隨著越來越多的企業(yè)用戶將傳統(tǒng)的業(yè)務系統(tǒng)遷移至虛擬化環(huán)境或是云服務商提供的云平臺，數(shù)據(jù)的泄露及篡改風險變的越發(fā)嚴峻，針對數(shù)據(jù)安全的防護以及事后審計追溯也變得越來越困難。究其原因，主要是傳統(tǒng)的數(shù)據(jù)庫審計解決方案是通過旁路分析目標被審計數(shù)據(jù)庫鏡像的流量，而虛擬化環(huán)境或者云平臺由于內(nèi)部的虛擬交換機(Vswitch)流量很難鏡像或者無法鏡像，因此傳統(tǒng)的數(shù)據(jù)庫審計解決方案不足以應對虛擬化和云平臺的數(shù)據(jù)庫審計需求。

首先我們對虛擬化及云平臺環(huán)境中，傳統(tǒng)的數(shù)據(jù)庫審計解決方案在典型的幾種場景下的優(yōu)缺點進行解析：

場景一：應用和數(shù)據(jù)庫的虛擬主機不在同一臺物理機器上

如下圖所示這種情況下的應用和數(shù)據(jù)庫虛擬主機不在同一臺物理機器上，對傳統(tǒng)數(shù)據(jù)庫審計來說，可以采用傳統(tǒng)方式直接鏡像數(shù)據(jù)庫服務器所在的物理宿主主機(物理機器4)網(wǎng)卡的流量，完成對目標數(shù)據(jù)庫的審計，缺點是需要將虛擬機流量全部鏡像過去，同時可能會導致一些無需審計的主機的數(shù)據(jù)的泄露，這是這種解決方案最大的一個風險。

場景二：應用和數(shù)據(jù)庫的虛擬主機在同一臺物理機器上

針對應用和數(shù)據(jù)庫在同一臺物理機器上，應用和數(shù)據(jù)庫的交互過程通過內(nèi)部的Vswitch進行了流量轉發(fā)，流量并不通過所在的物理機器的宿主主機網(wǎng)卡，因此采用傳統(tǒng)的鏡像流量根本無法鏡像，如下圖所示：

針對這種情況傳統(tǒng)數(shù)據(jù)庫解決方案有三種方法解決：

a、 虛擬機虛擬網(wǎng)卡綁定物理網(wǎng)卡

要求宿主主機有多個物理網(wǎng)卡，每個物理網(wǎng)卡和上層交換機直連，虛擬機層面在安裝時可以指定將虛擬網(wǎng)卡綁定在對應的宿主主機的物理網(wǎng)卡上，然后使用傳統(tǒng)的鏡像方式鏡像物理網(wǎng)卡的流量完成審計，這種缺點非常明顯，要求物理服務器要有多個網(wǎng)卡，實際上大部分PC服務器只有不超過1-4個網(wǎng)卡端口，大部分物理機器上虛擬了幾十個虛擬機，因此，在實際部署上并沒有那么多網(wǎng)卡可供綁定，存在諸多限制，實際上并無法實施。

b、在VDS上配置流量鏡像

Vmware ESX在最新版本中推出的功能，將某虛擬機網(wǎng)卡流量通過GRE封包，直接通過TCP協(xié)議發(fā)送到某個IP地址上(數(shù)據(jù)庫審計設備)，數(shù)據(jù)庫審計設備接收GRE數(shù)據(jù)包完成審計，但是這種解決方案的缺點如下：

◆Vmware版本及VDS(分布式虛擬交換機)，據(jù)官方技術資料只有Vmware 5.5以上版本才支持，目前客戶現(xiàn)場主流的4.x、5.0、5.1等版本都不支持，其他非Vmware虛擬化環(huán)境就更不支持，因此針對大部分客戶現(xiàn)場環(huán)境實際并不支持部署。

◆通過GRE封裝做流量鏡像對宿主主機的物理網(wǎng)卡性能影響非常嚴重，所有鏡像流量都要通過宿主主機的物理網(wǎng)卡進出，極大影響了物理網(wǎng)卡的性能。

◆VDS屬于虛擬交換機，其對數(shù)據(jù)包的處理完全依賴于CPU，并不像傳統(tǒng)交換機靠硬件進行流量轉發(fā)，因此對宿主主機的CPU資源占用也非常嚴重，極大的降低了宿主主機的性能。

c、 開啟流量廣播

這種方式目前是最主流的方式，將數(shù)據(jù)庫審計以虛擬機的方式部署在對應的宿主主機，當做宿主宿主機的一個虛擬機看待，然后開啟Vmware的流量廣播功能，每個虛擬機都將收到Vswitch上每個端口通信的IP流量，因此DB審計設備只需要采集其虛擬網(wǎng)卡上的流量就可以采集到目標數(shù)據(jù)庫服務器的流量，只需要在采集階段過濾掉其他流量即可完成審計，如下圖所示：

這種解決方案的缺點也非常明顯：

◆開啟流量廣播雖然大部分Vswitch都支持，但是這種方式就好比早期的Hub一樣，tcp通信能力將明顯降低，嚴重影響整體網(wǎng)絡傳輸?shù)臅r延及可靠;

