在數(shù)據(jù)庫運(yùn)維場景中����,“公用”是一種很常見的事情,包括:公用數(shù)據(jù)庫賬號�����、公用運(yùn)維主機(jī)���、公用操作系統(tǒng)賬號等等���。然而這種“公用”行為帶來的問題,則是無法準(zhǔn)確識別運(yùn)維人員的身份�,無法合理分配每個自然人的權(quán)限,且對于一些明顯的誤操作或惡意操作也無法溯源到自然人本身�����;而另一個由“公用”帶來的弊端是數(shù)據(jù)庫的賬號被散發(fā)出去����,導(dǎo)致本來不應(yīng)對該數(shù)據(jù)具備運(yùn)維權(quán)限的人也可能獲取到賬號,從而威脅到相關(guān)數(shù)據(jù)的安全�����。
面對以上問題�����,單純通過提高密碼的復(fù)雜度或定期更改密碼都不足以保障數(shù)據(jù)的安全��。企業(yè)該采取怎樣的密碼管理方式��,才能適應(yīng)這種“公用”運(yùn)維場景下的數(shù)據(jù)安全管理與控制要求���?
從上文提及的諸多“公用”場景可以發(fā)現(xiàn)����,唯一不公用的�����,大概就是運(yùn)維人員的“自然人身份”�����。如果可以通過一些技術(shù)手段明確表征自然人的身份���,讓安全設(shè)備能夠根據(jù)自然人的身份及權(quán)限自動的為其建立合理的數(shù)據(jù)庫連接���,那么無論其他條件因數(shù)如何被“公用”��,都可以清晰定位訪問數(shù)據(jù)的自然人身份�;同時��,這種自動建立連接的機(jī)制令數(shù)據(jù)庫賬號和密碼不會被暴露在運(yùn)維人員或公用環(huán)境之中���,從而減少數(shù)據(jù)泄露的風(fēng)險和隱患����。
負(fù)責(zé)數(shù)據(jù)庫運(yùn)維的DBA和安全管理人員���,常會碰到以下問題:
問題一:多個運(yùn)維人員在運(yùn)維過程中使用相同的高權(quán)限數(shù)據(jù)庫賬號��,無法區(qū)分控制和審計�����;
問題二:高權(quán)限賬號的安全性無法保障���,密碼幾乎是公開的,而定期變更密碼所產(chǎn)生的高維護(hù)成本也令相關(guān)工作難以實(shí)際落地�����;
問題三:由于應(yīng)用系統(tǒng)和運(yùn)維側(cè)使用相同的賬號,造成無法區(qū)分權(quán)限����,無法進(jìn)行細(xì)粒度控制�;
問題四:運(yùn)維過程中,同一運(yùn)維人員對不同內(nèi)容進(jìn)行運(yùn)維時�,需要不同的賬號分別登陸數(shù)據(jù)庫完成,不僅令人員的操作和記憶十分繁瑣��,也進(jìn)一步提高了運(yùn)維的成本�����。
想要對運(yùn)維工作進(jìn)行準(zhǔn)確���、有效的管控�����,著眼于“自然人身份”是更為有效的手段���。針對“自然人”的識別與控制,安華金和運(yùn)維管理系統(tǒng)(DOMS)綜合以下5條技術(shù)路線和手段�����,解決方案可由外及內(nèi)、由淺入深的滿足客戶在不同場景下的實(shí)際需求:
解決方案
1��、Web認(rèn)證方案
先將運(yùn)維人員賬號錄入到DOMS運(yùn)維管理系統(tǒng)��,并創(chuàng)建對應(yīng)的運(yùn)維人員Web管理賬號��;當(dāng)通過運(yùn)維終端所在PC瀏覽器打開DOMS系統(tǒng)時���,使用運(yùn)維人員Web賬號進(jìn)行登陸��,以申明當(dāng)前是哪位運(yùn)維人員在登錄系統(tǒng)�;之后��,在運(yùn)維終端上使用數(shù)據(jù)庫客戶端工具����,通過代理地址登陸數(shù)據(jù)庫;DOMS將通過客戶端IP判定當(dāng)前是哪位運(yùn)維人員在訪問數(shù)據(jù)庫���。
通過上述方式���,客戶能夠準(zhǔn)確識別出是誰在使用終端設(shè)備���,是誰在操作數(shù)據(jù)庫,并對人為操作進(jìn)行控制���;但無法解決密碼共用、定期更改密碼等在維護(hù)和操作上造成的麻煩��。
