[[126416]]

你或許已經(jīng)把按需定制的系統(tǒng)遷移到了微軟Azure平臺(tái)，這種遷移通常會(huì)引起安全和保密問題。因?yàn)橹辽僭谝欢ǔ潭壬?，離開了完全托管環(huán)境自然存在的監(jiān)管，這是在所難免的?？刂萍?jí)別的降低肯定是一個(gè)要考慮的因素，尤其是在處理PaaS（平臺(tái)即服務(wù)）資源（比如Azure SQL數(shù)據(jù)庫）時(shí)，你有很多可選技術(shù)，這些技術(shù)產(chǎn)品都支持你控制監(jiān)管狀態(tài)和對(duì)駐留Azure其中服務(wù)的訪問，足以緩解這類安全問題的大部分。SQL 數(shù)據(jù)庫審計(jì)就是這種技術(shù)之一，也是本文的討論主題。

你應(yīng)該會(huì)注意到，這個(gè)功能還是相對(duì)較新的，但是其相對(duì)近期的亮相主要是為了跟得上Azure更新的步伐。在經(jīng)歷過三個(gè)月的試用階段后，在2014年11月12日它達(dá)到了一般可用的程度，因此它現(xiàn)在支持在生產(chǎn)環(huán)境可用。然而，它不能在傳統(tǒng)的定價(jià)層次上應(yīng)用，因此如果你的數(shù)據(jù)庫配置用于Web或者業(yè)務(wù)，你首先需要將其升級(jí)為基本配置，標(biāo)準(zhǔn)配置或者增強(qiáng)配置。你可以在兩個(gè)版本的Azure門戶中直接操作來修改配置（傳統(tǒng)版本門戶從Scale標(biāo)簽頁操作，也可以從預(yù)覽版門戶報(bào)價(jià)層次操作）。其主要目的是實(shí)現(xiàn)數(shù)據(jù)庫級(jí)別的安全相關(guān)事件跟蹤，同時(shí)處理合規(guī)需求。日志可以根據(jù)事件類型選擇性地打開或者關(guān)閉，其中包括數(shù)據(jù)訪問、庫結(jié)構(gòu)變化、數(shù)據(jù)變化、安全故障和權(quán)限授予收回。

一旦啟用了功能，響應(yīng)這些事件的條目會(huì)自動(dòng)記錄并存儲(chǔ)在任意指定的Azure存儲(chǔ)賬戶指定的審計(jì)表中（表名是“SQLDBAuditLogs20140928”），這也意味著由于其消耗的資源會(huì)存在額外的成本。另外，也會(huì)存在輕微的延遲影響（大概幾毫秒之內(nèi)），但是不會(huì)對(duì)數(shù)據(jù)庫的計(jì)算性能有負(fù)面影響（因?yàn)閷徲?jì)服務(wù)是自給自足的，占用獨(dú)立的計(jì)算資源）。在指定存儲(chǔ)賬戶的時(shí)候，你可以選擇指定是否使用主密鑰或者輔助密鑰來設(shè)置對(duì)內(nèi)容的安全訪問。這項(xiàng)設(shè)置意在遵守一些內(nèi)部法規(guī)或者安全程序，加密保護(hù)存儲(chǔ)內(nèi)容的周期性變化。在此期間有一個(gè)鍵值會(huì)重新生成，而其他鍵值則保持不變。這樣的話，你可以確保與安全相關(guān)的事件審計(jì)不中斷地持續(xù)進(jìn)行。這種機(jī)制使用你選擇的密鑰自動(dòng)生成共享訪問簽名（SAS），它的訪問被限制在表“SQLDBAuditLogs20140928 ”上，而且只有寫權(quán)限。

另外，我們還可以指定記錄到SQL Server級(jí)的事件類型。設(shè)置配置結(jié)果可以被應(yīng)用到托管在同一個(gè)SQL Server中的所有SQL數(shù)據(jù)庫，只需要選擇數(shù)據(jù)庫繼承審計(jì)設(shè)置就可以了，菜單在傳統(tǒng)門戶頁的“審計(jì)與安全”標(biāo)簽頁，如果用預(yù)覽版門戶則在“審計(jì)”頁，該功能可提高配置效率。在以上各操作界面，你都可以把審計(jì)保存為傳統(tǒng)門戶命令欄的默認(rèn)命令（在預(yù)覽版門戶的標(biāo)簽是“保存為默認(rèn)”），該操作會(huì)重置SQL Server審計(jì)設(shè)置，向當(dāng)前數(shù)據(jù)庫審計(jì)設(shè)置同步保持一致。

