虛擬化平臺(tái)和傳統(tǒng)網(wǎng)絡(luò)環(huán)境共存����,應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器要在混合云平臺(tái)進(jìn)行數(shù)據(jù)庫審計(jì)��,就要區(qū)別于傳統(tǒng)的部署方式���,本文以vSphere虛擬平臺(tái)為例,對(duì)數(shù)據(jù)庫審計(jì)在混合虛擬化平臺(tái)上的部署進(jìn)行實(shí)踐探討���。
一����、傳統(tǒng)數(shù)據(jù)庫審計(jì)產(chǎn)品在虛擬化平臺(tái)下的局限性
虛擬化能夠應(yīng)對(duì) IT 部門面臨的最緊迫難題:基礎(chǔ)架構(gòu)無序擴(kuò)張�,迫使 IT 部門將其 70% 的預(yù)算用于維護(hù),而只留下很少的資源用于業(yè)務(wù)發(fā)展創(chuàng)新�����。
這一困難源于當(dāng)今 x86 服務(wù)器的體系結(jié)構(gòu):它們的設(shè)計(jì)使其在同一時(shí)間只能運(yùn)行一個(gè)操作系統(tǒng)和應(yīng)用���。這樣一來�,即使是小型數(shù)據(jù)中心也必須部署大量服務(wù)器�����,而每臺(tái)服務(wù)器的容量利用率只有 5% 到 15%,無論以哪種標(biāo)準(zhǔn)來看���,都是十分低效的��。
虛擬化軟件可使多個(gè)操作系統(tǒng)和應(yīng)用運(yùn)行在一臺(tái)物理服務(wù)器(即“主機(jī)”)上,從而解決這一問題��。每個(gè)功能完備的虛擬機(jī) (VM) 都與其他虛擬機(jī)相隔離�����,并可根據(jù)自身需要使用主機(jī)計(jì)算資源�����。
虛擬化實(shí)施前����,很多單位已經(jīng)有一定的信息化基礎(chǔ),在已有的軟硬件網(wǎng)絡(luò)條件下逐步在引入虛擬化���,即部分應(yīng)用系統(tǒng)部署在虛擬化環(huán)境下���,其他部分仍然是傳
統(tǒng)的應(yīng)用和數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)環(huán)境。虛擬化平臺(tái)下數(shù)據(jù)庫審計(jì)是實(shí)現(xiàn)安全合規(guī)必不可少的設(shè)備��,而傳統(tǒng)的數(shù)據(jù)庫審計(jì)技術(shù)在新的虛擬化平臺(tái)下存在一定的局限性。
二�����、傳統(tǒng)數(shù)據(jù)庫審計(jì)產(chǎn)品的審計(jì)原理
傳統(tǒng)數(shù)據(jù)庫審計(jì)產(chǎn)品是通過交換機(jī)鏡像數(shù)據(jù)庫訪問流量���,通過SQL協(xié)議分析���,實(shí)時(shí)記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動(dòng)。端口鏡像存在諸多限制條件:
部署的節(jié)點(diǎn)位置�����,必須支持端口鏡像功能����,并且有空閑的端口作為觀測(cè)端口。
滿足以上條件����,則可以使用端口鏡像的旁路模式部署數(shù)據(jù)庫安全審計(jì)設(shè)備。
端口鏡像旁路模式的部署點(diǎn)可以在各個(gè)部門出口交換機(jī)上�,也可以部署在數(shù)據(jù)庫前端交換機(jī)上,建議部署在數(shù)據(jù)庫前端。
三�、虛擬化平臺(tái)下數(shù)據(jù)庫服務(wù)器的模式
(1)應(yīng)用虛擬化,但數(shù)據(jù)庫未虛擬化��。
這種情況下數(shù)據(jù)庫與在虛擬化平臺(tái)的應(yīng)用通過交換機(jī)相連提供服務(wù)���,數(shù)據(jù)庫訪問可以在交換機(jī)上設(shè)置流量鏡像��,輸出到審計(jì)設(shè)備上。
(2)應(yīng)用虛擬化�����,數(shù)據(jù)庫也虛擬化�,但分別在兩臺(tái)主機(jī)下。
如果在兩臺(tái)主機(jī)下���,應(yīng)用和數(shù)據(jù)庫之間也可以通過在交換設(shè)備上鏡像流量�����,實(shí)現(xiàn)數(shù)據(jù)庫的操作審計(jì)����。
(3)應(yīng)用虛擬化,數(shù)據(jù)庫也虛擬化�����,應(yīng)用與數(shù)據(jù)庫在一個(gè)主機(jī)下�。
此時(shí),應(yīng)用到數(shù)據(jù)庫訪問是不通過網(wǎng)絡(luò)硬件設(shè)備的�����,傳統(tǒng)的數(shù)據(jù)庫審計(jì)無法采用在交換機(jī)鏡像流量的方式實(shí)現(xiàn)數(shù)據(jù)庫訪問協(xié)議分析���。
