[[229627]]

【51CTO.com快譯】引言：在使用不同廠商所提供的不同數(shù)據(jù)庫時(shí)，我們尤其需要保障數(shù)據(jù)庫的安全性，這對(duì)于組織的健康運(yùn)營來說是至關(guān)重要的。

數(shù)據(jù)庫審計(jì)是合規(guī)性要求的一個(gè)重要組成部分。只有恰當(dāng)并及時(shí)地設(shè)置好數(shù)據(jù)庫的審計(jì)，您的組織才不會(huì)丟失那些通過存儲(chǔ)用戶數(shù)據(jù)來發(fā)展業(yè)務(wù)的機(jī)會(huì)。

隨著全新的GDPR（“一般數(shù)據(jù)保護(hù)條例”）即將生效，公司里的整個(gè)團(tuán)隊(duì)?wèi)?yīng)當(dāng)盡快熟悉他們所面對(duì)的各個(gè)方面，從初始化階段入手，將各種數(shù)據(jù)保護(hù)規(guī)則整合到應(yīng)用程序、產(chǎn)品及服務(wù)之中，并且在產(chǎn)品的代碼中默認(rèn)啟用數(shù)據(jù)保護(hù)的功能。本文將涵蓋成功實(shí)施數(shù)據(jù)庫審計(jì)的各個(gè)關(guān)鍵領(lǐng)域。

審計(jì)重要的活動(dòng)

在您的數(shù)據(jù)中，通常會(huì)附帶有許多不同的信息，而這些信息中的任意部分都可能會(huì)被用作數(shù)據(jù)泄露與盜竊。例如：當(dāng)您在安裝并配置新的數(shù)據(jù)庫實(shí)例時(shí)，系統(tǒng)會(huì)同時(shí)創(chuàng)建出一個(gè)配有默認(rèn)用戶名和密碼的初始化數(shù)據(jù)庫。

由于數(shù)據(jù)庫的用戶（如DBA）可能有權(quán)編輯表中的數(shù)據(jù)，或是通過更改默認(rèn)模式（schema）的權(quán)限，來訪問到不被允許的數(shù)據(jù)，因此這就會(huì)造成數(shù)據(jù)庫的漏洞。我們下面來討論一下根據(jù)安全與合規(guī)性，需要審計(jì)的各種重要活動(dòng)。

• 用戶訪問和身份驗(yàn)證

這是在組織內(nèi)部或外部發(fā)生任一種違規(guī)事件的切入點(diǎn)。特權(quán)用戶可能會(huì)更改或提取客戶數(shù)據(jù)中的財(cái)務(wù)信息，或者不懷好意地接入某些不被允許的系統(tǒng)。

通過對(duì)這些活動(dòng)的審計(jì)，企業(yè)有可能在發(fā)生數(shù)據(jù)泄露事件之前發(fā)現(xiàn)他們，或者至少能夠幫助實(shí)施更好的安全配置，以防止各種數(shù)據(jù)丟失的發(fā)生。

• 數(shù)據(jù)庫對(duì)象

數(shù)據(jù)庫對(duì)象里通常會(huì)保存著用戶或公司的數(shù)據(jù)，它們也通過各種過程或邏輯來定義了系統(tǒng)的某些功能。具有相應(yīng)權(quán)限的用戶能夠?qū)@些對(duì)象的具體結(jié)構(gòu)進(jìn)行操控。當(dāng)然這也為數(shù)據(jù)的破壞和盜竊提供了邏輯上的基礎(chǔ)。倘若審計(jì)沒有被啟用的話，這些活動(dòng)將無法被追蹤到。

因此，我們應(yīng)當(dāng)對(duì)所有重要的表、視圖、過程、數(shù)據(jù)庫鏈接、以及某些控制業(yè)務(wù)應(yīng)用功能的運(yùn)行時(shí)邏輯流（runtime logical flows）執(zhí)行審計(jì)。

• 數(shù)據(jù)

