数据库审计和堡垒机是服务器和数据库的贴身侍卫,也是组织机构通过信息安全等级测评的“刚需”。当前一些行业不断强化对等保的要求,例如教育部要求互联网教育APP要求在6月30日之前完成信息安全等级备案的工作,近期与等保相关的服务和咨询开始多了起来,在这一过程中,数据库审计和堡垒机是被提到最多的两个产品,今天我们就来说一下这两个产品的选购和部署要点。
数据库审计和堡垒机有两个共同点:
- 他们都工作在“旁路”模式下,当然这里的旁路主要是相对于业务系统来说的,因此在部署和运行堡垒机和数据库审计的过程中并不会对业务系统造成任何的干扰,有此顾虑的可以放心了。
- 他们的主要功能都是用来进行“事后审计”,堡垒机主要是对操作人员的远程管理操作进行运维操作审计、数据库审计主要是对业务系统和运维人员对数据库的访问进行审计。
这两个特性结合在一起就产生了一个问题:必须保证所有的运维操作和数据库访问都能被截获和记录,堡垒机和数据库审计自身是没有办法强制截获流量的,在阿里云上部署堡垒机和数据库审计通常都要结合使用安全组和RDS白名单来保证流量截取的完整性。
公共的东西讲完了,先来看堡垒机的部署要点。
阿里云堡垒机的部署可以分成六步:
- 第一步、释放和激活堡垒机实例、阿里云堡垒机购买后需要激活释放后才能进行后续配置,所以第一步就是到堡垒机的控制台去释放堡垒机实例,在释放的过程中需要选择堡垒机所在的虚拟机交换机。
- 第二步、登陆堡垒机、堡垒机实例释放完成就可以登陆进行配置了,阿里云堡垒机有两个IP,一个内网IP和一个外网IP,这样在登陆的时候就会有两个选项,内网登陆和外网登陆,通常情况下我们都要选择外网登陆,除非是VPN或者专线环境。
- 第三步、创建堡垒机本地用户或者导入用户,堡垒机支持导入RAM子账号或者LDAP用户,大部分用户使用堡垒机本地用户即可,这里的用户就是日后要登陆服务器进行运维的管理员。
- 第四步、创建或者导入资产,这里的资产就是要管理的服务器,阿里云堡垒机支持导入当前帐号下的ECS服务器,也支持手工创建服务器资产,只要网络可达,无论是否是云服务器,均可添加,在创建或者导入资产后可以把服务器的管理员帐号信息填入服务器资产中,这样在不泄露服务器口令的情况下就可以让授权的用户通过堡垒机对该服务器进行管理。
- 第五步、创建运维规则,通过运维规则来绑定用户和资产,这样“用户”就可以对规则中的“资产”进行运维了管理了,在创建运维规则时可以指定一些诸如允许时段、允许IP、允许执行的命令等管理策略。
- 第六步、编辑服务器安全组规则,令服务器的管理运维端口(3389/22)只接受来自堡垒机网络地址的请求,保证所有的管理维护操作只能经由堡垒机执行,这一步非常重要,否则堡垒机的审计作用将形同虚设。
说完了堡垒机,再让我们看看数据库审计。
阿里云的数据库审计的部署可以分成如下七步:
- 第零步、先要选择版本,阿里云上的数据库审计有两个版本,分别是A100和C100,在购买时容易导致选择困难。过去,阿里云的默认选择都是A100,而最近则改成了C100,C100支持阿里云日志服务、支持创建审计规则进行报警,比较适合愿意“折腾”的用户。对于单纯的等保测评来说A100更加简单直接,鉴于大多数要通过等保测评的用户都不喜欢“麻烦”,我们就只介绍A100的部署要点。
- 第一步、还是释放和启动数据审计实例。
- 第二步、根据情况从数据库审计的内网或外网地址登陆。
- 第三步、添加数据库实例,就是对数据库的类型、版本、地址、端口、实例名称等信息进行登记描述,方便对采集到的信息进行分析和存储。添加完了数据库实例之后并不会自动的收到数据库的访问数据,还需要部署Agent进行采集,这一点非常重要。
- 第四步、部署Agent,假如要审计的对象是阿里云RDS则要把Agent部署在所有需要访问数据库的服务器和客户端上,对你没看错,就是所有,落下任何一台你的审计数据就是不完整的。假如要审计的对象是在阿里云ECS上自建的数据库,则可以将Agent部署在数据库服务器上,这里不同的部署位置需要安装的软件也有所不同。
- 第五步、开启数据审计管理员和审计员的登陆权限,可以通过数据库审计的外网地址直接登陆,这样就无需阿里云管理员用户即可进行数据审计系统自身的维护以及对采集到的数据库SQL语句进行审计工作了。
- 第六步、假如是阿里云RDS数据库要通过白名单保证只有安装了Agent的服务器才可以访问RDS、这一步同样非常重要。
通过以上步骤的介绍,希望您可以对阿里云数据库审计和堡垒机的部署过程有一个整体的把握,具体操作步骤可以参考阿里云在线文档。
