㈠ 資料庫審計和資料庫防火牆的區別
我認為資料庫防火牆不同於大家更為熟悉的資料庫審計,根本區別在於兩者防護原理有本質區別,資料庫審計更像是攝像頭,旁路監控資料庫訪問,發現威脅進行告警,但不做實質上的防禦,實際上更偏向事後的追溯。而防火牆則更為直接,可以通過直接串聯或旁路部署的方式,對應用與資料庫之間的訪問進行阻斷攔截等操作 ,攔截阻斷安全威脅,起到事中防護的作用。
資料庫防火牆是串聯部署,串聯模式部署在應用系統與資料庫之間,所有sql語句必須經過資料庫防火牆的審核後才能到達資料庫,發起訪問、操作。基於漏洞特徵庫、SQL注入特徵庫、黑白名單等的細粒度安全策略制定,結合訪問源、訪問對象、訪問行為、影響行數等准確解析結果,識別惡意資料庫指令,及時採取中斷會話或准確攔截語句的防禦行為,串聯部署最大的風險在於不能出現誤判斷,影響正常語句通過,這就要求資料庫防火牆的語句解析能力足夠精準,並且能夠建立非常完善的行為模型,在發現危險語句時,能夠在不中斷會話的基礎上,准確攔截風險語句,放行正常訪問。因此,要想真正發揮防護效果,資料庫防火牆必須串聯在資料庫的前端,可以是物理的(透明串接)或邏輯的(代理)串聯。
資料庫審計是旁路部署,是一款面向資料庫可提供安全、審計、監控能力的一體化工具。能對資料庫遭受到的風險行為進行告警,如:資料庫漏洞攻擊、SQL注入攻擊、高危風險操作等,旁路分析識別後再發出阻斷請求。兩者的區別還是很大的,安華金和專注數據安全行業,推薦你找他們了解下。更多內容可以網路一下。
㈡ 資料庫審計的主要功能
資料庫審計作為目前用戶接受度最高,使用最為廣泛的數據安全產品,如果只是單純的具有日誌記錄和審計功能已經不能完全滿足用戶的需求,其功能必須得到進一步的擴展:
一. 加密協議解析
資料庫有時會採用加密協議通訊,為審計解析帶來了困難,但這也是資料庫審計產品必須解決的問題,否則將無法實現資料庫訪問完全審計的任務。例如針對SQL Server默認的資料庫用戶加密或者更深層次的加密協議,都需要資料庫審計產品提供相應的解決辦法。
二. 復雜環境的數據採集
資料庫審計產品除了常規的旁路部署通過交換機鏡像資料庫訪問流量的審計方法外,還應具備適用於復雜網路的數據採集方式,例如在復雜的虛擬化網路環境下,通過「探針」方式捕獲資料庫流量。但是無論哪種部署方式,都需要在不影響資料庫原有性能,無需應用、網路環境改造的前提下,提供可靠的資料庫審計服務。
三. 應用關聯審計與監控
資料庫審計產品除了具備常規的客戶端一層的審計信息:客戶端IP、資料庫用戶、主機名、操作系統、用戶名等,還應具備應用側風險行為審計與監控的能力,例如對應用賬戶、應用IP等關聯審計信息。
四. 資料庫入侵行為監測
資料庫暴露於內外網路,且資料庫各版本都有安全漏洞問題,因此資料庫審計產品應提供針對資料庫漏洞攻擊的「檢測」功能,並對這些漏洞攻擊實時監控、有效記錄,發現風險後及時告警,且能夠有效追溯風險來源。
五. 資料庫異常行為監測
資料庫審計產品的主體價值是幫助用戶高效的完成風險行為的定責追溯,這需要資料庫審計產品針對資料庫通訊協議進行完全解析;並具備針對SQL語句的學習、歸類形成模板的能力;最終結合會話信息、應用關聯信息,實現資料庫行為建模。基於訪問模型,當資料庫訪問行為異常時,系統可提供實時的告警能力,降低數據泄露的損失。
六. 資料庫違規行為監測
資料庫審計產品還應具備針對資料庫的違規訪問、登錄等行為檢測告警的能力。例如利用審計到的資料庫賬號和客戶端IP信息,針對指定周期內,同一IP或賬號的頻次性失敗登錄行為進行監控並形成告警。
七. 報表展現
資料庫審計產品應具備將審計日誌進行數據化分析並以個性化報表展示的能力,以便幫助安全管理人員更加便捷、深入的剖析資料庫運行風險。例如:綜合報表、合規性報表、專項報表、自定義報表等。
安華金和資料庫審計產品不但完全具備以上7種能力,還具備更多的且具有用戶價值的擴展功能,具體可以咨詢他們~
㈢ 資料庫審計系統是什麼,有什麼作用
資料庫審計是對資料庫訪問行為進行監管的系統,一般採用旁路部署的方式,通過鏡像或探針的方式採集所有資料庫的訪問流量,並基於SQL語法、語義的解析技術,記錄下資料庫的所有訪問和操作行為,例如訪問數據的用戶(IP、賬號、時間),操作(增、刪、改、查)、對象(表、欄位)等。資料庫審計系統的主要價值有兩點,一是:在發生資料庫安全事件(例如數據篡改、泄露)後為事件的追責定責提供依據;二是,針對資料庫操作的風險行為進行時時告警。
二、資料庫審計怎麼審?
