[[229627]]

【51CTO.com快譯】引言：在使用不同廠商所提供的不同數(shù)據(jù)庫時，我們尤其需要保障數(shù)據(jù)庫的安全性，這對于組織的健康運(yùn)營來說是至關(guān)重要的。

數(shù)據(jù)庫審計是合規(guī)性要求的一個重要組成部分。只有恰當(dāng)并及時地設(shè)置好數(shù)據(jù)庫的審計，您的組織才不會丟失那些通過存儲用戶數(shù)據(jù)來發(fā)展業(yè)務(wù)的機(jī)會。

隨著全新的GDPR（“一般數(shù)據(jù)保護(hù)條例”）即將生效，公司里的整個團(tuán)隊?wèi)?yīng)當(dāng)盡快熟悉他們所面對的各個方面，從初始化階段入手，將各種數(shù)據(jù)保護(hù)規(guī)則整合到應(yīng)用程序、產(chǎn)品及服務(wù)之中，并且在產(chǎn)品的代碼中默認(rèn)啟用數(shù)據(jù)保護(hù)的功能。本文將涵蓋成功實施數(shù)據(jù)庫審計的各個關(guān)鍵領(lǐng)域。

審計重要的活動

在您的數(shù)據(jù)中，通常會附帶有許多不同的信息，而這些信息中的任意部分都可能會被用作數(shù)據(jù)泄露與盜竊。例如：當(dāng)您在安裝并配置新的數(shù)據(jù)庫實例時，系統(tǒng)會同時創(chuàng)建出一個配有默認(rèn)用戶名和密碼的初始化數(shù)據(jù)庫。

由于數(shù)據(jù)庫的用戶（如DBA）可能有權(quán)編輯表中的數(shù)據(jù)，或是通過更改默認(rèn)模式（schema）的權(quán)限，來訪問到不被允許的數(shù)據(jù)，因此這就會造成數(shù)據(jù)庫的漏洞。我們下面來討論一下根據(jù)安全與合規(guī)性，需要審計的各種重要活動。

• 用戶訪問和身份驗證

這是在組織內(nèi)部或外部發(fā)生任一種違規(guī)事件的切入點。特權(quán)用戶可能會更改或提取客戶數(shù)據(jù)中的財務(wù)信息，或者不懷好意地接入某些不被允許的系統(tǒng)。

通過對這些活動的審計，企業(yè)有可能在發(fā)生數(shù)據(jù)泄露事件之前發(fā)現(xiàn)他們，或者至少能夠幫助實施更好的安全配置，以防止各種數(shù)據(jù)丟失的發(fā)生。

• 數(shù)據(jù)庫對象

數(shù)據(jù)庫對象里通常會保存著用戶或公司的數(shù)據(jù)，它們也通過各種過程或邏輯來定義了系統(tǒng)的某些功能。具有相應(yīng)權(quán)限的用戶能夠?qū)@些對象的具體結(jié)構(gòu)進(jìn)行操控。當(dāng)然這也為數(shù)據(jù)的破壞和盜竊提供了邏輯上的基礎(chǔ)。倘若審計沒有被啟用的話，這些活動將無法被追蹤到。

因此，我們應(yīng)當(dāng)對所有重要的表、視圖、過程、數(shù)據(jù)庫鏈接、以及某些控制業(yè)務(wù)應(yīng)用功能的運(yùn)行時邏輯流（runtime logical flows）執(zhí)行審計。

• 數(shù)據(jù)

對于任何組織來說，最重要的是他們的數(shù)據(jù)。雖然許多用戶都具有操作數(shù)據(jù)的權(quán)限，但是我們要保證所有機(jī)密和受限制的數(shù)據(jù)都不會被未經(jīng)授權(quán)的用戶所訪問或編輯。

識別與跟蹤諸如用戶名稱、操作時間、具體數(shù)據(jù)和變更等細(xì)節(jié)，將有助于公司遵守與實現(xiàn)各種數(shù)據(jù)合規(guī)的具體要求。與此同時，這些與數(shù)據(jù)相關(guān)的特征審計也會隨著新的GDPR的合規(guī)性要求而變得更為重要。

• 網(wǎng)絡(luò)

如今大量的數(shù)據(jù)都處于流動之中。您在將數(shù)據(jù)存放到本地的同時，也會通過大量的網(wǎng)絡(luò)流量部署到共有云之中。對網(wǎng)絡(luò)進(jìn)行審計將有助于您去了解這些海量的數(shù)據(jù)，并確定對于網(wǎng)絡(luò)資源的需求，從而更好地配置屬于自己的網(wǎng)絡(luò)架構(gòu)。

此外，在您將數(shù)據(jù)從一個位置移動到另一個位置的過程中，數(shù)據(jù)很容易遭到盜竊與丟失，因此您還應(yīng)當(dāng)配合相關(guān)的數(shù)據(jù)加密服務(wù)。

• 數(shù)據(jù)庫總體利用率

審計數(shù)據(jù)庫的整體利用率可以讓您很好地了解服務(wù)器的運(yùn)行成本，使您能夠在滿足各種需求之前，為現(xiàn)有資源的添加和修改做好準(zhǔn)備。同時，您還可以根據(jù)審核結(jié)果進(jìn)行各種有效警報的相關(guān)配置。