◆DB審計可以采集到所有虛擬機的流量，其他虛擬機一樣也會采集到所有的流量，這些流量里肯定包含很多未加密的敏感數(shù)據(jù)如用戶名、密碼等，假設這些虛擬機中有一臺機器被入侵或者非法利用，這樣會帶來極大的安全問題。

場景三：應用和數(shù)據(jù)庫的虛擬主機隨機的分配在一個虛擬化集群的某個主機上

這種場景其實是場景一和場景二的結合，目前大部分客戶為了避免單一硬件的故障，基本上都采用虛擬化集群的方式實現(xiàn)企業(yè)的虛擬化，當碰到單一硬件的故障，虛擬機會在整個硬件虛擬化資源池中自動遷移，具體遷移到哪臺物理主機上并不確定，因此傳統(tǒng)的鏡像方式并不能確定虛擬主機此刻在哪個交換機上，如下圖所示：

因此在這種場景下同樣無法做鏡像，只能把虛擬化集群所有主機的流量全部鏡像出來，這種缺點也非常明顯：

◆當出現(xiàn)業(yè)務和DB在遷移到同一個物理機器上時，其實并沒有流量，實質上審計不到任何數(shù)據(jù)，這個時候是存在嚴重的漏審計;

◆虛擬化集群涉及的機器比較多，流量非常大，網(wǎng)絡可能也比較復雜，傳統(tǒng)的鏡像方式很難在實際中進行配置，因此很難實施;

場景四：應用和數(shù)據(jù)庫分別托管部署在完全獨立的第三方云計算平臺

場景四是場景三的一種延伸與擴大，場景四主要指目前主流的第三方云平臺提供商如阿里云、亞馬遜、騰訊云、華為云、百度云等等，底層的硬件、存儲、網(wǎng)絡等等都對用戶不透明，上層的虛擬機具體在哪個物理硬件服務器上，連接哪個物理交換機，用戶一概不知道，如下圖所示：

因此要用傳統(tǒng)方式配置鏡像，基本上沒有可能，云平臺提供商并不會提供底層資源的控制權給云主機租戶，因此對這種場景的數(shù)據(jù)庫要進行審計，傳統(tǒng)數(shù)據(jù)庫審計解決方案將徹底無能為力。

綜上所述，在虛擬化和云環(huán)境平臺中，只有場景一，傳統(tǒng)的數(shù)據(jù)庫審計解決方案勉強可以解決。針對場景二傳統(tǒng)數(shù)據(jù)庫審計解決方案基本上是不支持，部分情況即使支持也是有非常明顯的缺點及種種環(huán)境的限制，針對場景三、場景四傳統(tǒng)的解決方案直接是無法支持。

針對虛擬化環(huán)境和云平臺中的數(shù)據(jù)庫審計難題，安恒信息推出了全新架構的虛擬化云環(huán)境Agent代理審計解決方案。通過在虛擬主機上部署Agent，以不變應萬變，全面支持以上描述的四種典型場景，這種解決方案由Agent對數(shù)據(jù)庫的請求行為直接進行處理，處理完成之后由Agent直接將數(shù)據(jù)發(fā)給采集器統(tǒng)一檢測、告警、存儲及挖掘分析，徹底解決了各種虛擬化、云環(huán)境數(shù)據(jù)庫無法審計的難題。具體部署拓撲圖如下圖所示：

本解決方案有以下優(yōu)點：

◆全面支持所有虛擬化環(huán)境和云環(huán)境的數(shù)據(jù)庫安全審計，不區(qū)分業(yè)務部署架構、底層虛擬化軟件架構和底層的網(wǎng)絡架構，不依賴傳統(tǒng)的交換機流量鏡像;

◆支持部署在虛擬化環(huán)境中所有的Linux 2.6以上內(nèi)核版本、及windows2003、2008、2012等版本;

◆支持主流的Oracle、SQL Server、DB2、Sybase、Mysql、Lnformix等數(shù)據(jù)庫，同時支持達夢、人大金倉、Oscar、Gbase等國產(chǎn)數(shù)據(jù)庫，還支持cache、teradata、postgresql等數(shù)據(jù)庫的審計;

◆部署簡單，支持一鍵安裝;

◆對虛擬主機的性能影響可以忽略不計，經(jīng)實際阿里云環(huán)境虛擬主機測試，DB服務器流量在120Mb以內(nèi)，agent對目標服務器的性能影響在3-8%之內(nèi)。

隨著虛擬化、云計算技術的不斷成熟，業(yè)務遷移到云端也是不可逆的趨勢，未來將會有越來越多的企業(yè)、政府、個人用戶將應用系統(tǒng)及數(shù)據(jù)庫逐漸遷移到自主搭建的私有云中，或者是第三方服務商提供的公有云平臺中，企業(yè)、政府的核心敏感數(shù)據(jù)托管在云環(huán)境中，面臨著各種竊取、篡改的威脅，數(shù)據(jù)的安全審計將越發(fā)重要，傳統(tǒng)的數(shù)據(jù)庫審計產(chǎn)品將逐步被下一代數(shù)據(jù)庫審計產(chǎn)品所替代，安恒明御數(shù)據(jù)庫審計產(chǎn)品將繼續(xù)作為行業(yè)的領導者，在虛擬化、云計算時代繼續(xù)為用戶的數(shù)據(jù)庫安全審計保駕護航。