1、資料庫訪問流量採集
流量採集是資料庫審計系統的基礎,只有做到資料庫訪問流量的全採集,才能保證資料庫審計的可用性和價值,目前主要的流量採集方式主要有兩種:
鏡像方式:採用旁路部署通過鏡像方式獲取資料庫的所有訪問流量。一般適用於傳統IT架構,通過鏡像方式將所有訪問資料庫的流量轉發到資料庫審計系統,來實現資料庫訪問流量的獲取。
探針方式:為了適應「雲環境」「虛擬化」及「一體機」資料庫審計需求,基於「探針」方式捕獲資料庫訪問流量。適用於復雜的網路環境,在應用端或資料庫伺服器部署Rmagent組件(產品提供),通過虛擬環境分配的審計管理網口進行數據傳輸,完成資料庫流量採集。
探針式數據採集,還可以進行資料庫本地行為審計,包括資料庫和應用系統同機審計和遠程登錄後的客戶端行為。
2、語法、語義解析
SQL語法、語義的解析技術,是實現資料庫審計系統可用、易用的必要條件。准確的資料庫協議解析,能夠保障資料庫審計的全面性與易用性。全面的審計結果應該包括:訪問資料庫的應用層信息、客戶端信息、資料庫信息、對象信息、響應信息、登錄時間、操作時間、SQL響應時長等;高易用性的資料庫審計產品的審計結果和報告,應該能夠使用業務化的語言呈現出對資料庫的訪問行為,例如將資料庫中的要素客戶端IP、資料庫用戶、SQL 操作類型、資料庫表名稱、列名稱、過濾條件變成業務人員熟悉的要素:辦公地點、工作人員名稱、業務操作、業務對象、業務元素、某種類別的業務信息。這樣的是審計結果呈現即便是非專業的DBA或運維人員的管理者或業務人員也能夠看懂。
三、資料庫審計的價值?
1、資料庫相關安全事件的追溯與定責
資料庫審計的核心價值是在發生資料庫安全事件後,為追責、定責提供依據,與此同時也可以對資料庫的攻擊和非法操作等行為起到震懾的作用。資料庫自身攜帶的審計功能,不僅會拖慢資料庫的性能,同時也有其自身的弊端,比如高許可權用戶可以刪除審計日誌,日誌查看需要專業知識,日誌分析復雜度高等。獨立的資料庫審計產品,可以有效避免以上弊端。三權分立原則可以避免針對審計日誌的刪除和篡改,SQL語句解析技術,可以將審計結果翻譯成通俗易懂的業務化語言,使得一般的業務人員和管理者也能看懂。
2、資料庫風險行為發現與告警
資料庫審計系統還可以對於針對資料庫的攻擊和風險操作等進行實時告警,以便管理人員及時作出應對措施,從而避免數據被破壞或者竊取。這一功能的實現主要基於sql的語句准確解析技術,利用對SQL語句的特徵分析,快速實現對語句的策略判定,從而發現資料庫入侵行為、資料庫異常行為、資料庫違規訪問行為,並通過簡訊、郵件、Syslog等多種方式實時告警。
3、滿足合規需求
滿足國家《網路安全法》、等保規定以及各行業規定中對於資料庫審計的合規性需求。並可根據需求形成不同的審計報表,例如:綜合報表、合規性報表、專項報表、自定義報表等。