2��、堡壘機(jī)環(huán)境下的應(yīng)對方案
在“堡壘機(jī)+跳板機(jī)”的環(huán)境下�����,經(jīng)過堡壘機(jī)連接數(shù)據(jù)庫的方式大體分為兩種:
· 數(shù)據(jù)庫登錄密碼“代填”方式
大致流程為:運(yùn)維終端->堡壘機(jī)->跳板機(jī)->堡壘機(jī)->數(shù)據(jù)庫(如圖1中的1->4->2->3)����;
· 數(shù)據(jù)庫登錄密碼“非代填”方式
有別于代填方式,是在跳板機(jī)上打開運(yùn)維工具登陸數(shù)據(jù)庫��,流程相對簡單:運(yùn)維終端->堡壘機(jī)->跳板機(jī)->數(shù)據(jù)庫(如圖1中的1->4->5)�。
圖1:堡壘機(jī)和跳板機(jī)交互流程
堡壘機(jī)的引入對于獲取“自然人身份”增加了難度,用非代填方式比較簡單��。如果堡壘機(jī)登錄跳板機(jī)使用運(yùn)維賬號作為操作系統(tǒng)賬號�,以O(shè)racle數(shù)據(jù)庫為例�����,可以通過協(xié)議解析的方式獲取運(yùn)維人員賬號�;如果多個運(yùn)維人員在打開跳板機(jī)時用的都是同一數(shù)據(jù)庫賬號���,或者是數(shù)據(jù)庫通信協(xié)議中沒有操作系統(tǒng)賬號標(biāo)識���,則需要在跳板機(jī)上安裝插件,通過插件獲取當(dāng)前的運(yùn)維賬號并發(fā)送給DOMS運(yùn)維管理系統(tǒng)����,從而實(shí)現(xiàn)關(guān)聯(lián)。
相比之下�,用代填方式進(jìn)行關(guān)聯(lián)會比較復(fù)雜。這與不同堡壘機(jī)的實(shí)現(xiàn)機(jī)制也有關(guān)系����,需要一定的流程對接,比如在堡壘機(jī)設(shè)備上做一個運(yùn)維賬號操作的關(guān)聯(lián)�,再將信息推送給DOMS運(yùn)維管理系統(tǒng)實(shí)現(xiàn)關(guān)聯(lián)。
3����、動態(tài)令牌�����、Ukey和證書方案
動態(tài)令牌和Ukey大家并不陌生�����,是一種常用的雙因素校驗(yàn)工具����。DOMS運(yùn)維管理系統(tǒng)可將令牌種子(或Ukey特征值)同運(yùn)維管理的Web賬號進(jìn)行關(guān)聯(lián)�。
其中���,動態(tài)令牌的實(shí)現(xiàn)方式另辟蹊徑�,是在運(yùn)維工具已登錄數(shù)據(jù)庫之后��,通過特定的語句發(fā)送當(dāng)前的令牌碼��,DOMS截獲到令牌碼后會進(jìn)行正確性的校驗(yàn)�,并獲取關(guān)聯(lián)的運(yùn)維賬號。
Ukey則是在客戶端主機(jī)上安裝小工具����,用來讀取Ukey和證書信息���,并將信息內(nèi)容發(fā)送給DOMS;同時�����,該小工具可以讀取操作系統(tǒng)賬號和MAC地址��,從而彌補(bǔ)了有些數(shù)據(jù)庫通信協(xié)議沒有操作系統(tǒng)賬號的空白�。但Ukey畢竟是物理設(shè)備,需要實(shí)際插入到運(yùn)維所使用的客戶端主機(jī)上�����,而對于虛擬化或堡壘機(jī)等無法插入Ukey的環(huán)境則只能使用證書的方式���。
證書的方式同Ukey類似�,只是將硬件Ukey設(shè)備緩存文件證書�,運(yùn)維終端上利用客戶端小工具選擇運(yùn)維人員的證書進(jìn)行登陸,證書會標(biāo)識“自然人”信息�����。
4、密碼橋方案
為了真正做到運(yùn)維賬號一人一密�����,數(shù)據(jù)庫賬號的密碼不暴露�,數(shù)據(jù)庫密碼可定期更換,以及在同一運(yùn)維賬號關(guān)聯(lián)多個數(shù)據(jù)庫賬號的情況下可對運(yùn)維人員進(jìn)行權(quán)限控制����,DOMS引入“密碼橋”方案。
