Alat audit pangkalan data dan aplikasinya
Terdapat empat platform asas yang boleh digunakan untuk mencipta, mengumpul dan menganalisis audit pangkalan data, iaitu: platform pangkalan data tempatan, maklumat/peristiwa sistem pengurusan dan pengurusan lognya, pemantauan aktiviti pangkalan data dan platform pengauditan pangkalan data.
1. Pengauditan tempatan: merujuk kepada menggunakan pangkalan data tempatan untuk pemerolehan data, tetapi menggunakan sistem pangkalan data itu sendiri untuk menyimpan, mengelaskan, menapis dan melaporkan peristiwa. IBM, Microsoft, Oracle dan Sybase semuanya menawarkan penyelesaian yang berbeza untuk situasi ini, tetapi pada asasnya mereka semua berusaha untuk mendapatkan maklumat yang sama. Walaupun data biasanya disimpan dalam pangkalan data, ia boleh dieksport ke fail teks biasa atau diberikan kepada aplikasi lain sebagai data XML. Penggunaan fungsi tempatan menjimatkan kos yang berkaitan dengan memperoleh, menggunakan dan mengurus alat audit khusus, tetapi ia mengenakan overhed prestasi tambahan pada pangkalan data, menyediakan pengurusan pengumpulan dan penyimpanan asas yang terhad, dan memerlukan pengurusan manual. Pengauditan tempatan berlaku di seluruh pangkalan data dan hanya terpakai untuk analisis pangkalan data yang ditempatkan dalam satu kemudahan.
2. SIEM dan pengurusan log: Maklumat keselamatan dan pengurusan acara (SIEM) dan alatan pengurusan log yang serupa mempunyai keupayaan untuk mengumpul fail audit, tetapi ia menyediakan lebih daripada alatan pangkalan data tempatan. Perlu diingat bahawa alat ini mengambil banyak beban daripada pangkalan data dengan tidak menanggung overhed pengauditan tempatan, yang memerlukan pelayan khusus untuk menyimpan dan memprosesnya. Selain log audit pangkalan data, alat ini mengumpul maklumat daripada peranti rangkaian, sistem pengendalian, tembok api dan aplikasi. SIEM dan pengurusan log boleh menyediakan pelaporan yang komprehensif, pengumpulan data, sokongan pangkalan data heterogen, pengagregatan data dan keupayaan pemampatan, yang merupakan kelebihan yang tidak dimiliki oleh pengauditan pangkalan data tempatan. Sistem pengurusan log yang dilancarkan oleh syarikat seperti LogLogic dan Splunk direka khusus untuk menampung sejumlah besar data dan lebih tertumpu pada pengurusan dan pelaporan. SIEM, yang dilancarkan oleh vendor seperti ArcSight dan bahagian keselamatan EMC RSA, direka bentuk agar lebih sesuai untuk pemantauan hampir masa nyata bagi peranti keselamatan rangkaian, membolehkan analisis yang lebih mendalam tentang korelasi antara peristiwa dan penggera keselamatan serta maklumat lain. Walau bagaimanapun, perbezaan antara SIEM dan pengurusan log boleh menjadi kabur kerana kebanyakan vendor menawarkan kedua-dua platform, walaupun kedua-duanya tidak disepadukan sepenuhnya.
3. DAM: Platform pemantauan aktiviti pangkalan data direka untuk memantau aktiviti pangkalan data untuk ancaman dan menguatkuasakan kawalan pematuhan peraturan. Vendor seperti Application Security, Fortinet, IBM, Netezza dan Oracle menyediakan pengambilan acara daripada pangkalan data heterogen. Kebanyakan vendor menyediakan pelbagai cara untuk mendapatkan maklumat, termasuk mengumpul maklumat daripada berbilang pihak seperti rangkaian, sistem pengendalian tempat pangkalan data terletak dan log audit pangkalan data. Alat DAM direka untuk mendapatkan semula data berkelajuan tinggi dan penguatkuasaan dasar masa nyata. Seperti alat SIEM, alatan DAM boleh mengumpul data daripada pangkalan data heterogen dan berbilang sumber data serta direka bentuk untuk analisis dan amaran. Tidak seperti SIEM, DAM tidak direka khusus untuk pangkalan data Ia lebih memfokuskan pada analisis pangkalan data di peringkat aplikasi dan bukannya di peringkat rangkaian atau sistem. Selain analisis forensik operasi pangkalan data, DAM juga menyediakan fungsi lanjutan seperti penyekatan aktif, tampalan maya, penapisan dan penilaian.
4. Platform audit pangkalan data: Sesetengah vendor pangkalan data menyediakan pangkalan data khusus, yang hampir serupa dengan pelayan pengurusan log. Pangkalan data ini terdiri daripada platform khusus yang menyimpan fail log yang diperoleh daripada audit pangkalan data tempatan dan mengumpul fail log daripada berbilang pangkalan data ke lokasi pusat. Beberapa platform ini juga menyediakan pengumpul fail log pangkalan data heterogen. Pelaporan, analisis forensik, pengagregatan fail log ke dalam format biasa dan storan selamat adalah semua faedah yang boleh dibawa oleh platform sedemikian. Walaupun platform ini tidak menyediakan berbilang sumber data, atau menjalankan analisis terperinci seperti DAM, tidak mempunyai keupayaan korelasi dan analisis seperti SIEM, dan tidak semudah dan mudah digunakan seperti pengurusan log, tetapi untuk operasi IT yang memfokuskan pada pangkalan data pengauditan, Ini ialah cara kos efektif untuk menjana laporan keselamatan dan menyimpan data keselamatan forensik.
