數(shù)據(jù)庫(kù)安全監(jiān)控與審計(jì)產(chǎn)品(DBAudit)�����,是目前安華金和產(chǎn)品演進(jìn)處在最高級(jí)別的產(chǎn)品���,也即目前公司全線產(chǎn)品中成熟度最高的產(chǎn)品。近半年多來(lái)����,直接來(lái)自客戶現(xiàn)場(chǎng)的功能需求逐漸進(jìn)入到產(chǎn)品演進(jìn)進(jìn)度中,豐富了審計(jì)產(chǎn)品的特性��,給客戶帶來(lái)新的使用價(jià)值����,也為這款成熟度最高的產(chǎn)品不斷注入新的活力。
一����、全新的應(yīng)用審計(jì)視角
傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品,以“數(shù)據(jù)被誰(shuí)訪問(wèn)”的視角來(lái)反向溯源����,審計(jì)出來(lái)的數(shù)據(jù)都是以數(shù)據(jù)庫(kù)為單位�,基于SQL語(yǔ)句�����、風(fēng)險(xiǎn)�����、數(shù)據(jù)庫(kù)會(huì)話三維一體視角奠定了DBAudit的核心功能框架���,從風(fēng)險(xiǎn)的產(chǎn)生到SQL語(yǔ)句模板��、SQL語(yǔ)句���、數(shù)據(jù)庫(kù)會(huì)話生命周期的細(xì)粒度多訪問(wèn)分析,這是DBAudit V3.2.4.4以前版本的殺手锏���。隨著安華金和數(shù)據(jù)安全治理理念逐步被客戶肯定�����、被市場(chǎng)所認(rèn)可�,“誰(shuí)訪問(wèn)了哪些數(shù)據(jù)”成為一個(gè)全新的數(shù)據(jù)庫(kù)審計(jì)視角,這種以應(yīng)用發(fā)起者為出發(fā)點(diǎn)���,通過(guò)哪些應(yīng)用業(yè)務(wù)的請(qǐng)求���,最終訪問(wèn)了哪些數(shù)據(jù),DBAudit全新應(yīng)用關(guān)聯(lián)審計(jì)順勢(shì)而出��。
新的應(yīng)用審計(jì)和統(tǒng)計(jì)�����,構(gòu)建了“應(yīng)用-應(yīng)用模塊-應(yīng)用行為-應(yīng)用請(qǐng)求”4級(jí)應(yīng)用框架結(jié)構(gòu)��,代表4層不同應(yīng)用定義:
一����、應(yīng)用請(qǐng)求:訪問(wèn)源對(duì)某個(gè)指定的URL發(fā)起訪問(wèn)請(qǐng)求的流水記錄��;
二���、應(yīng)用行為:針對(duì)某類相同和相似的應(yīng)用請(qǐng)求�,去除參數(shù)化的URL模板(類似于SQL語(yǔ)句模板概念);
三���、應(yīng)用模塊:多個(gè)應(yīng)用行為的組合�,歸屬于一組功能模塊的集合�,對(duì)應(yīng)應(yīng)用服務(wù)器的功能菜單;
四�、應(yīng)用:以應(yīng)用服務(wù)器IP+應(yīng)用服務(wù)器端口+應(yīng)用工程名定義的一個(gè)應(yīng)用系統(tǒng)。
全新的框架設(shè)計(jì)充分考慮到多個(gè)應(yīng)用部署在一個(gè)應(yīng)用服務(wù)器的集中部署方式���,以及中大型應(yīng)用系統(tǒng)分布在多個(gè)應(yīng)用服務(wù)器上的集群架構(gòu)����,以應(yīng)對(duì)多樣化的應(yīng)用業(yè)務(wù)部署場(chǎng)景���。一旦應(yīng)用的4級(jí)結(jié)構(gòu)建立���,即可以提供完整的基于應(yīng)用訪問(wèn)視角的綜合性統(tǒng)計(jì)數(shù)據(jù)呈現(xiàn)和正向追溯能力:
a)應(yīng)用訪問(wèn)熱度分析:接入DBAudit的多個(gè)應(yīng)用根據(jù)訪問(wèn)頻次呈現(xiàn)應(yīng)用訪問(wèn)熱度Top;
