在數(shù)據(jù)庫運(yùn)維場(chǎng)景中�����,“公用”是一種很常見的事情���,包括:公用數(shù)據(jù)庫賬號(hào)���、公用運(yùn)維主機(jī)��、公用操作系統(tǒng)賬號(hào)等等����。然而這種“公用”行為帶來的問題�,則是無法準(zhǔn)確識(shí)別運(yùn)維人員的身份,無法合理分配每個(gè)自然人的權(quán)限��,且對(duì)于一些明顯的誤操作或惡意操作也無法溯源到自然人本身�����;而另一個(gè)由“公用”帶來的弊端是數(shù)據(jù)庫的賬號(hào)被散發(fā)出去�,導(dǎo)致本來不應(yīng)對(duì)該數(shù)據(jù)具備運(yùn)維權(quán)限的人也可能獲取到賬號(hào),從而威脅到相關(guān)數(shù)據(jù)的安全����。
面對(duì)以上問題,單純通過提高密碼的復(fù)雜度或定期更改密碼都不足以保障數(shù)據(jù)的安全�。企業(yè)該采取怎樣的密碼管理方式�����,才能適應(yīng)這種“公用”運(yùn)維場(chǎng)景下的數(shù)據(jù)安全管理與控制要求?
從上文提及的諸多“公用”場(chǎng)景可以發(fā)現(xiàn)��,唯一不公用的�����,大概就是運(yùn)維人員的“自然人身份”�。如果可以通過一些技術(shù)手段明確表征自然人的身份,讓安全設(shè)備能夠根據(jù)自然人的身份及權(quán)限自動(dòng)的為其建立合理的數(shù)據(jù)庫連接��,那么無論其他條件因數(shù)如何被“公用”�����,都可以清晰定位訪問數(shù)據(jù)的自然人身份�;同時(shí),這種自動(dòng)建立連接的機(jī)制令數(shù)據(jù)庫賬號(hào)和密碼不會(huì)被暴露在運(yùn)維人員或公用環(huán)境之中��,從而減少數(shù)據(jù)泄露的風(fēng)險(xiǎn)和隱患����。
負(fù)責(zé)數(shù)據(jù)庫運(yùn)維的DBA和安全管理人員,常會(huì)碰到以下問題:
問題一:多個(gè)運(yùn)維人員在運(yùn)維過程中使用相同的高權(quán)限數(shù)據(jù)庫賬號(hào)��,無法區(qū)分控制和審計(jì);
問題二:高權(quán)限賬號(hào)的安全性無法保障�����,密碼幾乎是公開的��,而定期變更密碼所產(chǎn)生的高維護(hù)成本也令相關(guān)工作難以實(shí)際落地�����;
問題三:由于應(yīng)用系統(tǒng)和運(yùn)維側(cè)使用相同的賬號(hào)�����,造成無法區(qū)分權(quán)限��,無法進(jìn)行細(xì)粒度控制����;
問題四:運(yùn)維過程中,同一運(yùn)維人員對(duì)不同內(nèi)容進(jìn)行運(yùn)維時(shí)����,需要不同的賬號(hào)分別登陸數(shù)據(jù)庫完成,不僅令人員的操作和記憶十分繁瑣,也進(jìn)一步提高了運(yùn)維的成本����。
想要對(duì)運(yùn)維工作進(jìn)行準(zhǔn)確����、有效的管控,著眼于“自然人身份”是更為有效的手段���。針對(duì)“自然人”的識(shí)別與控制�,安華金和運(yùn)維管理系統(tǒng)(DOMS)綜合以下5條技術(shù)路線和手段����,解決方案可由外及內(nèi)、由淺入深的滿足客戶在不同場(chǎng)景下的實(shí)際需求:
解決方案
1�、Web認(rèn)證方案
先將運(yùn)維人員賬號(hào)錄入到DOMS運(yùn)維管理系統(tǒng),并創(chuàng)建對(duì)應(yīng)的運(yùn)維人員Web管理賬號(hào)����;當(dāng)通過運(yùn)維終端所在PC瀏覽器打開DOMS系統(tǒng)時(shí),使用運(yùn)維人員Web賬號(hào)進(jìn)行登陸�,以申明當(dāng)前是哪位運(yùn)維人員在登錄系統(tǒng);之后����,在運(yùn)維終端上使用數(shù)據(jù)庫客戶端工具�����,通過代理地址登陸數(shù)據(jù)庫��;DOMS將通過客戶端IP判定當(dāng)前是哪位運(yùn)維人員在訪問數(shù)據(jù)庫����。
通過上述方式�,客戶能夠準(zhǔn)確識(shí)別出是誰在使用終端設(shè)備,是誰在操作數(shù)據(jù)庫��,并對(duì)人為操作進(jìn)行控制��;但無法解決密碼共用�、定期更改密碼等在維護(hù)和操作上造成的麻煩。
