數(shù)據(jù)庫安全監(jiān)控與審計產(chǎn)品(DBAudit)��,是目前安華金和產(chǎn)品演進(jìn)處在最高級別的產(chǎn)品�����,也即目前公司全線產(chǎn)品中成熟度最高的產(chǎn)品�。近半年多來�����,直接來自客戶現(xiàn)場的功能需求逐漸進(jìn)入到產(chǎn)品演進(jìn)進(jìn)度中�,豐富了審計產(chǎn)品的特性,給客戶帶來新的使用價值��,也為這款成熟度最高的產(chǎn)品不斷注入新的活力。
一���、全新的應(yīng)用審計視角
傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品���,以“數(shù)據(jù)被誰訪問”的視角來反向溯源,審計出來的數(shù)據(jù)都是以數(shù)據(jù)庫為單位���,基于SQL語句��、風(fēng)險�、數(shù)據(jù)庫會話三維一體視角奠定了DBAudit的核心功能框架�,從風(fēng)險的產(chǎn)生到SQL語句模板���、SQL語句�����、數(shù)據(jù)庫會話生命周期的細(xì)粒度多訪問分析���,這是DBAudit V3.2.4.4以前版本的殺手锏。隨著安華金和數(shù)據(jù)安全治理理念逐步被客戶肯定�、被市場所認(rèn)可�,“誰訪問了哪些數(shù)據(jù)”成為一個全新的數(shù)據(jù)庫審計視角�,這種以應(yīng)用發(fā)起者為出發(fā)點,通過哪些應(yīng)用業(yè)務(wù)的請求�,最終訪問了哪些數(shù)據(jù),DBAudit全新應(yīng)用關(guān)聯(lián)審計順勢而出�。
新的應(yīng)用審計和統(tǒng)計,構(gòu)建了“應(yīng)用-應(yīng)用模塊-應(yīng)用行為-應(yīng)用請求”4級應(yīng)用框架結(jié)構(gòu)�,代表4層不同應(yīng)用定義:
一、應(yīng)用請求:訪問源對某個指定的URL發(fā)起訪問請求的流水記錄���;
二��、應(yīng)用行為:針對某類相同和相似的應(yīng)用請求���,去除參數(shù)化的URL模板(類似于SQL語句模板概念);
三���、應(yīng)用模塊:多個應(yīng)用行為的組合��,歸屬于一組功能模塊的集合��,對應(yīng)應(yīng)用服務(wù)器的功能菜單�;
四�����、應(yīng)用:以應(yīng)用服務(wù)器IP+應(yīng)用服務(wù)器端口+應(yīng)用工程名定義的一個應(yīng)用系統(tǒng)。
全新的框架設(shè)計充分考慮到多個應(yīng)用部署在一個應(yīng)用服務(wù)器的集中部署方式�,以及中大型應(yīng)用系統(tǒng)分布在多個應(yīng)用服務(wù)器上的集群架構(gòu),以應(yīng)對多樣化的應(yīng)用業(yè)務(wù)部署場景�。一旦應(yīng)用的4級結(jié)構(gòu)建立,即可以提供完整的基于應(yīng)用訪問視角的綜合性統(tǒng)計數(shù)據(jù)呈現(xiàn)和正向追溯能力:
a)應(yīng)用訪問熱度分析:接入DBAudit的多個應(yīng)用根據(jù)訪問頻次呈現(xiàn)應(yīng)用訪問熱度Top��;
b)應(yīng)用模塊訪問熱度分析:不同應(yīng)用的應(yīng)用模塊根據(jù)訪問頻次呈現(xiàn)應(yīng)用模塊訪問熱度Top�;
c)應(yīng)用訪問源熱度分析:以“客戶端IP+應(yīng)用用戶”為組合,根據(jù)對應(yīng)用訪問頻次呈現(xiàn)訪問源熱度Top�。
同“數(shù)據(jù)被誰訪問”以數(shù)據(jù)庫為單位提供全局和單庫視角一樣,應(yīng)用審計同樣提供了以應(yīng)用為單位的全局和單應(yīng)用視角分析�����,既可基于全局做整體查看���,也可以針對某個應(yīng)用做專項分析。
