虛擬化平臺和傳統(tǒng)網(wǎng)絡環(huán)境共存�,應用服務器和數(shù)據(jù)庫服務器要在混合云平臺進行數(shù)據(jù)庫審計��,就要區(qū)別于傳統(tǒng)的部署方式����,本文以vSphere虛擬平臺為例,對數(shù)據(jù)庫審計在混合虛擬化平臺上的部署進行實踐探討�。
一、傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品在虛擬化平臺下的局限性
虛擬化能夠應對 IT 部門面臨的最緊迫難題:基礎架構無序擴張�����,迫使 IT 部門將其 70% 的預算用于維護�,而只留下很少的資源用于業(yè)務發(fā)展創(chuàng)新。
這一困難源于當今 x86 服務器的體系結構:它們的設計使其在同一時間只能運行一個操作系統(tǒng)和應用����。這樣一來,即使是小型數(shù)據(jù)中心也必須部署大量服務器�����,而每臺服務器的容量利用率只有 5% 到 15%�,無論以哪種標準來看,都是十分低效的。
虛擬化軟件可使多個操作系統(tǒng)和應用運行在一臺物理服務器(即“主機”)上�����,從而解決這一問題���。每個功能完備的虛擬機 (VM) 都與其他虛擬機相隔離��,并可根據(jù)自身需要使用主機計算資源。
虛擬化實施前����,很多單位已經(jīng)有一定的信息化基礎,在已有的軟硬件網(wǎng)絡條件下逐步在引入虛擬化��,即部分應用系統(tǒng)部署在虛擬化環(huán)境下����,其他部分仍然是傳
統(tǒng)的應用和數(shù)據(jù)庫服務器網(wǎng)絡環(huán)境。虛擬化平臺下數(shù)據(jù)庫審計是實現(xiàn)安全合規(guī)必不可少的設備��,而傳統(tǒng)的數(shù)據(jù)庫審計技術在新的虛擬化平臺下存在一定的局限性�����。
二、傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品的審計原理
傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品是通過交換機鏡像數(shù)據(jù)庫訪問流量����,通過SQL協(xié)議分析,實時記錄網(wǎng)絡上的數(shù)據(jù)庫活動��。端口鏡像存在諸多限制條件:
部署的節(jié)點位置��,必須支持端口鏡像功能����,并且有空閑的端口作為觀測端口。
滿足以上條件�����,則可以使用端口鏡像的旁路模式部署數(shù)據(jù)庫安全審計設備�。
端口鏡像旁路模式的部署點可以在各個部門出口交換機上,也可以部署在數(shù)據(jù)庫前端交換機上�,建議部署在數(shù)據(jù)庫前端。
三�、虛擬化平臺下數(shù)據(jù)庫服務器的模式
(1)應用虛擬化,但數(shù)據(jù)庫未虛擬化���。
這種情況下數(shù)據(jù)庫與在虛擬化平臺的應用通過交換機相連提供服務�����,數(shù)據(jù)庫訪問可以在交換機上設置流量鏡像����,輸出到審計設備上。
(2)應用虛擬化���,數(shù)據(jù)庫也虛擬化���,但分別在兩臺主機下。
如果在兩臺主機下���,應用和數(shù)據(jù)庫之間也可以通過在交換設備上鏡像流量,實現(xiàn)數(shù)據(jù)庫的操作審計����。
(3)應用虛擬化,數(shù)據(jù)庫也虛擬化�����,應用與數(shù)據(jù)庫在一個主機下��。
此時,應用到數(shù)據(jù)庫訪問是不通過網(wǎng)絡硬件設備的��,傳統(tǒng)的數(shù)據(jù)庫審計無法采用在交換機鏡像流量的方式實現(xiàn)數(shù)據(jù)庫訪問協(xié)議分析����。
因此,第(1)和(2)兩種情況傳統(tǒng)數(shù)據(jù)庫審計產(chǎn)品都能夠兼容���,第(3)種模式下網(wǎng)絡流量是在虛擬平臺內(nèi)流轉的�����,無法通過物理交換機獲得�����。
四���、對于虛擬化平臺模式下數(shù)據(jù)庫審計解決方案
(1)軟件版數(shù)據(jù)庫審計產(chǎn)品
企業(yè)用戶可能用到的混合虛擬化平臺管理系統(tǒng)有如下圖所示。
安華金和數(shù)據(jù)庫安全實驗室以vmware虛擬化平臺進行實驗后���,獲得如下實踐結果�。
數(shù)據(jù)庫審計作為一個安裝在虛擬機的應用���,通過虛擬平臺的軟交換�,進行網(wǎng)絡流量鏡像,將數(shù)據(jù)庫審計產(chǎn)品結合到虛擬環(huán)境中的部署圖如下圖所示���,�����,在虛擬
環(huán)境下面�����,運行著三套應用系統(tǒng)APP1���、APP2、APP3��,以及其對應的后臺數(shù)據(jù)庫DB1���、DB2、DB3�。DBAudit為部署了數(shù)據(jù)庫審計產(chǎn)品的虛
擬機,所有設備通過vSphere Distributed Switch進行網(wǎng)絡通訊�。
ESXi在整個vSphere虛擬環(huán)境下的位置圖安華金和數(shù)據(jù)庫安全實驗室在vSphere搭建的實驗環(huán)境如下:
在vSphere Distributed
Switch上面可以通過使用端口鏡像���,使得所有訪問目標數(shù)據(jù)庫的網(wǎng)絡流量,鏡像到DBAudit審計服務器的數(shù)據(jù)采集端口��。在下圖描述的環(huán)境中�,只要配
置將PORT2,PORT5和PORT7的數(shù)據(jù)鏡像至PORT8���,那么DBAudit審計服務器即可獲取到訪問三臺數(shù)據(jù)庫虛擬機的流量����。
DBAudit審計服務器通過鏡像端口Port 8 �����,進行數(shù)據(jù)采集的工作�。同時,該虛擬設備通過Port 9��,提供對外的訪問及管理��,用戶可以對DBAudit進行配置和管理�����。
如果其他虛擬機通過vSphere Distributed Switch單獨劃分為獨立的網(wǎng)段,各網(wǎng)段彼此之間不能連通�����,需要在每個網(wǎng)段里單獨部署一套數(shù)據(jù)庫審計��,而不能在不同網(wǎng)段中共享一套����。
(2)通過數(shù)據(jù)庫本地代理
在虛擬化平臺中的數(shù)據(jù)庫服務器虛擬機上安裝本地代理,通過本地代理將流量發(fā)送給硬件的數(shù)據(jù)庫審計產(chǎn)品����。
(3)比較這兩種方式的優(yōu)劣性:
方式(2)需要在數(shù)據(jù)庫所在操作系統(tǒng)上安裝軟件,由此引發(fā)穩(wěn)定性故障����;
方式(2)會引起網(wǎng)絡流量加大,網(wǎng)絡拓撲復雜�,安全體系漏洞大。(如��,從數(shù)據(jù)庫服務器向外寫數(shù)據(jù)�,在通常的防火墻安全策略中是禁止的��。)
五、結束語
安華金和數(shù)據(jù)庫安全實驗室以vmWare虛擬化平臺為例�����,采用軟件版數(shù)據(jù)庫審計在虛擬化平臺下進行部署����,區(qū)別于傳統(tǒng)的數(shù)據(jù)庫審計設備通過物理交換機
鏡像流量的的方式,通過vSphere Distributed
Switch鏡像流量��,同時還要面對虛擬化平臺下不同數(shù)據(jù)庫服務器的模式特點進行部署實踐���。
產(chǎn)品咨詢:4000 258 365 
