在數(shù)據(jù)庫運維場景中,“公用”是一種很常見的事情��,包括:公用數(shù)據(jù)庫賬號��、公用運維主機�����、公用操作系統(tǒng)賬號等等���。然而這種“公用”行為帶來的問題,則是無法準確識別運維人員的身份�,無法合理分配每個自然人的權(quán)限,且對于一些明顯的誤操作或惡意操作也無法溯源到自然人本身�����;而另一個由“公用”帶來的弊端是數(shù)據(jù)庫的賬號被散發(fā)出去,導致本來不應(yīng)對該數(shù)據(jù)具備運維權(quán)限的人也可能獲取到賬號����,從而威脅到相關(guān)數(shù)據(jù)的安全。
面對以上問題��,單純通過提高密碼的復雜度或定期更改密碼都不足以保障數(shù)據(jù)的安全��。企業(yè)該采取怎樣的密碼管理方式��,才能適應(yīng)這種“公用”運維場景下的數(shù)據(jù)安全管理與控制要求����?
從上文提及的諸多“公用”場景可以發(fā)現(xiàn),唯一不公用的���,大概就是運維人員的“自然人身份”���。如果可以通過一些技術(shù)手段明確表征自然人的身份,讓安全設(shè)備能夠根據(jù)自然人的身份及權(quán)限自動的為其建立合理的數(shù)據(jù)庫連接����,那么無論其他條件因數(shù)如何被“公用”��,都可以清晰定位訪問數(shù)據(jù)的自然人身份����;同時���,這種自動建立連接的機制令數(shù)據(jù)庫賬號和密碼不會被暴露在運維人員或公用環(huán)境之中���,從而減少數(shù)據(jù)泄露的風險和隱患。
負責數(shù)據(jù)庫運維的DBA和安全管理人員���,常會碰到以下問題:
問題一:多個運維人員在運維過程中使用相同的高權(quán)限數(shù)據(jù)庫賬號����,無法區(qū)分控制和審計����;
問題二:高權(quán)限賬號的安全性無法保障�����,密碼幾乎是公開的��,而定期變更密碼所產(chǎn)生的高維護成本也令相關(guān)工作難以實際落地;
問題三:由于應(yīng)用系統(tǒng)和運維側(cè)使用相同的賬號����,造成無法區(qū)分權(quán)限,無法進行細粒度控制��;
問題四:運維過程中�����,同一運維人員對不同內(nèi)容進行運維時���,需要不同的賬號分別登陸數(shù)據(jù)庫完成�,不僅令人員的操作和記憶十分繁瑣��,也進一步提高了運維的成本���。
想要對運維工作進行準確�、有效的管控�����,著眼于“自然人身份”是更為有效的手段。針對“自然人”的識別與控制�����,安華金和運維管理系統(tǒng)(DOMS)綜合以下5條技術(shù)路線和手段�,解決方案可由外及內(nèi)、由淺入深的滿足客戶在不同場景下的實際需求:
解決方案
1�����、Web認證方案
先將運維人員賬號錄入到DOMS運維管理系統(tǒng)�,并創(chuàng)建對應(yīng)的運維人員Web管理賬號;當通過運維終端所在PC瀏覽器打開DOMS系統(tǒng)時���,使用運維人員Web賬號進行登陸���,以申明當前是哪位運維人員在登錄系統(tǒng);之后�,在運維終端上使用數(shù)據(jù)庫客戶端工具,通過代理地址登陸數(shù)據(jù)庫�����;DOMS將通過客戶端IP判定當前是哪位運維人員在訪問數(shù)據(jù)庫���。
通過上述方式�,客戶能夠準確識別出是誰在使用終端設(shè)備���,是誰在操作數(shù)據(jù)庫��,并對人為操作進行控制���;但無法解決密碼共用、定期更改密碼等在維護和操作上造成的麻煩�����。
2����、堡壘機環(huán)境下的應(yīng)對方案
在“堡壘機+跳板機”的環(huán)境下,經(jīng)過堡壘機連接數(shù)據(jù)庫的方式大體分為兩種:
· 數(shù)據(jù)庫登錄密碼“代填”方式
大致流程為:運維終端->堡壘機->跳板機->堡壘機->數(shù)據(jù)庫(如圖1中的1->4->2->3)��;
· 數(shù)據(jù)庫登錄密碼“非代填”方式
有別于代填方式����,是在跳板機上打開運維工具登陸數(shù)據(jù)庫,流程相對簡單:運維終端->堡壘機->跳板機->數(shù)據(jù)庫(如圖1中的1->4->5)��。
圖1:堡壘機和跳板機交互流程
