在數(shù)據(jù)庫運維場景中��,“公用”是一種很常見的事情�,包括:公用數(shù)據(jù)庫賬號、公用運維主機���、公用操作系統(tǒng)賬號等等���。然而這種“公用”行為帶來的問題,則是無法準確識別運維人員的身份����,無法合理分配每個自然人的權限,且對于一些明顯的誤操作或惡意操作也無法溯源到自然人本身����;而另一個由“公用”帶來的弊端是數(shù)據(jù)庫的賬號被散發(fā)出去��,導致本來不應對該數(shù)據(jù)具備運維權限的人也可能獲取到賬號�,從而威脅到相關數(shù)據(jù)的安全�。
面對以上問題,單純通過提高密碼的復雜度或定期更改密碼都不足以保障數(shù)據(jù)的安全��。企業(yè)該采取怎樣的密碼管理方式��,才能適應這種“公用”運維場景下的數(shù)據(jù)安全管理與控制要求�?
從上文提及的諸多“公用”場景可以發(fā)現(xiàn),唯一不公用的��,大概就是運維人員的“自然人身份”���。如果可以通過一些技術手段明確表征自然人的身份�����,讓安全設備能夠根據(jù)自然人的身份及權限自動的為其建立合理的數(shù)據(jù)庫連接�,那么無論其他條件因數(shù)如何被“公用”�����,都可以清晰定位訪問數(shù)據(jù)的自然人身份;同時����,這種自動建立連接的機制令數(shù)據(jù)庫賬號和密碼不會被暴露在運維人員或公用環(huán)境之中,從而減少數(shù)據(jù)泄露的風險和隱患����。
負責數(shù)據(jù)庫運維的DBA和安全管理人員,常會碰到以下問題:
問題一:多個運維人員在運維過程中使用相同的高權限數(shù)據(jù)庫賬號�,無法區(qū)分控制和審計;
問題二:高權限賬號的安全性無法保障����,密碼幾乎是公開的��,而定期變更密碼所產(chǎn)生的高維護成本也令相關工作難以實際落地����;
問題三:由于應用系統(tǒng)和運維側使用相同的賬號,造成無法區(qū)分權限�����,無法進行細粒度控制��;
問題四:運維過程中,同一運維人員對不同內(nèi)容進行運維時��,需要不同的賬號分別登陸數(shù)據(jù)庫完成�����,不僅令人員的操作和記憶十分繁瑣����,也進一步提高了運維的成本。
想要對運維工作進行準確�、有效的管控,著眼于“自然人身份”是更為有效的手段��。針對“自然人”的識別與控制���,安華金和運維管理系統(tǒng)(DOMS)綜合以下5條技術路線和手段����,解決方案可由外及內(nèi)��、由淺入深的滿足客戶在不同場景下的實際需求:
解決方案
1���、Web認證方案
先將運維人員賬號錄入到DOMS運維管理系統(tǒng)�����,并創(chuàng)建對應的運維人員Web管理賬號�;當通過運維終端所在PC瀏覽器打開DOMS系統(tǒng)時,使用運維人員Web賬號進行登陸��,以申明當前是哪位運維人員在登錄系統(tǒng)�;之后,在運維終端上使用數(shù)據(jù)庫客戶端工具���,通過代理地址登陸數(shù)據(jù)庫����;DOMS將通過客戶端IP判定當前是哪位運維人員在訪問數(shù)據(jù)庫���。
通過上述方式��,客戶能夠準確識別出是誰在使用終端設備,是誰在操作數(shù)據(jù)庫�,并對人為操作進行控制;但無法解決密碼共用���、定期更改密碼等在維護和操作上造成的麻煩�。
2、堡壘機環(huán)境下的應對方案
在“堡壘機+跳板機”的環(huán)境下��,經(jīng)過堡壘機連接數(shù)據(jù)庫的方式大體分為兩種:
· 數(shù)據(jù)庫登錄密碼“代填”方式
大致流程為:運維終端->堡壘機->跳板機->堡壘機->數(shù)據(jù)庫(如圖1中的1->4->2->3)���;
· 數(shù)據(jù)庫登錄密碼“非代填”方式
有別于代填方式�����,是在跳板機上打開運維工具登陸數(shù)據(jù)庫����,流程相對簡單:運維終端->堡壘機->跳板機->數(shù)據(jù)庫(如圖1中的1->4->5)�。
圖1:堡壘機和跳板機交互流程
堡壘機的引入對于獲取“自然人身份”增加了難度,用非代填方式比較簡單�����。如果堡壘機登錄跳板機使用運維賬號作為操作系統(tǒng)賬號�����,以Oracle數(shù)據(jù)庫為例����,可以通過協(xié)議解析的方式獲取運維人員賬號�����;如果多個運維人員在打開跳板機時用的都是同一數(shù)據(jù)庫賬號�,或者是數(shù)據(jù)庫通信協(xié)議中沒有操作系統(tǒng)賬號標識���,則需要在跳板機上安裝插件���,通過插件獲取當前的運維賬號并發(fā)送給DOMS運維管理系統(tǒng),從而實現(xiàn)關聯(lián)�。
相比之下,用代填方式進行關聯(lián)會比較復雜����。這與不同堡壘機的實現(xiàn)機制也有關系,需要一定的流程對接���,比如在堡壘機設備上做一個運維賬號操作的關聯(lián)��,再將信息推送給DOMS運維管理系統(tǒng)實現(xiàn)關聯(lián)�����。
3����、動態(tài)令牌���、Ukey和證書方案