b)應(yīng)用模塊訪問(wèn)熱度分析:不同應(yīng)用的應(yīng)用模塊根據(jù)訪問(wèn)頻次呈現(xiàn)應(yīng)用模塊訪問(wèn)熱度Top�����;
c)應(yīng)用訪問(wèn)源熱度分析:以“客戶端IP+應(yīng)用用戶”為組合�����,根據(jù)對(duì)應(yīng)用訪問(wèn)頻次呈現(xiàn)訪問(wèn)源熱度Top。
同“數(shù)據(jù)被誰(shuí)訪問(wèn)”以數(shù)據(jù)庫(kù)為單位提供全局和單庫(kù)視角一樣�����,應(yīng)用審計(jì)同樣提供了以應(yīng)用為單位的全局和單應(yīng)用視角分析�����,既可基于全局做整體查看�,也可以針對(duì)某個(gè)應(yīng)用做專項(xiàng)分析。
從應(yīng)用行為層次����,提供“應(yīng)用行為-應(yīng)用請(qǐng)求流水-應(yīng)用請(qǐng)求詳情”的正向追蹤以及“應(yīng)用行為-訪問(wèn)源”的反向追溯能力�;從應(yīng)用訪問(wèn)層次,提供“應(yīng)用請(qǐng)求-SQL流水-SQL詳情”和“應(yīng)用請(qǐng)求-應(yīng)用會(huì)話-會(huì)話下應(yīng)用請(qǐng)求流水-SQL流水”兩條下鉆分析路徑��。
老的應(yīng)用會(huì)話統(tǒng)計(jì)分析能力在應(yīng)用審計(jì)框架建立后得到更大價(jià)值體現(xiàn):應(yīng)用會(huì)話將多個(gè)應(yīng)用請(qǐng)求串接起來(lái)�,使得“本次會(huì)話除了訪問(wèn)這些地址還干了些什么”的連鎖行為分析得以落地。
二���、從對(duì)象統(tǒng)計(jì)到敏感數(shù)據(jù)溯源
以往我們的風(fēng)險(xiǎn)規(guī)則到SQL語(yǔ)句和語(yǔ)句模板層級(jí)��,而有些場(chǎng)景下用戶更關(guān)注數(shù)據(jù)庫(kù)中敏感對(duì)象的訪問(wèn)行為�����,這些敏感對(duì)象可能是數(shù)據(jù)庫(kù)����、表,甚至字段(列)����,這對(duì)審計(jì)粒度來(lái)說(shuō)提出更高挑戰(zhàn)。
通過(guò)全新的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)和數(shù)據(jù)處理邏輯設(shè)計(jì)��,DBAudit提供了基于數(shù)據(jù)庫(kù)表級(jí)別的對(duì)象統(tǒng)計(jì)和分析能力���。在新的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)中�����,充分考慮到不同數(shù)據(jù)庫(kù)中表對(duì)象屬主的定義范圍差異�,如Oracle和SQL Server有Schema的概念�����,Oracle的Instance,MySQL的庫(kù)概念等����,我們?cè)O(shè)計(jì)了目前相對(duì)覆蓋元素較多的一種數(shù)據(jù)庫(kù)表對(duì)象Owner機(jī)制,即以“DBname+Schema@(DBIP+Port+Instance)”多個(gè)字段的組合方式����,基本覆蓋常用關(guān)系型數(shù)據(jù)庫(kù)形態(tài)。同時(shí)����,針對(duì)Oracle RAC集群和MySQL Proxy類集群的應(yīng)用場(chǎng)景,將多個(gè)數(shù)據(jù)庫(kù)IP和端口組合成一個(gè)數(shù)據(jù)庫(kù)來(lái)分析�,避免因過(guò)于細(xì)致的屬主劃分粒度帶來(lái)同一表對(duì)象統(tǒng)計(jì)數(shù)據(jù)的分散。
在指定的屬主范圍內(nèi)���,將動(dòng)態(tài)請(qǐng)求而產(chǎn)生的SQL語(yǔ)句以表對(duì)象為單位統(tǒng)計(jì)�����,依托訪問(wèn)表對(duì)象時(shí)的SQL語(yǔ)句解析,提供了“表對(duì)象-操作類型-SQL語(yǔ)句流水”和“表對(duì)象-語(yǔ)句模板-SQL語(yǔ)句流水”的兩種鉆取分析路徑����。
