注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网路游侠

www.youxia.org

 
 
 

日志

 
 

游侠随笔:关于业务型数据库审计 有图有真相  

2012-12-11 21:10:08|  分类: 02 游侠·原创 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

2005年,游侠的老东家就在卖数据库审计,到现在也算是八年抗战了……说一点点感想:

在不算久远的过去,那时候应用基本都是C/S模式,数据库审计非常简单

客户端→数据库服务器

只需要把流量镜像过来就OK了

无非就是审计源和目的IP、源和目的MAC、登录账号、数据库名、表名、语句、返回值

渐渐的,三层架构的业务系统开始增多,包括:

1、网站模式

2、中间件模式

或者说,IIS、Apache、Nginx也算一种中间件,其实对数据库审计而言,一样

这个时候,数据库如果在同一台机器上,则几乎没办法

当然,可以装客户端的方式来解决,但是大型客户一定不会同意

——以前有一家做软件数据库审计的,一家关门大吉了

那么,如果不在服务器上不输任何客户端,则通过旁路的方式,客户最能接受

其实中间还有一个折中,就是管理员访问数据库的时候,通过堡垒机的方式实现

这样的方式,可以设定阻断策略,对管理员的操作进行数据库操作阻断

但是,多数客户依然会选择旁路的方案,因为最简单,无风险

并且,我所遇到的客户,全部都不想在中间件安装客户端

所以,只剩下了:

1、镜像“浏览器客户端→中间件或服务器”流量

2、镜像“中间件或服务器→数据库服务器”流量

然后,二者进行关联……

理所当然的,如各位所考虑的,做不到百分之百的准确

甚至,有一次测试,去了4家,其中3家都说百分之五六十、六七十的准确性

客户放弃了!我们去的比较晚,所以我也没机会亲自测试到底准确性有多少

各类语句,包括select、delete、insert、update等都没问题

登录操作、退出操作等,也没有问题,这一点,无需多虑

性能上,如果单台搞不定,通过“agent+host”的方式,部署多台agent

在agent上对数据库日志进行压缩、归并,然后发送到host,这不是问题

公司以前是纯粹的做数据库审计,后来推出了业务数据库审计,比以前强很多

可以定义特定操作进行报警,可以针对操作频率报警,也可以阻断非合规客户端

不但像以前那样可以审计到计算机(IP),也可以抓到多人一机的帐号

(三班倒的情况,多人共用一台计算机,并且是B/S模式)

关于存储,我们做到12TB了……并且可以直接存到存储上去,这个不是大问题

告警方式:邮件、snmp trap、短信、syslog,不建议短信,烦死

SQL语句翻译,思福迪的业务数据库审计系统是做了,比看语句直观的多!

游侠建议数据库审计、网络审计一起部署,网络审计可以做数据库审计的有益补充

同时,针对管理员的操作,部署堡垒机,基本算是比较完善的解决方案了

一直想写一篇数据库审计的文章,稍微细致一些的,不过现在太懒了!

并且,因为自己公司就在做数据库审计,所以……估计别人也不放心把资料给我。

文章部分图片来自思福迪公司资料,部分来自思福迪审计产品。

作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢

  评论这张
 
阅读(255)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017