此外，為了審計(jì)切實(shí)產(chǎn)生效用，你必須修改客戶端或者用戶與SQL數(shù)據(jù)庫交互的連接串。正確的配置串格式可以從門戶頁面獲得，只需要點(diǎn)擊“顯示啟用安全的連接串”鏈接就可以了，兩種版本中都一樣，界面會(huì)展示適用于ADO.NET，ODBC（包括Node.js），PHP和基于JDBC連接方式的各類連接串示例。它們與原來的連接串只有一個(gè)地方不同，就是其中增加了secure關(guān)鍵字來區(qū)分以安全模式連接到目標(biāo)SQL Server。例如，如果針對(duì)ADO.NET的連接串原來是下面形式:

Server=tcp:server_name.database.windows.net,1433; 
Database=AdventureWorks2012;UserID=login_name; 
Password=login_password;Encrypt=True;TrustServerCertificate=False; 
ConnectionTimeout=30; 

其中“server_name, login_name,and login_password”分別代表服務(wù)器名，主數(shù)據(jù)庫中定義的登錄用戶名以及對(duì)應(yīng)密碼，增加了審計(jì)設(shè)置的新連接串示例如下：

Server=tcp:server_name.database.secure.windows.net,1433; 
Database=AdventureWorks2012;UserID=login_name; 
Password=login_password;Encrypt=True;TrustServerCertificate=False; 
ConnectionTimeout=30； 

要記得帶審計(jì)配置的連接，與無審計(jì)連接一樣，都必須能通過網(wǎng)絡(luò)防火墻設(shè)置。

很明顯，以上這些設(shè)置尚不足以完全滿足你的審計(jì)需求，因?yàn)槟J(rèn)的不帶審計(jì)標(biāo)識(shí)的連接字符串仍然是有效可用的。要堵住這個(gè)安全漏洞，你可以禁用無審計(jì)標(biāo)識(shí)的連接。在兩種門戶界面把“啟用安全訪問”選項(xiàng)由“可選”改為“必須”就可以了。

一旦啟用了審計(jì)功能，并設(shè)置為必選項(xiàng)，所有連接事件就都會(huì)記錄在“SQLDBAuditLogs20140928”表中，存儲(chǔ)在你選擇的賬號(hào)里。你可以利用任何現(xiàn)有可以訪問Azure表存儲(chǔ)的工具去查看其中保存的原始數(shù)據(jù)。在MSDN博客上有他們的完整列表。此外，你可能還需要使用預(yù)配置計(jì)分板模板，你可以在傳統(tǒng)門戶的“審計(jì)與安全”標(biāo)簽中點(diǎn)擊“下載審計(jì)日志報(bào)告模板”或者在預(yù)覽版門戶“審計(jì)”頁選擇“在Excel中打開”鏈接。該模板包含有交互和定制的Power View和基于 PowerPivot的報(bào)表，利用Excel 2013中的商業(yè)智能功能可以非常有效地簡化審計(jì)日志數(shù)據(jù)的分析。該模板包含有樣例數(shù)據(jù)，它們是對(duì)七個(gè)數(shù)據(jù)庫三個(gè)月范圍內(nèi)的審計(jì)示例。

下載了該模板之后，你還需要下載并安裝Excel的Power Query插件。具體可以參考Excel手冊瀏覽文檔《02如何在Excel中查看Azure SQL DB審計(jì)日志報(bào)表》。它會(huì)要求你配置事件源，指向指定存儲(chǔ)賬號(hào)的“SQLDBAuditLogs20140928”表，可能還需要調(diào)整記錄數(shù)限制（默認(rèn)限制是一百萬，但是如果需要的話，這個(gè)值可以增加到六百萬）。該手冊還包含有多個(gè)表格頁，其中包括以下內(nèi)容（請(qǐng)注意默認(rèn)只有前五項(xiàng)可以直接顯示，其它項(xiàng)可以通過電子表格右鍵菜單中的“取消隱藏”全部顯示出來）：