什么是密碼橋��?概括來講就是“運(yùn)維管理Web賬號+密碼”和“數(shù)據(jù)庫賬號+密碼”在DOMS運(yùn)維管理系統(tǒng)上已提前配置完成并形成映射關(guān)系��,此時運(yùn)維賬號通過數(shù)據(jù)庫連接工具(如sqlplus���、PL/SQL等)登錄數(shù)據(jù)庫,DOMS會在數(shù)據(jù)庫連接過程中對用戶密碼進(jìn)行替換(兩套賬號密碼的映射關(guān)系)�����,達(dá)到使用該數(shù)據(jù)庫實(shí)際賬號對應(yīng)的運(yùn)維賬號登錄數(shù)據(jù)庫的目的��;同時�����,能對運(yùn)維賬號和密碼匹配的正確與否進(jìn)行校驗(yàn),也可以對數(shù)據(jù)庫賬號和密碼的正確性進(jìn)行校驗(yàn)����。
DOMS運(yùn)維管理系統(tǒng)配置如下:
例一:指定數(shù)據(jù)庫賬號
Username:zhangsan:crm(zhangsan為運(yùn)維管理Web賬號;crm為數(shù)據(jù)庫賬號)
Password:運(yùn)維賬號密碼
此時���,zhangsan這個運(yùn)維賬號經(jīng)過DOMS運(yùn)維管理系統(tǒng)映射���,使用crm這個數(shù)據(jù)庫賬號訪問數(shù)據(jù)庫,僅需要輸入運(yùn)維賬號的密碼���,無需輸入數(shù)據(jù)庫賬號crm的真實(shí)密碼�,從而達(dá)到數(shù)據(jù)庫密碼不對運(yùn)維人員暴露的效果���。
例二:不指定數(shù)據(jù)庫賬號
以sqlplus為例:此時���,只輸入了運(yùn)維賬號,DOMS系統(tǒng)會根據(jù)運(yùn)維賬號找到與其關(guān)聯(lián)的唯一一個數(shù)據(jù)庫賬號進(jìn)行替換并登錄�。
5、防繞過方案
針對某些C/S架構(gòu)的業(yè)務(wù)系統(tǒng)�����,特別是醫(yī)療行業(yè),會涉及到大量的客戶端設(shè)備且有大量的動態(tài)IP情況存在�����。此時���,無法通過客戶端IP的方式定位到客戶端主機(jī)��,對于安裝Ukey的插件來說工作量也比較大��。如果安裝插件�����,能保障所有設(shè)備都被安裝到么����?即使安裝了插件�,如果不通過代理地址(DOMS運(yùn)維管理系統(tǒng))訪問數(shù)據(jù)庫又該如何防護(hù)����?此外����,在數(shù)據(jù)庫本地操作數(shù)據(jù)庫又要怎樣應(yīng)對�����?
對于以上場景����,安華金和提出“運(yùn)維訪問防繞過”方案,即利用在數(shù)據(jù)庫的logon觸發(fā)器進(jìn)行數(shù)據(jù)庫訪問白名單控制:想要訪問數(shù)據(jù)庫的主機(jī)設(shè)備��,必須到DOMS系統(tǒng)上進(jìn)行注冊(包含IP����、User、客戶端主機(jī)名等)���;注冊后DOMS會對觸發(fā)器的內(nèi)容進(jìn)行調(diào)整���,實(shí)現(xiàn)對客戶端與數(shù)據(jù)庫建立連接時的控制。此時���,即使沒有經(jīng)過代理地址(經(jīng)過DOMS的還會有代理層面的控制)的登錄行為���,也會被認(rèn)定為非授信的異常登錄����,從而真正達(dá)到只有在授信終端上使用授信客戶端運(yùn)維工具���、運(yùn)維賬號����、通過合規(guī)的訪問通道�,才可以正常對數(shù)據(jù)庫進(jìn)行運(yùn)維操作的目的。
文中介紹的五種技術(shù)路線及解決方案����,是在DOMS運(yùn)維管理系統(tǒng)中對自然人進(jìn)行識別、控制�,以及對密碼安全性的思考;在引進(jìn)權(quán)控方案后��,不會對日常運(yùn)維工具帶來影響和附加工作���,從而讓DOMS運(yùn)維管理系統(tǒng)成為企業(yè)運(yùn)維安全可靠的幫手����。
產(chǎn)品咨詢:4000 258 365 