對(duì)解析出的表根據(jù)數(shù)據(jù)分析可標(biāo)記為敏感表對(duì)象��,可以對(duì)一批敏感表對(duì)象做訪問(wèn)行為的軌跡分析���,該表對(duì)象被哪個(gè)訪問(wèn)源(客戶端IP、數(shù)據(jù)庫(kù)用戶)訪問(wèn)�、哪個(gè)客戶端工具所訪問(wèn)以及整體的訪問(wèn)頻度分布情況,快速定位該敏感對(duì)象從哪些位置進(jìn)行訪問(wèn)��。
從操作類型角度�,表對(duì)象經(jīng)常會(huì)以什么樣的方式被訪問(wèn),訪問(wèn)頻次怎樣���;從語(yǔ)句模板角度��,表對(duì)象經(jīng)常會(huì)被什么樣的語(yǔ)句模板來(lái)訪問(wèn)���,做到這一層級(jí),思路再往前一步���,假定該表對(duì)象出現(xiàn)了新的訪問(wèn)類型(如經(jīng)常SELECT的表對(duì)象突然出現(xiàn)了DELETE的操作行為)�����,或者表對(duì)象出現(xiàn)了一種新的語(yǔ)句訪問(wèn)模型(如出現(xiàn)了一種新的語(yǔ)句模板)���,是否疑似為非正常訪問(wèn)動(dòng)作�����?當(dāng)功能演進(jìn)到該階段����,是否像有些行為模型的分析��?是的����,這就是我們正在完善的審計(jì)系統(tǒng)訪問(wèn)行為模型。
三���、學(xué)習(xí)期行為模型
在數(shù)據(jù)庫(kù)防火墻產(chǎn)品中�,引入學(xué)習(xí)期概念��。數(shù)據(jù)庫(kù)審計(jì)也構(gòu)建了全新的學(xué)習(xí)期�,針對(duì)每個(gè)被審計(jì)數(shù)據(jù)庫(kù)分別設(shè)置學(xué)習(xí)期,而且利用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)一貫擅長(zhǎng)的數(shù)據(jù)統(tǒng)計(jì)分析能力����,參與建模的元素更廣、行為模型的范圍更大�����,以此來(lái)為用戶的安全審計(jì)提供更全面的模型參考�����。比如以敏感對(duì)象表元素頻度訪問(wèn)�、敏感對(duì)象的操作類型、訪問(wèn)源的行為���、去參數(shù)化的語(yǔ)句模板���、去參數(shù)化的應(yīng)用URL行為等,通過(guò)一定組合方式��,形成多樣的數(shù)據(jù)分析模型�����。
上文提到的敏感對(duì)象表經(jīng)常被訪問(wèn)的訪問(wèn)源����、敏感對(duì)象表日常被訪問(wèn)的頻次和時(shí)間周期分布情況��、敏感對(duì)象被訪問(wèn)的操作類型情況�,這些都將成為行為模型的分析元素����。在引入以應(yīng)用為視角的審計(jì)后,進(jìn)一步豐富了審計(jì)的輸出元素:
圖1:以數(shù)據(jù)庫(kù)為切入點(diǎn)和以應(yīng)用為切入點(diǎn)各自審計(jì)的元素組合
在一些特點(diǎn)的生產(chǎn)系統(tǒng)���,進(jìn)入業(yè)務(wù)穩(wěn)定期后�����,功能模塊相對(duì)穩(wěn)定����,具體到每個(gè)訪問(wèn)行為�,其產(chǎn)生的SQL語(yǔ)句模板也相對(duì)固定。反之��,一個(gè)SQL語(yǔ)句模板被業(yè)務(wù)系統(tǒng)請(qǐng)求的來(lái)源也相對(duì)固定����,可見,在一個(gè)穩(wěn)定運(yùn)行的業(yè)務(wù)系統(tǒng)中,應(yīng)用訪問(wèn)行為與SQL語(yǔ)句模板存在相對(duì)穩(wěn)定的對(duì)應(yīng)關(guān)系�����;無(wú)論應(yīng)用訪問(wèn)行為出現(xiàn)了新的語(yǔ)句模板�,或者產(chǎn)生的語(yǔ)句模板出現(xiàn)了新的應(yīng)用請(qǐng)求來(lái)源����,都可能成為可疑的訪問(wèn)行為。比較典型的應(yīng)用場(chǎng)景:SQL注入偽裝成正常的數(shù)據(jù)訪問(wèn)��,但在行為模型中發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)應(yīng)用請(qǐng)求中出現(xiàn)了新的語(yǔ)句�����,產(chǎn)生疑似非法操作的告警�����,從根本上解決SQL注入的風(fēng)險(xiǎn)�。