因此�����,第(1)和(2)兩種情況傳統(tǒng)數(shù)據(jù)庫審計(jì)產(chǎn)品都能夠兼容���,第(3)種模式下網(wǎng)絡(luò)流量是在虛擬平臺(tái)內(nèi)流轉(zhuǎn)的,無法通過物理交換機(jī)獲得��。
四�、對(duì)于虛擬化平臺(tái)模式下數(shù)據(jù)庫審計(jì)解決方案
(1)軟件版數(shù)據(jù)庫審計(jì)產(chǎn)品
企業(yè)用戶可能用到的混合虛擬化平臺(tái)管理系統(tǒng)有如下圖所示。
安華金和數(shù)據(jù)庫安全實(shí)驗(yàn)室以vmware虛擬化平臺(tái)進(jìn)行實(shí)驗(yàn)后���,獲得如下實(shí)踐結(jié)果�����。
數(shù)據(jù)庫審計(jì)作為一個(gè)安裝在虛擬機(jī)的應(yīng)用��,通過虛擬平臺(tái)的軟交換���,進(jìn)行網(wǎng)絡(luò)流量鏡像����,將數(shù)據(jù)庫審計(jì)產(chǎn)品結(jié)合到虛擬環(huán)境中的部署圖如下圖所示����,����,在虛擬
環(huán)境下面,運(yùn)行著三套應(yīng)用系統(tǒng)APP1�����、APP2����、APP3��,以及其對(duì)應(yīng)的后臺(tái)數(shù)據(jù)庫DB1���、DB2、DB3�。DBAudit為部署了數(shù)據(jù)庫審計(jì)產(chǎn)品的虛
擬機(jī),所有設(shè)備通過vSphere Distributed Switch進(jìn)行網(wǎng)絡(luò)通訊�����。
ESXi在整個(gè)vSphere虛擬環(huán)境下的位置圖安華金和數(shù)據(jù)庫安全實(shí)驗(yàn)室在vSphere搭建的實(shí)驗(yàn)環(huán)境如下:
在vSphere Distributed
Switch上面可以通過使用端口鏡像���,使得所有訪問目標(biāo)數(shù)據(jù)庫的網(wǎng)絡(luò)流量���,鏡像到DBAudit審計(jì)服務(wù)器的數(shù)據(jù)采集端口。在下圖描述的環(huán)境中�,只要配
置將PORT2,PORT5和PORT7的數(shù)據(jù)鏡像至PORT8�,那么DBAudit審計(jì)服務(wù)器即可獲取到訪問三臺(tái)數(shù)據(jù)庫虛擬機(jī)的流量。
DBAudit審計(jì)服務(wù)器通過鏡像端口Port 8 �����,進(jìn)行數(shù)據(jù)采集的工作。同時(shí)����,該虛擬設(shè)備通過Port 9,提供對(duì)外的訪問及管理����,用戶可以對(duì)DBAudit進(jìn)行配置和管理。
如果其他虛擬機(jī)通過vSphere Distributed Switch單獨(dú)劃分為獨(dú)立的網(wǎng)段���,各網(wǎng)段彼此之間不能連通����,需要在每個(gè)網(wǎng)段里單獨(dú)部署一套數(shù)據(jù)庫審計(jì)�����,而不能在不同網(wǎng)段中共享一套����。
(2)通過數(shù)據(jù)庫本地代理
在虛擬化平臺(tái)中的數(shù)據(jù)庫服務(wù)器虛擬機(jī)上安裝本地代理�,通過本地代理將流量發(fā)送給硬件的數(shù)據(jù)庫審計(jì)產(chǎn)品。
(3)比較這兩種方式的優(yōu)劣性:
方式(2)需要在數(shù)據(jù)庫所在操作系統(tǒng)上安裝軟件��,由此引發(fā)穩(wěn)定性故障;
方式(2)會(huì)引起網(wǎng)絡(luò)流量加大�����,網(wǎng)絡(luò)拓?fù)鋸?fù)雜�,安全體系漏洞大。(如���,從數(shù)據(jù)庫服務(wù)器向外寫數(shù)據(jù)�,在通常的防火墻安全策略中是禁止的�。)
五、結(jié)束語
安華金和數(shù)據(jù)庫安全實(shí)驗(yàn)室以vmWare虛擬化平臺(tái)為例���,采用軟件版數(shù)據(jù)庫審計(jì)在虛擬化平臺(tái)下進(jìn)行部署�,區(qū)別于傳統(tǒng)的數(shù)據(jù)庫審計(jì)設(shè)備通過物理交換機(jī)
鏡像流量的的方式���,通過vSphere Distributed
Switch鏡像流量�����,同時(shí)還要面對(duì)虛擬化平臺(tái)下不同數(shù)據(jù)庫服務(wù)器的模式特點(diǎn)進(jìn)行部署實(shí)踐��。
產(chǎn)品咨詢:4000 258 365 