2��、堡壘機(jī)環(huán)境下的應(yīng)對(duì)方案
在“堡壘機(jī)+跳板機(jī)”的環(huán)境下�,經(jīng)過堡壘機(jī)連接數(shù)據(jù)庫的方式大體分為兩種:
· 數(shù)據(jù)庫登錄密碼“代填”方式
大致流程為:運(yùn)維終端->堡壘機(jī)->跳板機(jī)->堡壘機(jī)->數(shù)據(jù)庫(如圖1中的1->4->2->3);
· 數(shù)據(jù)庫登錄密碼“非代填”方式
有別于代填方式�,是在跳板機(jī)上打開運(yùn)維工具登陸數(shù)據(jù)庫,流程相對(duì)簡(jiǎn)單:運(yùn)維終端->堡壘機(jī)->跳板機(jī)->數(shù)據(jù)庫(如圖1中的1->4->5)����。
圖1:堡壘機(jī)和跳板機(jī)交互流程
堡壘機(jī)的引入對(duì)于獲取“自然人身份”增加了難度��,用非代填方式比較簡(jiǎn)單���。如果堡壘機(jī)登錄跳板機(jī)使用運(yùn)維賬號(hào)作為操作系統(tǒng)賬號(hào),以O(shè)racle數(shù)據(jù)庫為例�����,可以通過協(xié)議解析的方式獲取運(yùn)維人員賬號(hào)����;如果多個(gè)運(yùn)維人員在打開跳板機(jī)時(shí)用的都是同一數(shù)據(jù)庫賬號(hào)�����,或者是數(shù)據(jù)庫通信協(xié)議中沒有操作系統(tǒng)賬號(hào)標(biāo)識(shí)����,則需要在跳板機(jī)上安裝插件,通過插件獲取當(dāng)前的運(yùn)維賬號(hào)并發(fā)送給DOMS運(yùn)維管理系統(tǒng)�,從而實(shí)現(xiàn)關(guān)聯(lián)。
相比之下����,用代填方式進(jìn)行關(guān)聯(lián)會(huì)比較復(fù)雜����。這與不同堡壘機(jī)的實(shí)現(xiàn)機(jī)制也有關(guān)系��,需要一定的流程對(duì)接�����,比如在堡壘機(jī)設(shè)備上做一個(gè)運(yùn)維賬號(hào)操作的關(guān)聯(lián)��,再將信息推送給DOMS運(yùn)維管理系統(tǒng)實(shí)現(xiàn)關(guān)聯(lián)�。
3、動(dòng)態(tài)令牌�����、Ukey和證書方案
動(dòng)態(tài)令牌和Ukey大家并不陌生�,是一種常用的雙因素校驗(yàn)工具。DOMS運(yùn)維管理系統(tǒng)可將令牌種子(或Ukey特征值)同運(yùn)維管理的Web賬號(hào)進(jìn)行關(guān)聯(lián)�����。
其中�,動(dòng)態(tài)令牌的實(shí)現(xiàn)方式另辟蹊徑����,是在運(yùn)維工具已登錄數(shù)據(jù)庫之后����,通過特定的語句發(fā)送當(dāng)前的令牌碼,DOMS截獲到令牌碼后會(huì)進(jìn)行正確性的校驗(yàn)��,并獲取關(guān)聯(lián)的運(yùn)維賬號(hào)���。
Ukey則是在客戶端主機(jī)上安裝小工具,用來讀取Ukey和證書信息�����,并將信息內(nèi)容發(fā)送給DOMS�����;同時(shí)�����,該小工具可以讀取操作系統(tǒng)賬號(hào)和MAC地址����,從而彌補(bǔ)了有些數(shù)據(jù)庫通信協(xié)議沒有操作系統(tǒng)賬號(hào)的空白��。但Ukey畢竟是物理設(shè)備��,需要實(shí)際插入到運(yùn)維所使用的客戶端主機(jī)上�����,而對(duì)于虛擬化或堡壘機(jī)等無法插入U(xiǎn)key的環(huán)境則只能使用證書的方式���。
證書的方式同Ukey類似,只是將硬件Ukey設(shè)備緩存文件證書�,運(yùn)維終端上利用客戶端小工具選擇運(yùn)維人員的證書進(jìn)行登陸,證書會(huì)標(biāo)識(shí)“自然人”信息����。
4、密碼橋方案
為了真正做到運(yùn)維賬號(hào)一人一密����,數(shù)據(jù)庫賬號(hào)的密碼不暴露,數(shù)據(jù)庫密碼可定期更換�����,以及在同一運(yùn)維賬號(hào)關(guān)聯(lián)多個(gè)數(shù)據(jù)庫賬號(hào)的情況下可對(duì)運(yùn)維人員進(jìn)行權(quán)限控制,DOMS引入“密碼橋”方案�����。
