隨著越來越多的企業(yè)用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至虛擬化環(huán)境或是云服務(wù)商提供的云平臺(tái),數(shù)據(jù)的泄露及篡改風(fēng)險(xiǎn)變的越發(fā)嚴(yán)峻,針對(duì)數(shù)據(jù)安全的防護(hù)以及事后審計(jì)追溯也變得越來越困難。究其原因,主要是傳統(tǒng)的數(shù)據(jù)庫審計(jì)解決方案是通過旁路分析目標(biāo)被審計(jì)數(shù)據(jù)庫鏡像的流量,而虛擬化環(huán)境或者云平臺(tái)由于內(nèi)部的虛擬交換機(jī)(Vswitch)流量很難鏡像或者無法鏡像,因此傳統(tǒng)的數(shù)據(jù)庫審計(jì)解決方案不足以應(yīng)對(duì)虛擬化和云平臺(tái)的數(shù)據(jù)庫審計(jì)需求。
首先我們對(duì)虛擬化及云平臺(tái)環(huán)境中,傳統(tǒng)的數(shù)據(jù)庫審計(jì)解決方案在典型的幾種場景下的優(yōu)缺點(diǎn)進(jìn)行解析:
場景一:應(yīng)用和數(shù)據(jù)庫的虛擬主機(jī)不在同一臺(tái)物理機(jī)器上
如下圖所示這種情況下的應(yīng)用和數(shù)據(jù)庫虛擬主機(jī)不在同一臺(tái)物理機(jī)器上,對(duì)傳統(tǒng)數(shù)據(jù)庫審計(jì)來說,可以采用傳統(tǒng)方式直接鏡像數(shù)據(jù)庫服務(wù)器所在的物理宿主主機(jī)(物理機(jī)器4)網(wǎng)卡的流量,完成對(duì)目標(biāo)數(shù)據(jù)庫的審計(jì),缺點(diǎn)是需要將虛擬機(jī)流量全部鏡像過去,同時(shí)可能會(huì)導(dǎo)致一些無需審計(jì)的主機(jī)的數(shù)據(jù)的泄露,這是這種解決方案最大的一個(gè)風(fēng)險(xiǎn)。
場景二:應(yīng)用和數(shù)據(jù)庫的虛擬主機(jī)在同一臺(tái)物理機(jī)器上
針對(duì)應(yīng)用和數(shù)據(jù)庫在同一臺(tái)物理機(jī)器上,應(yīng)用和數(shù)據(jù)庫的交互過程通過內(nèi)部的Vswitch進(jìn)行了流量轉(zhuǎn)發(fā),流量并不通過所在的物理機(jī)器的宿主主機(jī)網(wǎng)卡,因此采用傳統(tǒng)的鏡像流量根本無法鏡像,如下圖所示:
針對(duì)這種情況傳統(tǒng)數(shù)據(jù)庫解決方案有三種方法解決:
a、 虛擬機(jī)虛擬網(wǎng)卡綁定物理網(wǎng)卡
要求宿主主機(jī)有多個(gè)物理網(wǎng)卡,每個(gè)物理網(wǎng)卡和上層交換機(jī)直連,虛擬機(jī)層面在安裝時(shí)可以指定將虛擬網(wǎng)卡綁定在對(duì)應(yīng)的宿主主機(jī)的物理網(wǎng)卡上,然后使用傳統(tǒng)的鏡像方式鏡像物理網(wǎng)卡的流量完成審計(jì),這種缺點(diǎn)非常明顯,要求物理服務(wù)器要有多個(gè)網(wǎng)卡,實(shí)際上大部分PC服務(wù)器只有不超過1-4個(gè)網(wǎng)卡端口,大部分物理機(jī)器上虛擬了幾十個(gè)虛擬機(jī),因此,在實(shí)際部署上并沒有那么多網(wǎng)卡可供綁定,存在諸多限制,實(shí)際上并無法實(shí)施。
b、在VDS上配置流量鏡像
Vmware ESX在最新版本中推出的功能,將某虛擬機(jī)網(wǎng)卡流量通過GRE封包,直接通過TCP協(xié)議發(fā)送到某個(gè)IP地址上(數(shù)據(jù)庫審計(jì)設(shè)備),數(shù)據(jù)庫審計(jì)設(shè)備接收GRE數(shù)據(jù)包完成審計(jì),但是這種解決方案的缺點(diǎn)如下:
◆Vmware版本及VDS(分布式虛擬交換機(jī)),據(jù)官方技術(shù)資料只有Vmware 5.5以上版本才支持,目前客戶現(xiàn)場主流的4.x、5.0、5.1等版本都不支持,其他非Vmware虛擬化環(huán)境就更不支持,因此針對(duì)大部分客戶現(xiàn)場環(huán)境實(shí)際并不支持部署。
◆通過GRE封裝做流量鏡像對(duì)宿主主機(jī)的物理網(wǎng)卡性能影響非常嚴(yán)重,所有鏡像流量都要通過宿主主機(jī)的物理網(wǎng)卡進(jìn)出,極大影響了物理網(wǎng)卡的性能。
◆VDS屬于虛擬交換機(jī),其對(duì)數(shù)據(jù)包的處理完全依賴于CPU,并不像傳統(tǒng)交換機(jī)靠硬件進(jìn)行流量轉(zhuǎn)發(fā),因此對(duì)宿主主機(jī)的CPU資源占用也非常嚴(yán)重,極大的降低了宿主主機(jī)的性能。
c、 開啟流量廣播
這種方式目前是最主流的方式,將數(shù)據(jù)庫審計(jì)以虛擬機(jī)的方式部署在對(duì)應(yīng)的宿主主機(jī),當(dāng)做宿主宿主機(jī)的一個(gè)虛擬機(jī)看待,然后開啟Vmware的流量廣播功能,每個(gè)虛擬機(jī)都將收到Vswitch上每個(gè)端口通信的IP流量,因此DB審計(jì)設(shè)備只需要采集其虛擬網(wǎng)卡上的流量就可以采集到目標(biāo)數(shù)據(jù)庫服務(wù)器的流量,只需要在采集階段過濾掉其他流量即可完成審計(jì),如下圖所示:
這種解決方案的缺點(diǎn)也非常明顯:
◆開啟流量廣播雖然大部分Vswitch都支持,但是這種方式就好比早期的Hub一樣,tcp通信能力將明顯降低,嚴(yán)重影響整體網(wǎng)絡(luò)傳輸?shù)臅r(shí)延及可靠;
◆DB審計(jì)可以采集到所有虛擬機(jī)的流量,其他虛擬機(jī)一樣也會(huì)采集到所有的流量,這些流量里肯定包含很多未加密的敏感數(shù)據(jù)如用戶名、密碼等,假設(shè)這些虛擬機(jī)中有一臺(tái)機(jī)器被入侵或者非法利用,這樣會(huì)帶來極大的安全問題。
場景三:應(yīng)用和數(shù)據(jù)庫的虛擬主機(jī)隨機(jī)的分配在一個(gè)虛擬化集群的某個(gè)主機(jī)上
這種場景其實(shí)是場景一和場景二的結(jié)合,目前大部分客戶為了避免單一硬件的故障,基本上都采用虛擬化集群的方式實(shí)現(xiàn)企業(yè)的虛擬化,當(dāng)碰到單一硬件的故障,虛擬機(jī)會(huì)在整個(gè)硬件虛擬化資源池中自動(dòng)遷移,具體遷移到哪臺(tái)物理主機(jī)上并不確定,因此傳統(tǒng)的鏡像方式并不能確定虛擬主機(jī)此刻在哪個(gè)交換機(jī)上,如下圖所示:
因此在這種場景下同樣無法做鏡像,只能把虛擬化集群所有主機(jī)的流量全部鏡像出來,這種缺點(diǎn)也非常明顯:
◆當(dāng)出現(xiàn)業(yè)務(wù)和DB在遷移到同一個(gè)物理機(jī)器上時(shí),其實(shí)并沒有流量,實(shí)質(zhì)上審計(jì)不到任何數(shù)據(jù),這個(gè)時(shí)候是存在嚴(yán)重的漏審計(jì);
◆虛擬化集群涉及的機(jī)器比較多,流量非常大,網(wǎng)絡(luò)可能也比較復(fù)雜,傳統(tǒng)的鏡像方式很難在實(shí)際中進(jìn)行配置,因此很難實(shí)施;
場景四:應(yīng)用和數(shù)據(jù)庫分別托管部署在完全獨(dú)立的第三方云計(jì)算平臺(tái)
場景四是場景三的一種延伸與擴(kuò)大,場景四主要指目前主流的第三方云平臺(tái)提供商如阿里云、亞馬遜、騰訊云、華為云、百度云等等,底層的硬件、存儲(chǔ)、網(wǎng)絡(luò)等等都對(duì)用戶不透明,上層的虛擬機(jī)具體在哪個(gè)物理硬件服務(wù)器上,連接哪個(gè)物理交換機(jī),用戶一概不知道,如下圖所示:
因此要用傳統(tǒng)方式配置鏡像,基本上沒有可能,云平臺(tái)提供商并不會(huì)提供底層資源的控制權(quán)給云主機(jī)租戶,因此對(duì)這種場景的數(shù)據(jù)庫要進(jìn)行審計(jì),傳統(tǒng)數(shù)據(jù)庫審計(jì)解決方案將徹底無能為力。
綜上所述,在虛擬化和云環(huán)境平臺(tái)中,只有場景一,傳統(tǒng)的數(shù)據(jù)庫審計(jì)解決方案勉強(qiáng)可以解決。針對(duì)場景二傳統(tǒng)數(shù)據(jù)庫審計(jì)解決方案基本上是不支持,部分情況即使支持也是有非常明顯的缺點(diǎn)及種種環(huán)境的限制,針對(duì)場景三、場景四傳統(tǒng)的解決方案直接是無法支持。
針對(duì)虛擬化環(huán)境和云平臺(tái)中的數(shù)據(jù)庫審計(jì)難題,安恒信息推出了全新架構(gòu)的虛擬化云環(huán)境Agent代理審計(jì)解決方案。通過在虛擬主機(jī)上部署Agent,以不變應(yīng)萬變,全面支持以上描述的四種典型場景,這種解決方案由Agent對(duì)數(shù)據(jù)庫的請(qǐng)求行為直接進(jìn)行處理,處理完成之后由Agent直接將數(shù)據(jù)發(fā)給采集器統(tǒng)一檢測、告警、存儲(chǔ)及挖掘分析,徹底解決了各種虛擬化、云環(huán)境數(shù)據(jù)庫無法審計(jì)的難題。具體部署拓?fù)鋱D如下圖所示:
本解決方案有以下優(yōu)點(diǎn):
◆全面支持所有虛擬化環(huán)境和云環(huán)境的數(shù)據(jù)庫安全審計(jì),不區(qū)分業(yè)務(wù)部署架構(gòu)、底層虛擬化軟件架構(gòu)和底層的網(wǎng)絡(luò)架構(gòu),不依賴傳統(tǒng)的交換機(jī)流量鏡像;
◆支持部署在虛擬化環(huán)境中所有的Linux 2.6以上內(nèi)核版本、及windows2003、2008、2012等版本;
◆支持主流的Oracle、SQL Server、DB2、Sybase、Mysql、Lnformix等數(shù)據(jù)庫,同時(shí)支持達(dá)夢、人大金倉、Oscar、Gbase等國產(chǎn)數(shù)據(jù)庫,還支持cache、teradata、postgresql等數(shù)據(jù)庫的審計(jì);
◆部署簡單,支持一鍵安裝;
◆對(duì)虛擬主機(jī)的性能影響可以忽略不計(jì),經(jīng)實(shí)際阿里云環(huán)境虛擬主機(jī)測試,DB服務(wù)器流量在120Mb以內(nèi),agent對(duì)目標(biāo)服務(wù)器的性能影響在3-8%之內(nèi)。
隨著虛擬化、云計(jì)算技術(shù)的不斷成熟,業(yè)務(wù)遷移到云端也是不可逆的趨勢,未來將會(huì)有越來越多的企業(yè)、政府、個(gè)人用戶將應(yīng)用系統(tǒng)及數(shù)據(jù)庫逐漸遷移到自主搭建的私有云中,或者是第三方服務(wù)商提供的公有云平臺(tái)中,企業(yè)、政府的核心敏感數(shù)據(jù)托管在云環(huán)境中,面臨著各種竊取、篡改的威脅,數(shù)據(jù)的安全審計(jì)將越發(fā)重要,傳統(tǒng)的數(shù)據(jù)庫審計(jì)產(chǎn)品將逐步被下一代數(shù)據(jù)庫審計(jì)產(chǎn)品所替代,安恒明御數(shù)據(jù)庫審計(jì)產(chǎn)品將繼續(xù)作為行業(yè)的領(lǐng)導(dǎo)者,在虛擬化、云計(jì)算時(shí)代繼續(xù)為用戶的數(shù)據(jù)庫安全審計(jì)保駕護(hù)航。
更多信息請(qǐng)查看IT技術(shù)專欄