细说堡垒机与数据库审计

简介:

随着企业规模不断发展壮大,为提升企业运行效率,降低运营成本,企业信息化系统也在日益壮大,运维问题也日趋复杂,企业核心数据资源的安全无法进行有效管控,为企业健康发展埋下隐患。

基于此原因,企业信息化建设需在满足业务运行的前提下,加强内控与安全审计力度,切实保障信息系统安全运行,满足企业内控管理的合规要求。

小编就信息安全内控与数据安全领域的两款明星产品“堡垒机”与“数据库审计系统”进行梳理归纳,希望能够对广大IT运维工程师进行产品选型提供帮助。

堡垒机

在了解堡垒机前,先扒一扒信息系统运维中存在的一些问题,伟大的创新并非突发奇想,往往来源于我们亟待解决之问题。

信息系统运维中的问题

1.一个用户使用多个账号

由于信息系统庞大,拥有少则数十台,多则上百台的服务器,而维护人员又极其有限,单个工程师维护多套系统的现象普遍存在。伴随而来就是工程师记事簿上密密麻麻的账号密码,同时在多套主机系统之间切换,其工作量和复杂度成倍增加,直接导致的后果就是工作效率低下,操作繁琐容易出现误操作,影响系统正常运行。

2.权限分配粗放,缺乏细粒度

大多数的系统授权是采用操作系统自身的授权系统,授权功能分散在各个设备和系统中,缺乏统一的运维操作授权策略,授权颗粒度粗,无法基于最小权限分配原则管理用户权限,因此,出现运维人员权限过大和内部操作权限滥用等问题。

3.第三方代维人员的操作行为缺乏有效监控

随着企业信息化建设的快速发展,为缓解企业IT人员不足的压力,越来越多的企业系统运维工作转交给系统供应商或第三方代维商,企业既解决了人员不足的问题,又解决了招聘新人的技能培训问题。但是在享受便利的同时,由于涉及提供商,代维商过多,人员复杂流动性又大,对操作行为缺少监控带来的风险日益凸现,因此,需要通过严格的权限控制和操作行为审计。

针对上述问题,相信广大运维工程师都有“搔头不知痒处”的苦恼。不用急,这个时候我们的堡垒机登场了。

堡垒机的审计过程

堡垒机又名运维安全审计系统,首先他将服务器群的访问限定单一入口,所有用户均不能直接访问服务器,需通过堡垒机中转,这样就有条件对整个流量进行监控,对风险操作进行记录报警,对用户进行集中地细粒度权限管理。再在堡垒机中集成单点登录(SSO)功能,用户只需登录一次就可以访问所有相互信任的应用系统解决单用户多账号问题;再就协议代理,通过截获HTTP、ftp、ssh、rdp、vnc通信协议内容,解析并记录IT运维人员的操作过程。

堡垒机的核心技术协议代理,由于协议对应的SOCKET端口对于服务器来说是唯一的,意味着堡垒机在给IT运维人员授权时,只能允许或禁止使用某服务器的某知名协议。假设授权给甲S服务器的RDP协议,就相当于S服务器上的所有IT资源授权给了甲。授权颗粒度一般是以服务器为单位。再一个对于RDP和VNC操作过程只能进行录屏,对于风险过程无法快速智能识别,只能事后通过记录慢慢甄别,时效性较差。待基于应用代理的堡垒机技术成熟后,应该有很大改进。

数据库审计系统

数据库审计系统在当下信息安全领域绝对算得上明星产品,一是因为信息化时代,数据库作为企事业单位的战略性资产,必须进行严格防范,以防被非法获取;二是《萨班斯法案》、《计算机信息系统安全等级保护数据库管理技术要求》等相关规范性法案及要求对企业内控与审计进行了合规性要求。更深刻的原因在于,数据库面临的众多安全风险亟待解决。

数据库面临的安全风险

一、管理风险

内部员工及第三方维护人员的权限分配粗放,导致权限滥用且无有效手段监控操作,致使安全事件发生时不能及时告警且无法追溯并定位真实的操作者,数据流向失控。上文提到堡垒机虽说也有一定的审计功能,但无法达到应用级。

二、技术风险

ORALCE、SQL SERVER等数据库系统是一个庞大而复杂的系统,加之其承载的高价值数据库,无数黑客对其趋之若鹜,致使其漏洞层出不穷,而补丁往往跟进非常延后(有时打补丁风险不比黑客小),另外基于应用层的注入攻击更是难于防范。

三、审计层面

传统的依赖于日志审计的方法,存在诸多弊端,如:数据库审计功能开启会影响数据库本身的运行,原本海量的数据检索已让数据库不堪重负;数据库日志文件本身存在被篡改的风险,难于体现审计信息公正性和有效性;对于国内应用软件的功能性开发模式,日志更是流于表面无实质价值。

数据库审计系统的运行流程

数据库审计系统通过监控所有出入数据库的报文,通过深度的报文解析和重组技术将散列的报文还原成完整数据库语句,如select、delete、alter、grant等,再根据相应的规则对其进行匹配并根据相应的风险等级实时告警。