DBAudit的數(shù)據(jù)分析能力除了在審計(jì)系統(tǒng)上得到應(yīng)用外,還將為防護(hù)類產(chǎn)品提供策略設(shè)置參考����,如根據(jù)針對(duì)敏感對(duì)象設(shè)置訪問(wèn)來(lái)源、操作行為、應(yīng)用URL��、時(shí)間周期等元素設(shè)置防火墻的攔截策略��,針對(duì)敏感對(duì)象梳理結(jié)果設(shè)置動(dòng)態(tài)訪問(wèn)脫敏策略��,這些將在新的集群管理系統(tǒng)中被串接起來(lái)�,多個(gè)產(chǎn)品的聯(lián)合形成從敏感數(shù)據(jù)的識(shí)別、分析����、建模、到安全使用防護(hù)的全過(guò)程�;這些也將成為UEBA模型的數(shù)據(jù)來(lái)源,以及數(shù)據(jù)資產(chǎn)梳理系統(tǒng)(DBCarding)數(shù)據(jù)資產(chǎn)動(dòng)態(tài)梳理的來(lái)源���。
四��、大數(shù)據(jù)審計(jì)方向展望
傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù)審計(jì)�����,針對(duì)大數(shù)據(jù)審計(jì)開始出現(xiàn)“水土不服”���,在一個(gè)個(gè)針對(duì)大數(shù)據(jù)審計(jì)的項(xiàng)目落地過(guò)程中我們總結(jié)發(fā)現(xiàn):
1.以操作類型為視角的統(tǒng)計(jì)很多場(chǎng)景不再實(shí)用����,如HDFS下的數(shù)據(jù)庫(kù)語(yǔ)句實(shí)際上是對(duì)文件系統(tǒng)的操作命令ls�����、cp等�����;
2.由于大數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)眾多���,故數(shù)據(jù)訪問(wèn)端口范圍的不確定性也隨之而來(lái),傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)對(duì)IP+端口的數(shù)據(jù)模型已不再適用���,大數(shù)據(jù)審計(jì)一般都采用動(dòng)態(tài)的端口范圍�,而且范圍較大�����,如某項(xiàng)目現(xiàn)場(chǎng)的Hive端口數(shù)量30+���;
3.語(yǔ)句模板難以用SQL方式翻譯���,在關(guān)系型數(shù)據(jù)庫(kù)審計(jì)中安華金和的語(yǔ)句模板機(jī)制極大的減少了語(yǔ)句記錄量�,業(yè)務(wù)審計(jì)中以模板方式也極大的提高了統(tǒng)計(jì)和分析的價(jià)值����,但大數(shù)據(jù)應(yīng)用下這種方式將難以繼續(xù)這種業(yè)務(wù)呈現(xiàn);
4.業(yè)務(wù)化語(yǔ)言無(wú)法匹配�,關(guān)系型數(shù)據(jù)庫(kù)的業(yè)務(wù)化語(yǔ)言翻譯不再適用于大數(shù)據(jù)時(shí)代。
這里提到的“大數(shù)據(jù)審計(jì)”有兩層含義:
①對(duì)使用大數(shù)據(jù)作為業(yè)務(wù)數(shù)據(jù)庫(kù)存儲(chǔ)的這類“數(shù)據(jù)庫(kù)”審計(jì)���;
②對(duì)大量業(yè)務(wù)產(chǎn)生的審計(jì)數(shù)據(jù)以大數(shù)據(jù)方式存儲(chǔ)�。