從應(yīng)用行為層次�����,提供“應(yīng)用行為-應(yīng)用請求流水-應(yīng)用請求詳情”的正向追蹤以及“應(yīng)用行為-訪問源”的反向追溯能力�����;從應(yīng)用訪問層次,提供“應(yīng)用請求-SQL流水-SQL詳情”和“應(yīng)用請求-應(yīng)用會話-會話下應(yīng)用請求流水-SQL流水”兩條下鉆分析路徑�����。
老的應(yīng)用會話統(tǒng)計分析能力在應(yīng)用審計框架建立后得到更大價值體現(xiàn):應(yīng)用會話將多個應(yīng)用請求串接起來����,使得“本次會話除了訪問這些地址還干了些什么”的連鎖行為分析得以落地。
二��、從對象統(tǒng)計到敏感數(shù)據(jù)溯源
以往我們的風(fēng)險規(guī)則到SQL語句和語句模板層級�,而有些場景下用戶更關(guān)注數(shù)據(jù)庫中敏感對象的訪問行為,這些敏感對象可能是數(shù)據(jù)庫��、表����,甚至字段(列),這對審計粒度來說提出更高挑戰(zhàn)���。
通過全新的數(shù)據(jù)結(jié)構(gòu)設(shè)計和數(shù)據(jù)處理邏輯設(shè)計�,DBAudit提供了基于數(shù)據(jù)庫表級別的對象統(tǒng)計和分析能力����。在新的數(shù)據(jù)結(jié)構(gòu)設(shè)計中���,充分考慮到不同數(shù)據(jù)庫中表對象屬主的定義范圍差異,如Oracle和SQL Server有Schema的概念�,Oracle的Instance,MySQL的庫概念等��,我們設(shè)計了目前相對覆蓋元素較多的一種數(shù)據(jù)庫表對象Owner機(jī)制���,即以“DBname+Schema@(DBIP+Port+Instance)”多個字段的組合方式�����,基本覆蓋常用關(guān)系型數(shù)據(jù)庫形態(tài)�。同時���,針對Oracle RAC集群和MySQL Proxy類集群的應(yīng)用場景��,將多個數(shù)據(jù)庫IP和端口組合成一個數(shù)據(jù)庫來分析�����,避免因過于細(xì)致的屬主劃分粒度帶來同一表對象統(tǒng)計數(shù)據(jù)的分散���。
在指定的屬主范圍內(nèi),將動態(tài)請求而產(chǎn)生的SQL語句以表對象為單位統(tǒng)計��,依托訪問表對象時的SQL語句解析�����,提供了“表對象-操作類型-SQL語句流水”和“表對象-語句模板-SQL語句流水”的兩種鉆取分析路徑���。
對解析出的表根據(jù)數(shù)據(jù)分析可標(biāo)記為敏感表對象��,可以對一批敏感表對象做訪問行為的軌跡分析��,該表對象被哪個訪問源(客戶端IP�����、數(shù)據(jù)庫用戶)訪問�����、哪個客戶端工具所訪問以及整體的訪問頻度分布情況���,快速定位該敏感對象從哪些位置進(jìn)行訪問����。
從操作類型角度�,表對象經(jīng)常會以什么樣的方式被訪問,訪問頻次怎樣�����;從語句模板角度�,表對象經(jīng)常會被什么樣的語句模板來訪問,做到這一層級����,思路再往前一步,假定該表對象出現(xiàn)了新的訪問類型(如經(jīng)常SELECT的表對象突然出現(xiàn)了DELETE的操作行為)�,或者表對象出現(xiàn)了一種新的語句訪問模型(如出現(xiàn)了一種新的語句模板),是否疑似為非正常訪問動作�?當(dāng)功能演進(jìn)到該階段,是否像有些行為模型的分析�����?是的�,這就是我們正在完善的審計系統(tǒng)訪問行為模型。
三、學(xué)習(xí)期行為模型
在數(shù)據(jù)庫防火墻產(chǎn)品中����,引入學(xué)習(xí)期概念��。數(shù)據(jù)庫審計也構(gòu)建了全新的學(xué)習(xí)期���,針對每個被審計數(shù)據(jù)庫分別設(shè)置學(xué)習(xí)期��,而且利用數(shù)據(jù)庫審計系統(tǒng)一貫擅長的數(shù)據(jù)統(tǒng)計分析能力��,參與建模的元素更廣�、行為模型的范圍更大��,以此來為用戶的安全審計提供更全面的模型參考����。比如以敏感對象表元素頻度訪問、敏感對象的操作類型�����、訪問源的行為���、去參數(shù)化的語句模板���、去參數(shù)化的應(yīng)用URL行為等��,通過一定組合方式��,形成多樣的數(shù)據(jù)分析模型���。