對(duì)于任何組織來說，最重要的是他們的數(shù)據(jù)。雖然許多用戶都具有操作數(shù)據(jù)的權(quán)限，但是我們要保證所有機(jī)密和受限制的數(shù)據(jù)都不會(huì)被未經(jīng)授權(quán)的用戶所訪問或編輯。

識(shí)別與跟蹤諸如用戶名稱、操作時(shí)間、具體數(shù)據(jù)和變更等細(xì)節(jié)，將有助于公司遵守與實(shí)現(xiàn)各種數(shù)據(jù)合規(guī)的具體要求。與此同時(shí)，這些與數(shù)據(jù)相關(guān)的特征審計(jì)也會(huì)隨著新的GDPR的合規(guī)性要求而變得更為重要。

• 網(wǎng)絡(luò)

如今大量的數(shù)據(jù)都處于流動(dòng)之中。您在將數(shù)據(jù)存放到本地的同時(shí)，也會(huì)通過大量的網(wǎng)絡(luò)流量部署到共有云之中。對(duì)網(wǎng)絡(luò)進(jìn)行審計(jì)將有助于您去了解這些海量的數(shù)據(jù)，并確定對(duì)于網(wǎng)絡(luò)資源的需求，從而更好地配置屬于自己的網(wǎng)絡(luò)架構(gòu)。

此外，在您將數(shù)據(jù)從一個(gè)位置移動(dòng)到另一個(gè)位置的過程中，數(shù)據(jù)很容易遭到盜竊與丟失，因此您還應(yīng)當(dāng)配合相關(guān)的數(shù)據(jù)加密服務(wù)。

• 數(shù)據(jù)庫總體利用率

審計(jì)數(shù)據(jù)庫的整體利用率可以讓您很好地了解服務(wù)器的運(yùn)行成本，使您能夠在滿足各種需求之前，為現(xiàn)有資源的添加和修改做好準(zhǔn)備。同時(shí)，您還可以根據(jù)審核結(jié)果進(jìn)行各種有效警報(bào)的相關(guān)配置。

數(shù)據(jù)庫審計(jì)的頂級(jí)方案

不同的數(shù)據(jù)庫在不同的層面上為數(shù)據(jù)審計(jì)提供了不同的選項(xiàng)。以下列舉了一些頂級(jí)數(shù)據(jù)庫產(chǎn)品及其審計(jì)功能。

• Oracle Database 12c

該系統(tǒng)允許用戶通過各種策略和條件來優(yōu)化數(shù)據(jù)庫的審計(jì)。Oracle已將Audit Vault和Database Firewall這兩款安全產(chǎn)品合二為一，以便用戶使用統(tǒng)一的數(shù)據(jù)審計(jì)與跟蹤功能。

與之前的版本相比，Oracle Database 12c通過提供具有針對(duì)性的、精確的、且基于上下文的日志記錄相關(guān)配置，以提供更好的審計(jì)服務(wù)。通過減少審計(jì)數(shù)據(jù)記錄的開銷，并以統(tǒng)一的方式捕獲數(shù)據(jù)，Oracle數(shù)據(jù)庫在性能和審計(jì)報(bào)告上有了大幅提升。

例如，我們可以將策略配置為對(duì)IP地址、程序代碼、消耗時(shí)間和網(wǎng)絡(luò)訪問的驗(yàn)證方式等不同方面的審計(jì)。Oracle還可以對(duì)保留在數(shù)據(jù)庫中的審計(jì)跟蹤記錄和日志文件進(jìn)行定期的監(jiān)控。

• DB2

在開啟服務(wù)之后，IBM的db2audit會(huì)為各種數(shù)據(jù)庫操作生成不同的審計(jì)日志。在文件系統(tǒng)層面上，對(duì)應(yīng)產(chǎn)生的審計(jì)跟蹤記錄可以在日志文件中被找到。我們可以使用db2audit工具，來配置和監(jiān)控與實(shí)例相關(guān)的審計(jì)信息。