前者的本質(zhì)在于數(shù)據(jù)庫(kù)的審計(jì)�,后者的核心在于審計(jì)數(shù)據(jù)結(jié)果的處理。
在大數(shù)據(jù)使用愈發(fā)普及的市場(chǎng)背景下�����,以上兩個(gè)方面常常同時(shí)出現(xiàn):為了更好的服務(wù)于業(yè)務(wù)��,大數(shù)據(jù)形態(tài)不斷擴(kuò)展和業(yè)務(wù)逐漸成熟��,大數(shù)據(jù)審計(jì)成為剛需��;大量的審計(jì)數(shù)據(jù)結(jié)果需要更大的存儲(chǔ)空間和更龐大的后續(xù)統(tǒng)計(jì)分析����,而這正是大數(shù)據(jù)擅長(zhǎng)的地方����,所以演變成了“用一個(gè)大數(shù)據(jù)應(yīng)用(DBAudit)來(lái)審計(jì)業(yè)務(wù)系統(tǒng)的大數(shù)據(jù)”�����。
在完成對(duì)大數(shù)據(jù)審計(jì)的協(xié)議解析后����,如何呈現(xiàn)更合理的審計(jì)結(jié)果和統(tǒng)計(jì)分析�?安華金和的思路是:基于現(xiàn)有DBAudit的語(yǔ)句、會(huì)話�、風(fēng)險(xiǎn)三大視角基礎(chǔ)框架,基于大數(shù)據(jù)形態(tài)做針對(duì)性的審計(jì)數(shù)據(jù)結(jié)果呈現(xiàn)和風(fēng)險(xiǎn)策略告警能力�,DBAudit新的版本將會(huì)帶來(lái)耳目一新的價(jià)值體現(xiàn)。
上面提到����,被審計(jì)數(shù)據(jù)庫(kù)節(jié)點(diǎn)的極大增長(zhǎng),以及審計(jì)結(jié)果數(shù)據(jù)量的猛增�����,審計(jì)系統(tǒng)本身也將步入大數(shù)據(jù)化。目前安華金和的審計(jì)結(jié)果大數(shù)據(jù)形態(tài)大致如下:
圖2:大數(shù)據(jù)架構(gòu)圖
這將會(huì)在后續(xù)的產(chǎn)品演進(jìn)中逐步落地�����。
對(duì)大數(shù)據(jù)的審計(jì)支持能力�����,DBAudit在國(guó)內(nèi)廠商中一馬當(dāng)先�����,目前支持的大數(shù)據(jù)形態(tài)有:Hive��、HBase����、Sentry、HDFS����、Impala、ElasticSearch�����,以及MangoDB、Redis等非關(guān)系型數(shù)據(jù)庫(kù)��。
以某省級(jí)電信運(yùn)營(yíng)商項(xiàng)目為例�����,安華金和對(duì)需求響應(yīng)和功能快速交付得到客戶的極大認(rèn)可���。運(yùn)營(yíng)商要求友商提供自己所提供系統(tǒng)的ElasticSearch大數(shù)據(jù)庫(kù)的審計(jì)�,友商反饋不具備審計(jì)能力�����,且表示國(guó)內(nèi)尚沒(méi)有產(chǎn)品可以做到����。運(yùn)營(yíng)商輾轉(zhuǎn)找到安華金和��,我們的工程師三周完成了對(duì)友商這套應(yīng)用系統(tǒng)的大數(shù)據(jù)審計(jì)適配���,而且克服了友商“網(wǎng)絡(luò)環(huán)境故障”���、“切換加密方式”等額外增加的困難�����,這體現(xiàn)了安華一切以業(yè)務(wù)場(chǎng)景需要和客戶滿意為宗旨���,深厚技術(shù)能力得到證明。
結(jié)束語(yǔ):作為數(shù)據(jù)安全領(lǐng)域的領(lǐng)跑者����,我們將繼續(xù)深耕,不斷挖掘產(chǎn)品新的價(jià)值點(diǎn)����,正是憑著這種敢于向技術(shù)壁壘發(fā)起攻堅(jiān)、敢于突破自我的精神���,才能打磨出具有領(lǐng)先性和前瞻性的成熟產(chǎn)品���。
產(chǎn)品咨詢:4000 258 365 
