資料庫審計工具及其應用程式
有四個基本平台可以用於建立、收集和分析資料庫審計,它們是:本地資料庫平台、系統資訊/事件管理及其日誌管理、資料庫活動監控和資料庫稽核平台。
1. 本地審計:指的是使用本地資料庫來進行資料獲取,但使用資料庫系統本身對事件進行儲存、分類、過濾和報告。 IBM、微軟、甲骨文和Sybase針對這種情況都提供各自不同的解決方案,但本質上都是去取得相同的資訊。雖然資料通常儲存在資料庫中,但卻可以匯出到純文字檔案、或以XML資料形式提供給其它的應用程式。本地功能的使用節省了與獲取、部署和管理專用審計工具相關的成本,但卻使得資料庫產生了額外的效能開銷,對基本的收集和儲存也只能進行有限的管理,並且需要人為的進行管理。本地審計發生在資料庫範圍內,並且只適用於對安置在單一設施內的資料庫進行分析。
2. SIEM和日誌管理:安全資訊和事件管理(SIEM),以及與之類似的日誌管理工具都具備了收集審計文件的能力,但卻比本地資料庫工具提供了更多的功能。請記住,這些工具不會像本地審計那樣會導致資料庫的開銷,從而減輕了資料庫的大部分負擔,但這需要一個專門的伺服器對其進行儲存和處理。除了資料庫稽核日誌,這些工具還從網路設備、作業系統、防火牆和應用程式收集資訊。 SIEM 和日誌管理可以提供綜合報告、資料收集、異質資料庫支持,資料聚合和壓縮能力,這些都是本地資料庫稽核所不具備的優點。 LogLogic和Splunk等公司推出的日誌管理系統,專門設計成能夠容納大量資料的系統,並且更專注於管理和報告。而由ArcSight公司和EMC公司安全部門RSA等廠商所推出的SIEM,則設計成更適用於接近即時的網路安全設備監視,從而更深入地分析事件之間的關聯和安全警報等資訊。然而,SIEM和日誌管理之間的差異可能會逐漸模糊起來,這是因為大多數的廠商都能同時提供兩個平台,儘管兩者沒有完全整合在一起。
3. DAM:資料庫活動監控平台被設計成用於監控資料庫活動中的威脅,並執行規則遵循控制。諸如Application Security、Fortinet、IBM、Netezza和甲骨文這樣的供應商,提供了異質資料庫中的事件擷取。大多數供應商提供了多種方式來獲取信息,包括收集來自網路、資料庫所在的作業系統和資料庫稽核日誌等多方查詢(queries)資訊。 DAM 工具被專門用於高速資料檢索和即時政策執行。像SIEM工具一樣,DAM 工具可以收集來自異質資料庫和多資料來源的數據,並設計成用於分析和警報。而與SIEM不同的是,DAM並不是專為資料庫而設計的,它更專注於在應用程式層級進行資料庫分析,而不是在網路層級或系統層級上進行。除了對資料庫的操作進行取證(forensic)分析,DAM還提供了諸如活動阻塞、虛擬打補丁、過濾(filtering)和評估等高級功能。
4. 資料庫稽核平台:一些資料庫廠商提供了專門資料庫,這與日誌管理伺服器很相似。這些資料庫由一個專用的平台組成,它儲存從本地資料庫審計中獲取的日誌文件,並將多個資料庫的日誌文件收集到一個中央位置。其中一些平台還提供了異質資料庫日誌檔案收集器。報告、取證分析、把日誌檔案聚集為共同的格式,以及安全存儲,這都是此種平台可以帶來的好處。雖然這些平台不提供多數據來源、或像DAM那樣進行細緻的分析,不具備SIEM那樣的關聯和分析能力,也不像日誌管理簡單易用,但對於那些專注於數據庫審計的IT運營而言,這是一個性價比很高的方法,可以用來產生安全性報告和儲存取證方面的安全資料。
資料庫稽核的選擇過程
為了有助於進行資料庫稽核的選擇過程,你需要考慮以下各平台類型的特點,以及每個供應商的解決方案。依重要性排序如下:
資料來源:在本文中所描述的資訊主要來源是資料庫的稽核日誌,這是由資料庫引擎建立的。然而,審計日誌隨資料庫的不同而有所變化,在某些情況下有多種資訊都可以歸在審計日誌這一類。此外,有些平台可以建立某個使用者對資料庫操作的活動日誌。雖然這種日誌並不如本機平台所建立的那麼準確,但它卻能包含所有SELECT語句,並且具有更好的引導效能。你需要仔細檢查來自不同資料來源的哪些資料可用,並看看資訊是否足夠滿足你的安全、營運和規則遵從的要求。
規則遵從:由於依照產業和政府的法規是採用資料庫稽核解決方案的主要動力,你需要審查政策和供應商提供的產品報告。這些報告能幫助你迅速滿足規則遵從的要求,並降低在客製化方面的成本。
部署:使用者對所有解決方案描述***的投訴是部署時需要面對許多難題。安裝、設定、政策管理、減少誤報、自訂報告或資料管理,這些也是使用者需要解決的問題。正是因為這個原因,你需要將資源集中以進行實地比較,以評估工具的優劣。此外,針對一兩個資料庫的部署進行測試是不夠的,你需要在多個資料庫之間制定計劃以進行一些可擴展性測試,從而模擬真實世界的情景。當然,這增加了概念驗證(proof-of-concept)過程的負擔,但從長遠來看這是值得的,因為廠商存在的UI問題、政策管理和體系結構的不合理選擇,只會在實際測試中才會表現出來。
效能:它與供應商平台的關係不是很大,但和資料庫本身的資料稽核選項連結得更加緊密。目前存在多個版本和選項,並且本地審計的效能變化也很快,因此你需要執行一些測試。你可能還需要平衡你想收集的數據和你需要的數據,並尋找以製定最少的政策來滿足需求的途徑,因為政策越多意味著在所有系統上花費的經費也更多。
整合:你需要對合作供應商在工作流程、故障報告(trouble-ticketing)、系統與政策管理產品的整合方面進行驗證。
稽核日誌包含許多對稽核人員、安全專家和資料庫管理員有幫助的訊息,但是它們會影響到效能。對於資料庫審計可以的提供任何新奇事物,你都需要透過了解其可能增加的負擔。審計會引起一些性能上的損失,而根據你執行的情況,損失可能會很嚴重。但是,這些問題是可以緩解的,對於一些商業問題而言,資料庫審計日記是規則遵循和安全分析必不可少的環節。
除了本地資料庫稽核(位於資料庫資源上層),我們所描述的所有工具都被部署為一個獨立的裝置或軟體。所有資料庫稽核都提供了中央政策(central policy)和資料管理、報告,並提供資料聚合(data aggregation)功能。 SIEM(安全資訊和事件管理)、日誌管理和資料庫活動監控供應商為可擴展性提供了一個層次部署模型,在該模型中多台伺服器或設備分佈在大型的IT組織中,以改善使用者對處理和儲存的需求。
聚合資料使得正被收集的龐大資料量的管理和報告變得容易。此外,資訊收集被放在中央伺服器中可以保護處理日記不被竄改。
究竟那種方法更適合你,這取決於你的需求、你需要解決的業務問題,以及你願意為解決問題而投入多少時間和金錢。一個好消息是你可以有大量的選擇,例如讓自己的資料庫管理員去進行資料庫本地審計從而獲得基礎的信息,或者對成千上萬的設備進行資料聚合操作。
以上是資料庫審計是什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!