由于大部分那些需要審計(jì)的數(shù)據(jù)庫活動(dòng)都發(fā)生在關(guān)聯(lián)數(shù)據(jù)庫的分區(qū)里，因此我們需要開啟對(duì)此類分區(qū)的審計(jì)。由于這些審計(jì)記錄是基于對(duì)象所產(chǎn)生的，因此每一種記錄都能夠標(biāo)識(shí)出發(fā)生活動(dòng)的所在分區(qū)。

• MySQL企業(yè)級(jí)審計(jì)

該方案提供了友好的用戶界面和基于策略的審計(jì)。一旦開啟了審計(jì)插件，用戶便可以定義需要審計(jì)的各種選項(xiàng)。審計(jì)日志會(huì)以XML格式被安全地產(chǎn)生，并能夠被任意查看器所打開。同時(shí)，審計(jì)日志也可以被加密，然后由第三方工具運(yùn)用分析型密鑰進(jìn)行共享或解密。此外，它具有一種新的增強(qiáng)性功能：即通過生成壓縮過的日志文件，來節(jié)省存儲(chǔ)的空間。

其實(shí)，許多數(shù)據(jù)庫都具有提供審計(jì)工具的內(nèi)置功能，它們通過提供自身數(shù)據(jù)庫的安全性，以滿足合規(guī)性的要求。

應(yīng)對(duì)嚴(yán)格的安全要求

目前，全球各類組織都正在積極地應(yīng)對(duì)GDPR的要求。當(dāng)然，這并非是第一個(gè)被引入的數(shù)據(jù)安全措施。實(shí)際上各類組織一直都在處理著各種現(xiàn)有法律法規(guī)所提及的相關(guān)問題。例如歐盟的數(shù)據(jù)保護(hù)指令（GDPR正在取代的）和美國的HIPAA（Health Insurance Portability and Accountability Act）。在今年5月份GDPR的生效之日，各個(gè)DevOps工程師們將需要在設(shè)計(jì)上采用更為嚴(yán)格的數(shù)據(jù)保護(hù)理念，并要采用更為恰當(dāng)?shù)臄?shù)據(jù)保護(hù)措施。

根據(jù)組織架構(gòu)的特點(diǎn)，針對(duì)數(shù)據(jù)庫活動(dòng)實(shí)施審計(jì)的責(zé)任將會(huì)落在DevOps工程師和相關(guān)團(tuán)隊(duì)領(lǐng)導(dǎo)的肩上。而實(shí)施審核則應(yīng)當(dāng)由單一角色來掌控，進(jìn)而避免被他人予以篡改或查看。通過運(yùn)用審計(jì)工具和插件，各類組織將能夠輕松地生成多種合規(guī)性報(bào)告。

工具的要求

如果您的企業(yè)正在使用我們上面討論過的三種數(shù)據(jù)庫，或是正在使用MSSQL和MongoDB，那么通過簡(jiǎn)單的配置和使用自帶的審計(jì)管理工具，是否就能輕松地管理好各種日志呢？答案是否定的。

如今，由于大量數(shù)據(jù)都分散在本地和云端，因此您需要找到一些合適的第三方工具，通過提供統(tǒng)一的界面，來滿足所有的審計(jì)與合規(guī)需求。基于政策的數(shù)據(jù)庫安全與審計(jì)軟件往往能夠?qū)崿F(xiàn)對(duì)各種數(shù)據(jù)庫活動(dòng)的輕松配置、管理和監(jiān)控。

GDPR是一份在保障數(shù)據(jù)安全方面能夠起到承前啟后作用的最新法規(guī)。在使用不同廠商所提供的不同數(shù)據(jù)庫時(shí)，我們尤其需要保障數(shù)據(jù)庫的安全性，這對(duì)于組織的健康運(yùn)營來說是至關(guān)重要的可見，對(duì)于數(shù)據(jù)庫審計(jì)能夠保證我們正確、徹底地在各個(gè)平臺(tái)上保留與數(shù)據(jù)庫相關(guān)的、所有活動(dòng)的詳細(xì)歷史記錄。

原文標(biāo)題：Database Audits: Why You Need Them and What Tools to Use，作者：Yaniv Yehuda 

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】