1. 整體定位。包括配置模板需要的步驟清單，都有超鏈接指向詳細(xì)介紹；還包含有與每個(gè)可視表格關(guān)聯(lián)的報(bào)表簡述。
2. 異常信息。顯示事件概覽。需要的話可以進(jìn)一步研究，比如大數(shù)據(jù)集的變化或者無效登錄嘗試，還有對(duì)不常用的安全原則的觸犯。它還對(duì)數(shù)據(jù)訪問異常提供報(bào)表展示百分比，它可能代表了不正常的應(yīng)用程序用法。
3. 向下鉆取。它提供了獲取更多明細(xì)統(tǒng)計(jì)數(shù)據(jù)的支持，展現(xiàn)審計(jì)事件的不同側(cè)面，比如事件類型、目標(biāo)數(shù)據(jù)庫或者用于訪問的安全原則名稱。
4. 事件類型分布。它提供了審計(jì)事件類型分布的綜合視圖，基于幾方面緯度。比如：目標(biāo)數(shù)據(jù)庫、月份和日期，周某天或小時(shí)規(guī)律等。
5. 事件時(shí)間分析。它幫助分析一段時(shí)間內(nèi)的事件類型。默認(rèn)情況下，它由兩個(gè)圖表組成：***個(gè)顯示數(shù)據(jù)訪問量、數(shù)據(jù)變化和存儲(chǔ)過程執(zhí)行事件；第二個(gè)顯示了成功登陸的統(tǒng)計(jì)。指定區(qū)域范圍的事件類型可以很容易地添加或者去除，使用每個(gè)圖標(biāo)獨(dú)立配置的事件類型切片就可以做到。
6. 數(shù)據(jù)庫位置信息。它包含有數(shù)據(jù)庫位置列表（在我們的例子中是相應(yīng)的Azure數(shù)據(jù)中心位置）。這些信息必須把電子表格設(shè)置為“顯示隱藏表格”之后才可以看到。
7. 研究視圖。它根據(jù)數(shù)據(jù)庫位置表生成基于映射的可視化統(tǒng)計(jì)。它主要是為了幫助識(shí)別事件類型的變化趨勢。
8. 時(shí)間分析Upper Pivot和Lower Pivot。它充當(dāng)基礎(chǔ)支持?jǐn)?shù)據(jù)的角色，在時(shí)間類型分析統(tǒng)計(jì)表中會(huì)用到它，這個(gè)表不應(yīng)該修改。
9. 工作日統(tǒng)計(jì)。它充當(dāng)基礎(chǔ)支持?jǐn)?shù)據(jù)的角色，在事件類型分布統(tǒng)計(jì)表會(huì)用到它，這個(gè)表不應(yīng)該修改。
10. 事件訪問時(shí)段統(tǒng)計(jì)。它提供一段時(shí)間內(nèi)總的事件統(tǒng)計(jì)技術(shù)，用于預(yù)測分析。

數(shù)據(jù)訪問時(shí)段統(tǒng)計(jì)，數(shù)據(jù)變更時(shí)段統(tǒng)計(jì)，成功登陸時(shí)段統(tǒng)計(jì)，庫結(jié)構(gòu)變更時(shí)段統(tǒng)計(jì)，存儲(chǔ)過程時(shí)段統(tǒng)計(jì)。這些信息分別提供一段時(shí)間內(nèi)數(shù)據(jù)訪問，數(shù)據(jù)變更，成功登陸，庫結(jié)構(gòu)變化和存儲(chǔ)過程調(diào)用事件的統(tǒng)計(jì)，也是用于預(yù)測分析。

值得注意點(diǎn)是，在web應(yīng)用中，使用相同的認(rèn)證憑據(jù)代表它們的用戶對(duì)數(shù)據(jù)庫建立連接是相對(duì)常見的做法。這些憑據(jù)是在應(yīng)用級(jí)別配置的。雖然所有這些連接事件都會(huì)記錄到相應(yīng)安全原則的審計(jì)日志中，但是你并不能有所區(qū)分它們。因此你可以在應(yīng)用中獲取實(shí)際應(yīng)用用戶名，把該用戶名信息已參數(shù)的形式也發(fā)送到SQL數(shù)據(jù)庫中去，可以解決這個(gè)問題。

對(duì)SQL數(shù)據(jù)庫審計(jì)功能的介紹到這里就結(jié)束了。在以后的文章中，我們還會(huì)探索此PaaS服務(wù)最近發(fā)布的其它增強(qiáng)功能。

原文鏈接：www.searchdatabase.com.cn/showcontent_87269.htm