Proses Pemilihan Audit Pangkalan Data
Untuk membantu proses pemilihan audit pangkalan data, anda perlu mengambil kira ciri berikut bagi setiap jenis platform, serta ciri setiap penyelesaian vendor. Susunan kepentingan adalah seperti berikut:
Sumber Data: Sumber utama maklumat yang diterangkan dalam artikel ini ialah log audit pangkalan data, yang dicipta oleh enjin pangkalan data. Walau bagaimanapun, log audit berbeza dari pangkalan data ke pangkalan data, dan dalam beberapa kes pelbagai maklumat boleh termasuk dalam kategori log audit. Selain itu, sesetengah platform boleh mencipta log aktiviti operasi pangkalan data pengguna. Walaupun log ini tidak setepat yang dibuat oleh platform asli, ia mengandungi semua pernyataan SELECT dan mempunyai prestasi but yang lebih baik. Anda perlu memeriksa dengan teliti data yang tersedia daripada sumber data yang berbeza dan melihat sama ada maklumat itu mencukupi untuk memenuhi keperluan keselamatan, operasi dan pematuhan anda.
Pematuhan Peraturan: Memandangkan pematuhan terhadap peraturan industri dan kerajaan adalah pemacu utama untuk menerima pakai penyelesaian audit pangkalan data, anda perlu menyemak dasar dan laporan produk yang disediakan oleh vendor. Laporan ini boleh membantu anda memenuhi keperluan pematuhan dengan cepat dan mengurangkan kos penyesuaian.
Pengedaran: Aduan pengguna tentang semua perihalan penyelesaian*** ialah terdapat banyak kesukaran yang perlu dihadapi semasa menggunakan. Pemasangan, konfigurasi, pengurusan dasar, pengurangan positif palsu, pelaporan tersuai atau pengurusan data juga merupakan isu yang perlu diselesaikan oleh pengguna. Atas sebab inilah anda perlu memfokuskan sumber anda untuk menjalankan perbandingan di lapangan untuk menilai kekuatan dan kelemahan alatan. Selain itu, ujian terhadap penggunaan satu atau dua pangkalan data tidak mencukupi, anda perlu merancang untuk beberapa ujian berskala merentas berbilang pangkalan data untuk mensimulasikan senario dunia sebenar. Sudah tentu, ini meningkatkan beban proses pembuktian konsep, tetapi ia berbaloi dalam jangka panjang, kerana masalah UI, pengurusan dasar dan pilihan seni bina vendor hanya akan terjejas oleh ujian sebenar di tengah-tengah.
Prestasi: Ia tidak begitu berkaitan dengan platform vendor, tetapi lebih berkait rapat dengan pilihan pengauditan data pangkalan data itu sendiri. Terdapat berbilang versi dan pilihan di luar sana, dan prestasi pengauditan tempatan berubah dengan cepat, jadi anda perlu menjalankan beberapa ujian. Anda juga mungkin perlu mengimbangi data yang ingin anda kumpulkan dengan data yang anda perlukan dan mencari cara untuk menyediakan dasar yang paling sedikit untuk memenuhi keperluan, kerana lebih banyak polisi bermakna lebih banyak wang dibelanjakan untuk semua sistem.
Integrasi: Anda perlu mengesahkan penyepaduan proses kerja, masalah tiket, sistem dan produk pengurusan dasar dengan pembekal rakan kongsi anda.
Log audit mengandungi banyak maklumat yang berguna kepada juruaudit, profesional keselamatan dan pentadbir pangkalan data, tetapi ia boleh memberi kesan kepada prestasi. Untuk sebarang kebaharuan yang boleh diberikan oleh pengauditan pangkalan data, anda perlu memahami beban yang mungkin ditambah. Pengauditan dikenakan beberapa penalti prestasi, dan bergantung pada cara anda melaksanakannya, penalti mungkin berat. Walau bagaimanapun, isu ini boleh dikurangkan, dan untuk beberapa masalah perniagaan, pengelogan audit pangkalan data adalah penting untuk analisis pematuhan dan keselamatan.
Dengan pengecualian pengauditan pangkalan data tempatan (yang terletak di atas sumber pangkalan data), semua alatan yang kami huraikan digunakan sebagai perkakas atau perisian kendiri. Semua audit pangkalan data menyediakan dasar pusat dan pengurusan data, pelaporan dan keupayaan pengagregatan data. SIEM (Maklumat Keselamatan dan Pengurusan Acara), pengurusan log dan vendor pemantauan aktiviti pangkalan data menawarkan model penggunaan berperingkat untuk skalabiliti, di mana berbilang pelayan atau peranti diedarkan ke seluruh organisasi IT yang besar untuk meningkatkan pengalaman pengguna pemprosesan dan penyimpanan.
Data agregat memudahkan untuk mengurus dan melaporkan jumlah besar data yang dikumpul. Selain itu, pengumpulan maklumat diletakkan pada pelayan pusat untuk melindungi log transaksi daripada gangguan.
Pendekatan mana yang lebih baik untuk anda bergantung pada keperluan anda, masalah perniagaan yang perlu anda selesaikan, dan berapa banyak masa dan wang yang anda sanggup laburkan untuk menyelesaikan masalah tersebut. Berita baiknya ialah anda mempunyai beberapa pilihan, seperti meminta pentadbir pangkalan data anda untuk melaksanakan audit tempatan pangkalan data untuk mendapatkan maklumat asas, atau mengagregat data merentas beribu-ribu peranti.
Atas ialah kandungan terperinci Apakah itu pengauditan pangkalan data. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