上文提到的敏感對象表經(jīng)常被訪問的訪問源、敏感對象表日常被訪問的頻次和時間周期分布情況���、敏感對象被訪問的操作類型情況����,這些都將成為行為模型的分析元素��。在引入以應(yīng)用為視角的審計后�����,進(jìn)一步豐富了審計的輸出元素:
圖1:以數(shù)據(jù)庫為切入點和以應(yīng)用為切入點各自審計的元素組合
在一些特點的生產(chǎn)系統(tǒng)���,進(jìn)入業(yè)務(wù)穩(wěn)定期后���,功能模塊相對穩(wěn)定�����,具體到每個訪問行為�,其產(chǎn)生的SQL語句模板也相對固定�。反之����,一個SQL語句模板被業(yè)務(wù)系統(tǒng)請求的來源也相對固定,可見��,在一個穩(wěn)定運行的業(yè)務(wù)系統(tǒng)中��,應(yīng)用訪問行為與SQL語句模板存在相對穩(wěn)定的對應(yīng)關(guān)系�;無論應(yīng)用訪問行為出現(xiàn)了新的語句模板,或者產(chǎn)生的語句模板出現(xiàn)了新的應(yīng)用請求來源����,都可能成為可疑的訪問行為。比較典型的應(yīng)用場景:SQL注入偽裝成正常的數(shù)據(jù)訪問����,但在行為模型中發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)應(yīng)用請求中出現(xiàn)了新的語句���,產(chǎn)生疑似非法操作的告警,從根本上解決SQL注入的風(fēng)險��。
DBAudit的數(shù)據(jù)分析能力除了在審計系統(tǒng)上得到應(yīng)用外�,還將為防護(hù)類產(chǎn)品提供策略設(shè)置參考,如根據(jù)針對敏感對象設(shè)置訪問來源��、操作行為���、應(yīng)用URL���、時間周期等元素設(shè)置防火墻的攔截策略,針對敏感對象梳理結(jié)果設(shè)置動態(tài)訪問脫敏策略�����,這些將在新的集群管理系統(tǒng)中被串接起來�����,多個產(chǎn)品的聯(lián)合形成從敏感數(shù)據(jù)的識別���、分析����、建模、到安全使用防護(hù)的全過程��;這些也將成為UEBA模型的數(shù)據(jù)來源�,以及數(shù)據(jù)資產(chǎn)梳理系統(tǒng)(DBCarding)數(shù)據(jù)資產(chǎn)動態(tài)梳理的來源。
四�、大數(shù)據(jù)審計方向展望
傳統(tǒng)的關(guān)系型數(shù)據(jù)庫審計,針對大數(shù)據(jù)審計開始出現(xiàn)“水土不服”��,在一個個針對大數(shù)據(jù)審計的項目落地過程中我們總結(jié)發(fā)現(xiàn):
1.以操作類型為視角的統(tǒng)計很多場景不再實用��,如HDFS下的數(shù)據(jù)庫語句實際上是對文件系統(tǒng)的操作命令ls����、cp等����;
2.由于大數(shù)據(jù)存儲節(jié)點眾多,故數(shù)據(jù)訪問端口范圍的不確定性也隨之而來�����,傳統(tǒng)數(shù)據(jù)庫審計對IP+端口的數(shù)據(jù)模型已不再適用���,大數(shù)據(jù)審計一般都采用動態(tài)的端口范圍�����,而且范圍較大����,如某項目現(xiàn)場的Hive端口數(shù)量30+;
3.語句模板難以用SQL方式翻譯����,在關(guān)系型數(shù)據(jù)庫審計中安華金和的語句模板機(jī)制極大的減少了語句記錄量,業(yè)務(wù)審計中以模板方式也極大的提高了統(tǒng)計和分析的價值��,但大數(shù)據(jù)應(yīng)用下這種方式將難以繼續(xù)這種業(yè)務(wù)呈現(xiàn)�����;
