端口，在采集端可以設置一定的審計策略，例如支持全面審計，將數據庫所有的操作記錄下來，考慮到審計系統(tǒng)的吞吐能力，也支持進行白名單或黑名單審計，只審計重要的語句和請求來源，部分審計有一定的缺陷，因為往往不能確定哪些語句或者來源是可以忽略的，所以好的審計系統(tǒng)應該是全面審計，審計范圍下表供參考。

存儲查詢分析

審計系統(tǒng)中都會有存儲系統(tǒng)，來將審計流量解析后的操作記錄下來，以供后續(xù)報表使用和告警分析，在存儲方面一般會有容量限制，不支持無限存儲。支持一定程度的檢索和根據查詢條件來進行靈活的查詢，支持根據源IP，執(zhí)行時間等各類定制條件的檢索，總體來看查詢分析偏定制化，與真正的日志查詢分析能力相比，靈活性會有些欠缺。

告警

審計系統(tǒng)會對數據庫訪問行為進行實時監(jiān)控，如果觸發(fā)了規(guī)則設置，告警系統(tǒng)會對數據庫的危險操作行為進行告警，顯示告警信息并且將告警信息存儲，便于后續(xù)查詢檢索發(fā)生的告警，在告警通知渠道方面一般支持Syslog、郵件、SNMP、短信等傳統(tǒng)通知渠道，對于新的通知渠道比如微信、釘釘、甚至云廠商的EventBridge，FunctionCompute等支持較弱。通知渠道較為傳統(tǒng)，并且不具有通知編排分派能力。

報表

數據庫審計報表支持各種報表模板，報表中符合SOX法案、等保等法規(guī)標準的審計需求，一般包括在線報表和周期性報表，并且支持導出為PDF或者Excel等。報表內容包括數據庫訪問情況，性能狀態(tài)，語句分布，風險分布等。

雙向審計

雙向審計，指的是對數據庫的請求和返回結果進行雙向審計，一般的數據庫審計系統(tǒng)都提供了雙向審計功能，對于返回結果，大部分審計系統(tǒng)存儲的是返回結果行數和消耗時間，少量審計系統(tǒng)支持對原始返回結果的存儲。

三層關聯審計

三層關聯是一個比較早期的概念，表示客戶瀏覽器、web服務器、數據庫服務器三層，在數據庫層發(fā)生問題時，可以追溯到web服務器和客戶瀏覽器，從而找到引起問題的用戶信息。大部分審計系統(tǒng)通過在web服務器上部署審計插件，可以達到三層關聯審計的需求。

在云原生時代，終端用戶訪問的路徑可能不僅僅是這三層，中間可能經過很多不可見的層，一般可以通過Trace的方式，關聯整個訪問路徑，來查看整個訪問路徑的延遲、吞吐和錯誤。

數據庫審計系統(tǒng)部署架構

部署方式基本都支持旁路部署的方式，通過交換機端口鏡像，將數據庫的流量鏡像到審計系統(tǒng)中，在不支持交換機端口鏡像的環(huán)境下，也有部分嘗試支持將審計系統(tǒng)串聯在數據庫服務器和應用服務器之間獲取數據庫流量，一般不推薦串聯的做法，對數據庫或者應用服務會產生潛在的性能和穩(wěn)定性有潛在威脅。

• 旁路鏡像流量方式

編輯搜圖

• 串聯方式

編輯搜圖

兩者對比

輕量級、低成本數據庫審計方案

在安全廠商提供的方案中，有軟硬一體的交付方案和軟件兩種部署方案，價格也根據不同的審計規(guī)格定價不同，總體而言對于小企業(yè)來講也是一筆不小的開銷，有沒有一種輕量級、低成本的方案呢？答案是肯定的。本文將提供一種基于開源抓包工具+云上存儲查詢分析的審計方案。

開源抓包工具+云上存儲查詢分析

在數據庫審計方案中，對數據庫流量的抓取、解析、存儲、查詢、告警、報表是剛性需求。在開源產品中，抓包工具可以選擇Packebeat，一種開源的網絡抓包工具。

Packebeat支持較多的網絡協議，包括ICMP、DHCP、DNS、HTTP、AMQP、Cassandra、MySQL、PostgreSQL、Redis、Thrift-RPC、MongoDB、Memcache、NFS、TLS、SIP/SDP等協議，包含的常見的數據庫和內存數據庫等。

Packetbeat是通過libcap抓取網絡流量，支持多種網絡協議的解析，通過將網絡包的分析，拆分出消耗時間和狀態(tài)字段等，并將協議結果組裝成統(tǒng)一的JSON結構。Packebeat屬于ElasticSearch的Beats系列，支持將采集到的數據輸出到非常多的插件中，包括elasticsearch、kafka、http、lumberjack等。

在數據存儲查詢分析方面，可供選擇的比較多，同時滿足高性能存儲、查詢分析、可視化、告警等需求的免運維一站式方案可以選擇阿里云日志服務。

• 審計數據的存儲可以根據自身需求和等保要求選擇存儲時間，并且日志服務支持冷存已節(jié)省存儲費用。

• 日志服務查詢分析具有大規(guī)模、免運維、低成本等特點，性能方便可以支持十億數據秒級返回。支持完整的SQL92語法支持，對于審計場景的查詢分析，事后問題追溯具有重要的意義。