什么是密碼橋����?概括來講就是“運(yùn)維管理Web賬號(hào)+密碼”和“數(shù)據(jù)庫賬號(hào)+密碼”在DOMS運(yùn)維管理系統(tǒng)上已提前配置完成并形成映射關(guān)系,此時(shí)運(yùn)維賬號(hào)通過數(shù)據(jù)庫連接工具(如sqlplus��、PL/SQL等)登錄數(shù)據(jù)庫��,DOMS會(huì)在數(shù)據(jù)庫連接過程中對(duì)用戶密碼進(jìn)行替換(兩套賬號(hào)密碼的映射關(guān)系)����,達(dá)到使用該數(shù)據(jù)庫實(shí)際賬號(hào)對(duì)應(yīng)的運(yùn)維賬號(hào)登錄數(shù)據(jù)庫的目的����;同時(shí),能對(duì)運(yùn)維賬號(hào)和密碼匹配的正確與否進(jìn)行校驗(yàn)�,也可以對(duì)數(shù)據(jù)庫賬號(hào)和密碼的正確性進(jìn)行校驗(yàn)。
DOMS運(yùn)維管理系統(tǒng)配置如下:
例一:指定數(shù)據(jù)庫賬號(hào)
Username:zhangsan:crm(zhangsan為運(yùn)維管理Web賬號(hào)�����;crm為數(shù)據(jù)庫賬號(hào))
Password:運(yùn)維賬號(hào)密碼
此時(shí),zhangsan這個(gè)運(yùn)維賬號(hào)經(jīng)過DOMS運(yùn)維管理系統(tǒng)映射����,使用crm這個(gè)數(shù)據(jù)庫賬號(hào)訪問數(shù)據(jù)庫,僅需要輸入運(yùn)維賬號(hào)的密碼���,無需輸入數(shù)據(jù)庫賬號(hào)crm的真實(shí)密碼����,從而達(dá)到數(shù)據(jù)庫密碼不對(duì)運(yùn)維人員暴露的效果����。
例二:不指定數(shù)據(jù)庫賬號(hào)
以sqlplus為例:此時(shí),只輸入了運(yùn)維賬號(hào)����,DOMS系統(tǒng)會(huì)根據(jù)運(yùn)維賬號(hào)找到與其關(guān)聯(lián)的唯一一個(gè)數(shù)據(jù)庫賬號(hào)進(jìn)行替換并登錄。
5��、防繞過方案
針對(duì)某些C/S架構(gòu)的業(yè)務(wù)系統(tǒng)���,特別是醫(yī)療行業(yè)���,會(huì)涉及到大量的客戶端設(shè)備且有大量的動(dòng)態(tài)IP情況存在�����。此時(shí)���,無法通過客戶端IP的方式定位到客戶端主機(jī),對(duì)于安裝Ukey的插件來說工作量也比較大�����。如果安裝插件��,能保障所有設(shè)備都被安裝到么�?即使安裝了插件,如果不通過代理地址(DOMS運(yùn)維管理系統(tǒng))訪問數(shù)據(jù)庫又該如何防護(hù)��?此外����,在數(shù)據(jù)庫本地操作數(shù)據(jù)庫又要怎樣應(yīng)對(duì)���?
對(duì)于以上場(chǎng)景�,安華金和提出“運(yùn)維訪問防繞過”方案�,即利用在數(shù)據(jù)庫的logon觸發(fā)器進(jìn)行數(shù)據(jù)庫訪問白名單控制:想要訪問數(shù)據(jù)庫的主機(jī)設(shè)備���,必須到DOMS系統(tǒng)上進(jìn)行注冊(cè)(包含IP、User��、客戶端主機(jī)名等)�����;注冊(cè)后DOMS會(huì)對(duì)觸發(fā)器的內(nèi)容進(jìn)行調(diào)整�����,實(shí)現(xiàn)對(duì)客戶端與數(shù)據(jù)庫建立連接時(shí)的控制����。此時(shí),即使沒有經(jīng)過代理地址(經(jīng)過DOMS的還會(huì)有代理層面的控制)的登錄行為���,也會(huì)被認(rèn)定為非授信的異常登錄�,從而真正達(dá)到只有在授信終端上使用授信客戶端運(yùn)維工具��、運(yùn)維賬號(hào)��、通過合規(guī)的訪問通道,才可以正常對(duì)數(shù)據(jù)庫進(jìn)行運(yùn)維操作的目的��。
文中介紹的五種技術(shù)路線及解決方案��,是在DOMS運(yùn)維管理系統(tǒng)中對(duì)自然人進(jìn)行識(shí)別���、控制����,以及對(duì)密碼安全性的思考��;在引進(jìn)權(quán)控方案后��,不會(huì)對(duì)日常運(yùn)維工具帶來影響和附加工作�,從而讓DOMS運(yùn)維管理系統(tǒng)成為企業(yè)運(yùn)維安全可靠的幫手。
產(chǎn)品咨詢:4000 258 365 