4.業(yè)務(wù)化語言無法匹配�,關(guān)系型數(shù)據(jù)庫的業(yè)務(wù)化語言翻譯不再適用于大數(shù)據(jù)時代。
這里提到的“大數(shù)據(jù)審計”有兩層含義:
①對使用大數(shù)據(jù)作為業(yè)務(wù)數(shù)據(jù)庫存儲的這類“數(shù)據(jù)庫”審計��;
②對大量業(yè)務(wù)產(chǎn)生的審計數(shù)據(jù)以大數(shù)據(jù)方式存儲�。
前者的本質(zhì)在于數(shù)據(jù)庫的審計,后者的核心在于審計數(shù)據(jù)結(jié)果的處理�����。
在大數(shù)據(jù)使用愈發(fā)普及的市場背景下,以上兩個方面常常同時出現(xiàn):為了更好的服務(wù)于業(yè)務(wù)�����,大數(shù)據(jù)形態(tài)不斷擴(kuò)展和業(yè)務(wù)逐漸成熟���,大數(shù)據(jù)審計成為剛需���;大量的審計數(shù)據(jù)結(jié)果需要更大的存儲空間和更龐大的后續(xù)統(tǒng)計分析,而這正是大數(shù)據(jù)擅長的地方����,所以演變成了“用一個大數(shù)據(jù)應(yīng)用(DBAudit)來審計業(yè)務(wù)系統(tǒng)的大數(shù)據(jù)”���。
在完成對大數(shù)據(jù)審計的協(xié)議解析后���,如何呈現(xiàn)更合理的審計結(jié)果和統(tǒng)計分析?安華金和的思路是:基于現(xiàn)有DBAudit的語句�����、會話、風(fēng)險三大視角基礎(chǔ)框架����,基于大數(shù)據(jù)形態(tài)做針對性的審計數(shù)據(jù)結(jié)果呈現(xiàn)和風(fēng)險策略告警能力,DBAudit新的版本將會帶來耳目一新的價值體現(xiàn)�。
上面提到,被審計數(shù)據(jù)庫節(jié)點的極大增長�,以及審計結(jié)果數(shù)據(jù)量的猛增,審計系統(tǒng)本身也將步入大數(shù)據(jù)化�。目前安華金和的審計結(jié)果大數(shù)據(jù)形態(tài)大致如下:
圖2:大數(shù)據(jù)架構(gòu)圖
這將會在后續(xù)的產(chǎn)品演進(jìn)中逐步落地。
對大數(shù)據(jù)的審計支持能力�����,DBAudit在國內(nèi)廠商中一馬當(dāng)先����,目前支持的大數(shù)據(jù)形態(tài)有:Hive、HBase���、Sentry��、HDFS�����、Impala����、ElasticSearch,以及MangoDB�、Redis等非關(guān)系型數(shù)據(jù)庫。
以某省級電信運營商項目為例�����,安華金和對需求響應(yīng)和功能快速交付得到客戶的極大認(rèn)可�。運營商要求友商提供自己所提供系統(tǒng)的ElasticSearch大數(shù)據(jù)庫的審計,友商反饋不具備審計能力��,且表示國內(nèi)尚沒有產(chǎn)品可以做到�����。運營商輾轉(zhuǎn)找到安華金和�,我們的工程師三周完成了對友商這套應(yīng)用系統(tǒng)的大數(shù)據(jù)審計適配����,而且克服了友商“網(wǎng)絡(luò)環(huán)境故障”、“切換加密方式”等額外增加的困難,這體現(xiàn)了安華一切以業(yè)務(wù)場景需要和客戶滿意為宗旨����,深厚技術(shù)能力得到證明。
結(jié)束語:作為數(shù)據(jù)安全領(lǐng)域的領(lǐng)跑者���,我們將繼續(xù)深耕�,不斷挖掘產(chǎn)品新的價值點�����,正是憑著這種敢于向技術(shù)壁壘發(fā)起攻堅�����、敢于突破自我的精神����,才能打磨出具有領(lǐng)先性和前瞻性的成熟產(chǎn)品。
產(chǎn)品咨詢:4000 258 365 