• 日志服務支持完善的可視化報表，可以進行交互式實時可視化，同時支持第三方如Grafana、Tableau、DataV等可視化系統(tǒng)。

• 日志服務監(jiān)控告警支持大規(guī)模日志的實時監(jiān)控，具有靈活智能的告警降噪功能，在通知方面支持動態(tài)分派，用戶組、值班組、排班表等功能，支持多樣化的通知渠道除了傳統(tǒng)的郵件、短信、語音等渠道外，還支持現代化的通知渠道如微信、釘釘、飛書、自定義Webhook，云上支持EventBridge、FunctionCompute等，可以多個場景使用。

部署方式

使用該方案，可以在用戶端部署輕量級的采集Agent，將較重的查詢分析能力、審計告警能力后移到日志服務，可以大大節(jié)省用戶的服務器資源，同時可以享受在云上的免運維、高性能、低成本的服務。部署架構的總體思想是將Packetbeat和Logtail部署在可以采集到數據庫流量的路徑上。

采集Agent包括Packetbeat和日志服務Logtail，將抓到的審計數據上傳到日志服務的Project中，根據審計場景的不同，主要分為以下部署方式：

• RDS數據庫審計場景：主要包括云上數據庫的審計，是通過將Logtail和抓包工具部署在應用服務器上來進行抓包實現審計功能。

編輯搜圖

• 自建數據庫審計場景：自建數據庫一般是部署在企業(yè)自己的數據庫服務器上，通過將Logtail和抓包工具安裝在數據庫服務器上實現審計功能。

• 除了以上部署方式，也可以通過交換機端口鏡像的方式，將Logtail和Packetbeat部署在可以接收端口鏡像流量的服務器上，同樣可以實現數據庫審計。

日志查詢分析

在日志服務控制臺的查詢頁面可以進行靈活的日志查詢分析，對于審計中出現的異常行為可以查看其詳細操作內容，同時可以對過去任意長時間的數據（在日志庫的TTL內，TTL可以由用戶設置）進行高性能查詢分析。

以下為采集的的數據庫操作的示例，包含完整的客戶端信息、服務端信息、查詢語句、查詢語句參數、返回結果行數等信息。

編輯搜圖

分析場景，支持靈活的SQL92語法查詢，比如下圖可以查詢過去一段時間內每種查詢語句的執(zhí)行數量趨勢，在查詢后支持多種儀表盤展示，以下為流圖展示。

編輯搜圖

安全審計報表，可深度自定義

在改方案中，日志服務提供了內置的儀表盤，用戶也可以根據自身需求定制自己的儀表盤。

• 審計運營中心儀表盤

• 審計安全中心儀表盤

• 審計性能中心儀表盤

方案優(yōu)勢

編輯搜圖

輕量級部署

僅需根據審計場景在相應的服務器上部署Logtail+Packetbeat即可完成審計的部署，同時在日志服務通用數據庫審計的控制臺，可以快速安裝。

靈活查詢語法，支持查詢+SQL92

日志服務支持靈活的查詢語法，分析語法完整支持SQL 92標準，同時日志服務還提供了豐富的內建函數，比如支持包括平滑函數、多周期估計函數、變點檢測函數、預測與異常檢測函數等機器學習的語法和函數，可以一鍵式使用日子服務的機器學習能力。

大數據實時查詢分析查詢高性能

日志服務的具有極致的查詢分析速度，可以做到十億級數據秒級返回。同時對于大數據量的SQL分析時，支持更為強勁的獨享SQL能力，支持千億級數據的高性能分析，可以快速支撐長周期比如月維度，年維度的數據分析場景、支持每天TB級別的數據分析。在審計場景下，進行全量審計往往數據量比較大，查詢性能是審計系統(tǒng)的重要體驗因素。

同時日志服務的分析語法支持SQL的JOIN，通過JOIN語法可以方便的與其他日志庫進行聯合查詢，可以方便的實現三層關聯審計。

海量數據低成本存儲，冷存滿足各類長期存儲

對于海量的審計數據，日志服務的存儲價格為0.0115元/GB/天，同時支持秒級高性能返回；對于有長期存儲，查詢頻次較低的場景，支持冷存儲，價格低至0.005元/GB/天。日志服務的智能冷熱分層存儲，尤其適合審計合規(guī)的數據的存放。

完善的智能告警系統(tǒng)，現代化云原生的告警管理系統(tǒng)

日志服務告警是一站式告警監(jiān)控、降噪、事務管理、通知分派的智能運維平臺。包含日志/時序存儲、告警監(jiān)控、告警管理、通知管理等模塊；具有高可用和高可靠性，同時告警服務功能免費，僅收取短信、語音兩個渠道的通知費用。Saas形態(tài)的告警產品具有更全面智能的告警監(jiān)控能力和告警事務降噪能力，可以有效降低告警系統(tǒng)的運維成本和運維人員的時間成本。

低成本，無訂閱費

該方案具有低成本的優(yōu)勢，不收取訂閱費，在審計數據采集后，僅按量收取審計數據的讀寫費用和存儲費用，如果使用告警系統(tǒng)，僅產生少量的短信和語音渠道費（不使用短信和語音通知渠道不收費），相比其他包年包月的收費方式，具有較多優(yōu)勢。

開始使用

目前該方案在日志服務已經開始公測，在日志服務控制臺首頁-日志應用中可以找到入口，入口鏈接。

編輯搜圖

進入通用數據庫審計后，通過簡單的接入配置，即可完成數據庫的審計功能。具體操作步驟可以參考官網鏈接。

編輯搜圖

編輯搜圖

編輯搜圖

在使用的過程中有任何問題可以加入SLS客戶支持群進行提問。