動態(tài)令牌和Ukey大家并不陌生��,是一種常用的雙因素校驗工具�����。DOMS運維管理系統(tǒng)可將令牌種子(或Ukey特征值)同運維管理的Web賬號進行關聯(lián)���。
其中,動態(tài)令牌的實現(xiàn)方式另辟蹊徑����,是在運維工具已登錄數(shù)據(jù)庫之后,通過特定的語句發(fā)送當前的令牌碼�����,DOMS截獲到令牌碼后會進行正確性的校驗�,并獲取關聯(lián)的運維賬號。
Ukey則是在客戶端主機上安裝小工具�,用來讀取Ukey和證書信息���,并將信息內(nèi)容發(fā)送給DOMS;同時����,該小工具可以讀取操作系統(tǒng)賬號和MAC地址,從而彌補了有些數(shù)據(jù)庫通信協(xié)議沒有操作系統(tǒng)賬號的空白�����。但Ukey畢竟是物理設備����,需要實際插入到運維所使用的客戶端主機上,而對于虛擬化或堡壘機等無法插入Ukey的環(huán)境則只能使用證書的方式��。
證書的方式同Ukey類似�,只是將硬件Ukey設備緩存文件證書,運維終端上利用客戶端小工具選擇運維人員的證書進行登陸��,證書會標識“自然人”信息�。
4、密碼橋方案
為了真正做到運維賬號一人一密����,數(shù)據(jù)庫賬號的密碼不暴露����,數(shù)據(jù)庫密碼可定期更換����,以及在同一運維賬號關聯(lián)多個數(shù)據(jù)庫賬號的情況下可對運維人員進行權限控制�,DOMS引入“密碼橋”方案。
什么是密碼橋�����?概括來講就是“運維管理Web賬號+密碼”和“數(shù)據(jù)庫賬號+密碼”在DOMS運維管理系統(tǒng)上已提前配置完成并形成映射關系��,此時運維賬號通過數(shù)據(jù)庫連接工具(如sqlplus�����、PL/SQL等)登錄數(shù)據(jù)庫�,DOMS會在數(shù)據(jù)庫連接過程中對用戶密碼進行替換(兩套賬號密碼的映射關系),達到使用該數(shù)據(jù)庫實際賬號對應的運維賬號登錄數(shù)據(jù)庫的目的����;同時,能對運維賬號和密碼匹配的正確與否進行校驗��,也可以對數(shù)據(jù)庫賬號和密碼的正確性進行校驗。
DOMS運維管理系統(tǒng)配置如下:
例一:指定數(shù)據(jù)庫賬號
Username:zhangsan:crm(zhangsan為運維管理Web賬號���;crm為數(shù)據(jù)庫賬號)
Password:運維賬號密碼
此時�,zhangsan這個運維賬號經(jīng)過DOMS運維管理系統(tǒng)映射��,使用crm這個數(shù)據(jù)庫賬號訪問數(shù)據(jù)庫����,僅需要輸入運維賬號的密碼,無需輸入數(shù)據(jù)庫賬號crm的真實密碼��,從而達到數(shù)據(jù)庫密碼不對運維人員暴露的效果�。
例二:不指定數(shù)據(jù)庫賬號
以sqlplus為例:此時,只輸入了運維賬號�����,DOMS系統(tǒng)會根據(jù)運維賬號找到與其關聯(lián)的唯一一個數(shù)據(jù)庫賬號進行替換并登錄�����。
5���、防繞過方案
針對某些C/S架構的業(yè)務系統(tǒng)�����,特別是醫(yī)療行業(yè)��,會涉及到大量的客戶端設備且有大量的動態(tài)IP情況存在����。此時���,無法通過客戶端IP的方式定位到客戶端主機�����,對于安裝Ukey的插件來說工作量也比較大���。如果安裝插件,能保障所有設備都被安裝到么�����?即使安裝了插件����,如果不通過代理地址(DOMS運維管理系統(tǒng))訪問數(shù)據(jù)庫又該如何防護�?此外��,在數(shù)據(jù)庫本地操作數(shù)據(jù)庫又要怎樣應對�����?
對于以上場景�����,安華金和提出“運維訪問防繞過”方案�,即利用在數(shù)據(jù)庫的logon觸發(fā)器進行數(shù)據(jù)庫訪問白名單控制:想要訪問數(shù)據(jù)庫的主機設備,必須到DOMS系統(tǒng)上進行注冊(包含IP�����、User�����、客戶端主機名等)�����;注冊后DOMS會對觸發(fā)器的內(nèi)容進行調(diào)整,實現(xiàn)對客戶端與數(shù)據(jù)庫建立連接時的控制���。此時�����,即使沒有經(jīng)過代理地址(經(jīng)過DOMS的還會有代理層面的控制)的登錄行為�,也會被認定為非授信的異常登錄�����,從而真正達到只有在授信終端上使用授信客戶端運維工具���、運維賬號、通過合規(guī)的訪問通道����,才可以正常對數(shù)據(jù)庫進行運維操作的目的。
文中介紹的五種技術路線及解決方案��,是在DOMS運維管理系統(tǒng)中對自然人進行識別�、控制,以及對密碼安全性的思考�;在引進權控方案后�,不會對日常運維工具帶來影響和附加工作�,從而讓DOMS運維管理系統(tǒng)成為企業(yè)運維安全可靠的幫手。
產(chǎn)品咨詢:4000 258 365 