举个例子:某用户A仅限于访问数据库中的A表权限,黑客利用数据库的漏洞将用户A进行提权后,可以去访问B表,但是数据库本身的权限机制已被攻破,因此用户A访问B表畅通无阻。如果在数据库审计系统规则中限定B表的访问权限,通过对于底层报文解析重组后分析发现A用户在访问B表,促发了风险规则,此时系统会产生高风险告警,并通过邮件、短信等方式告知审计人员实时处理,同时对事件进行记录存档用于事后的追溯。

独立、公正的数据库审计平台

数据库审计系统为第三方的独立审计平台,且自身进行了分权处理,因此,对于审计的独立性与公正性得到了有效的保证。数据库审计系统通过底层直接抓取报文解析重组的方式进行审计,黑客缺乏有效的手段规避审计。

数据库审计系统的不足在于其设计局限于数据库,对于网络协议这一块的审计还有欠缺。不过现在的数据库审计系统也开始加强对协议方面的审计能力,昂楷AAS数据库审计系统目前支持国内国外主流数据库进行审计的同时,也支持常用的http、ftp、telnet、smtp、pop3等网络协议的审计,更可喜的是其在Hadoop大数据架构、云计算、工控等领域也取得成功的商用。

数据库审计和堡垒机都是目前有效实现信息化内控,满足合规性的重要有效手段,区别在于堡垒机侧重于对第三方维护人员行为的规范与控制,而数据库审计系统侧重于数据库本身的安全以及对数据库资源访问的合规性控制与审计。因此,如何进行产品选型取决于当前所需迫切解决的问题,产品本身并无优劣之分,不同侧重点不可被销售代表的大嘴无所不能的忽悠。


原文发布时间为:2017-11-08

本文作者:佚名

本文来自云栖社区合作伙伴51CTO,了解相关信息可以关注51CTO。


目录
相关文章
|
3月前
|
关系型数据库 Linux 数据库
阿里云数据库镜像如何登录账号
阿里云数据库镜像是一种方便快捷的方式,使得开发者可以在自己的本地电脑上进行数据库的开发和测试,而无需在云端进行复杂的环境配置。本文将详细讲解如何通过阿里云数据库镜像登录账号。一、准备环境在开始之前,你需要确保已经安装了阿里云数据库镜像,并在本地电脑上成功配置了数据库环境。如果你还没有安装,可以参考阿里云提供的安装。
|
SQL 存储 安全
阿里云数据库的安全管理实践 | 学习笔记
快速学习阿里云数据库的安全管理实践
298 0
阿里云数据库的安全管理实践 | 学习笔记
|
云安全 存储 监控
阿里云数据库审计简介和购买流程
如大家所知,如果你的项目要过等保三级或者以上,则必须要有数据库审计,否则你是无法过等保的。在满足等保2.0‘安全审计’相关要求的同时,智能解析数据库通信流量,细粒度审计数据库访问行为,通过对数据库全量行为的审计溯源、危险攻击的实时告警、风险语句的智能预警,提供敏感的数据库资产最安全的监控保障。
阿里云数据库审计简介和购买流程
|
SQL Cloud Native 搜索推荐
【笔记】用户指南—账号和安全—管理数据库账号
PolarDB-X实例支持高权限账号和普通账号,本文介绍账号的相关管理操作。
|
SQL Cloud Native 搜索推荐
用户指南—账号和安全—管理数据库账号
PolarDB-X实例支持高权限账号和普通账号,本文介绍账号的相关管理操作。
109 0
|
消息中间件 Kubernetes 监控
通用数据库审计K8s部署实践
通用数据库审计是日志服务提供的一种轻量级、低成本数据库安全方案,在之前的文章《自建数据库没有审计方案?试试这套轻量级低成本方案》中介绍了通过部署Logtail和Packetbeat在应用服务器或者数据库服务器上的方法抓取数据库操作行为流量,从而实现数据库审计数据的采集。日志服务提供了开箱即用的审计报表和告警配置。 随着云原生技术的成熟,越来越多的应用部署在云原生环境,云原生环境的动态及灵活性给抓包工具带来了一些困难,本文主要介绍在K8s环境下如何部署这套轻量级、低成本审计方案。
499 0
通用数据库审计K8s部署实践
|
数据库
云速搭部署数据库审计
本实践通过云速搭实现数据库审计的部署。
云速搭部署数据库审计
|
SQL 缓存 监控
RDS审计中心--数据库安全监控利器
依托阿里云SLS日志服务及阿里云RDS SQL审计,以极低的代价采集对SQL执行的所有操作,RDS审计中心提供丰富的内置告警规则,覆盖绝大部分场景的安全、运营、性能报表,只需要做最少的配置即可实现对数据库的全方位监控。
854 0
|
存储 SQL 弹性计算
云上等保部署要点——阿里云数据库审计和堡垒机
阿里云堡垒机和数据库审计的部署概要。
1739 0
云上等保部署要点——阿里云数据库审计和堡垒机
|
SQL 存储 安全
【数据库审计】旁路式与植入式数据库审计技术有何差别
本文将对目前数据库审计市场上的两类技术路线进行分析,从使用效果出发,浅析两者在各维度的审计效果上存在哪些差异,呈现产品真正能实现的功能和价值。希望能为广大用户在数据库审计产品的选型上提供参考依据。
2110 0

相关产品

  • 云迁移中心