數(shù)據(jù)庫審計的頂級方案

不同的數(shù)據(jù)庫在不同的層面上為數(shù)據(jù)審計提供了不同的選項。以下列舉了一些頂級數(shù)據(jù)庫產(chǎn)品及其審計功能。

• Oracle Database 12c

該系統(tǒng)允許用戶通過各種策略和條件來優(yōu)化數(shù)據(jù)庫的審計。Oracle已將Audit Vault和Database Firewall這兩款安全產(chǎn)品合二為一，以便用戶使用統(tǒng)一的數(shù)據(jù)審計與跟蹤功能。

與之前的版本相比，Oracle Database 12c通過提供具有針對性的、精確的、且基于上下文的日志記錄相關(guān)配置，以提供更好的審計服務(wù)。通過減少審計數(shù)據(jù)記錄的開銷，并以統(tǒng)一的方式捕獲數(shù)據(jù)，Oracle數(shù)據(jù)庫在性能和審計報告上有了大幅提升。

例如，我們可以將策略配置為對IP地址、程序代碼、消耗時間和網(wǎng)絡(luò)訪問的驗證方式等不同方面的審計。Oracle還可以對保留在數(shù)據(jù)庫中的審計跟蹤記錄和日志文件進(jìn)行定期的監(jiān)控。

• DB2

在開啟服務(wù)之后，IBM的db2audit會為各種數(shù)據(jù)庫操作生成不同的審計日志。在文件系統(tǒng)層面上，對應(yīng)產(chǎn)生的審計跟蹤記錄可以在日志文件中被找到。我們可以使用db2audit工具，來配置和監(jiān)控與實例相關(guān)的審計信息。

由于大部分那些需要審計的數(shù)據(jù)庫活動都發(fā)生在關(guān)聯(lián)數(shù)據(jù)庫的分區(qū)里，因此我們需要開啟對此類分區(qū)的審計。由于這些審計記錄是基于對象所產(chǎn)生的，因此每一種記錄都能夠標(biāo)識出發(fā)生活動的所在分區(qū)。

• MySQL企業(yè)級審計

該方案提供了友好的用戶界面和基于策略的審計。一旦開啟了審計插件，用戶便可以定義需要審計的各種選項。審計日志會以XML格式被安全地產(chǎn)生，并能夠被任意查看器所打開。同時，審計日志也可以被加密，然后由第三方工具運(yùn)用分析型密鑰進(jìn)行共享或解密。此外，它具有一種新的增強(qiáng)性功能：即通過生成壓縮過的日志文件，來節(jié)省存儲的空間。

其實，許多數(shù)據(jù)庫都具有提供審計工具的內(nèi)置功能，它們通過提供自身數(shù)據(jù)庫的安全性，以滿足合規(guī)性的要求。

應(yīng)對嚴(yán)格的安全要求

目前，全球各類組織都正在積極地應(yīng)對GDPR的要求。當(dāng)然，這并非是第一個被引入的數(shù)據(jù)安全措施。實際上各類組織一直都在處理著各種現(xiàn)有法律法規(guī)所提及的相關(guān)問題。例如歐盟的數(shù)據(jù)保護(hù)指令（GDPR正在取代的）和美國的HIPAA（Health Insurance Portability and Accountability Act）。在今年5月份GDPR的生效之日，各個DevOps工程師們將需要在設(shè)計上采用更為嚴(yán)格的數(shù)據(jù)保護(hù)理念，并要采用更為恰當(dāng)?shù)臄?shù)據(jù)保護(hù)措施。

根據(jù)組織架構(gòu)的特點，針對數(shù)據(jù)庫活動實施審計的責(zé)任將會落在DevOps工程師和相關(guān)團(tuán)隊領(lǐng)導(dǎo)的肩上。而實施審核則應(yīng)當(dāng)由單一角色來掌控，進(jìn)而避免被他人予以篡改或查看。通過運(yùn)用審計工具和插件，各類組織將能夠輕松地生成多種合規(guī)性報告。

工具的要求

如果您的企業(yè)正在使用我們上面討論過的三種數(shù)據(jù)庫，或是正在使用MSSQL和MongoDB，那么通過簡單的配置和使用自帶的審計管理工具，是否就能輕松地管理好各種日志呢？答案是否定的。

如今，由于大量數(shù)據(jù)都分散在本地和云端，因此您需要找到一些合適的第三方工具，通過提供統(tǒng)一的界面，來滿足所有的審計與合規(guī)需求?；谡叩臄?shù)據(jù)庫安全與審計軟件往往能夠?qū)崿F(xiàn)對各種數(shù)據(jù)庫活動的輕松配置、管理和監(jiān)控。

GDPR是一份在保障數(shù)據(jù)安全方面能夠起到承前啟后作用的最新法規(guī)。在使用不同廠商所提供的不同數(shù)據(jù)庫時，我們尤其需要保障數(shù)據(jù)庫的安全性，這對于組織的健康運(yùn)營來說是至關(guān)重要的可見，對于數(shù)據(jù)庫審計能夠保證我們正確、徹底地在各個平臺上保留與數(shù)據(jù)庫相關(guān)的、所有活動的詳細(xì)歷史記錄。

原文標(biāo)題：Database Audits: Why You Need Them and What Tools to Use，作者：Yaniv Yehuda 

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】