堡壘機的引入對于獲取“自然人身份”增加了難度,用非代填方式比較簡單��。如果堡壘機登錄跳板機使用運維賬號作為操作系統(tǒng)賬號�����,以O(shè)racle數(shù)據(jù)庫為例����,可以通過協(xié)議解析的方式獲取運維人員賬號;如果多個運維人員在打開跳板機時用的都是同一數(shù)據(jù)庫賬號��,或者是數(shù)據(jù)庫通信協(xié)議中沒有操作系統(tǒng)賬號標識�,則需要在跳板機上安裝插件,通過插件獲取當前的運維賬號并發(fā)送給DOMS運維管理系統(tǒng)�����,從而實現(xiàn)關(guān)聯(lián)���。
相比之下��,用代填方式進行關(guān)聯(lián)會比較復雜��。這與不同堡壘機的實現(xiàn)機制也有關(guān)系��,需要一定的流程對接���,比如在堡壘機設(shè)備上做一個運維賬號操作的關(guān)聯(lián),再將信息推送給DOMS運維管理系統(tǒng)實現(xiàn)關(guān)聯(lián)�。
3、動態(tài)令牌����、Ukey和證書方案
動態(tài)令牌和Ukey大家并不陌生,是一種常用的雙因素校驗工具�����。DOMS運維管理系統(tǒng)可將令牌種子(或Ukey特征值)同運維管理的Web賬號進行關(guān)聯(lián)���。
其中���,動態(tài)令牌的實現(xiàn)方式另辟蹊徑,是在運維工具已登錄數(shù)據(jù)庫之后���,通過特定的語句發(fā)送當前的令牌碼���,DOMS截獲到令牌碼后會進行正確性的校驗�,并獲取關(guān)聯(lián)的運維賬號����。
Ukey則是在客戶端主機上安裝小工具,用來讀取Ukey和證書信息����,并將信息內(nèi)容發(fā)送給DOMS;同時��,該小工具可以讀取操作系統(tǒng)賬號和MAC地址��,從而彌補了有些數(shù)據(jù)庫通信協(xié)議沒有操作系統(tǒng)賬號的空白��。但Ukey畢竟是物理設(shè)備�,需要實際插入到運維所使用的客戶端主機上,而對于虛擬化或堡壘機等無法插入Ukey的環(huán)境則只能使用證書的方式�����。
證書的方式同Ukey類似���,只是將硬件Ukey設(shè)備緩存文件證書���,運維終端上利用客戶端小工具選擇運維人員的證書進行登陸�����,證書會標識“自然人”信息����。
4��、密碼橋方案
為了真正做到運維賬號一人一密��,數(shù)據(jù)庫賬號的密碼不暴露����,數(shù)據(jù)庫密碼可定期更換���,以及在同一運維賬號關(guān)聯(lián)多個數(shù)據(jù)庫賬號的情況下可對運維人員進行權(quán)限控制�,DOMS引入“密碼橋”方案��。
什么是密碼橋����?概括來講就是“運維管理Web賬號+密碼”和“數(shù)據(jù)庫賬號+密碼”在DOMS運維管理系統(tǒng)上已提前配置完成并形成映射關(guān)系,此時運維賬號通過數(shù)據(jù)庫連接工具(如sqlplus���、PL/SQL等)登錄數(shù)據(jù)庫���,DOMS會在數(shù)據(jù)庫連接過程中對用戶密碼進行替換(兩套賬號密碼的映射關(guān)系)�,達到使用該數(shù)據(jù)庫實際賬號對應(yīng)的運維賬號登錄數(shù)據(jù)庫的目的�����;同時��,能對運維賬號和密碼匹配的正確與否進行校驗��,也可以對數(shù)據(jù)庫賬號和密碼的正確性進行校驗��。
DOMS運維管理系統(tǒng)配置如下:
例一:指定數(shù)據(jù)庫賬號
Username:zhangsan:crm(zhangsan為運維管理Web賬號��;crm為數(shù)據(jù)庫賬號)
Password:運維賬號密碼
此時�����,zhangsan這個運維賬號經(jīng)過DOMS運維管理系統(tǒng)映射�,使用crm這個數(shù)據(jù)庫賬號訪問數(shù)據(jù)庫,僅需要輸入運維賬號的密碼���,無需輸入數(shù)據(jù)庫賬號crm的真實密碼���,從而達到數(shù)據(jù)庫密碼不對運維人員暴露的效果�。
例二:不指定數(shù)據(jù)庫賬號
以sqlplus為例:此時�,只輸入了運維賬號,DOMS系統(tǒng)會根據(jù)運維賬號找到與其關(guān)聯(lián)的唯一一個數(shù)據(jù)庫賬號進行替換并登錄��。
5���、防繞過方案
針對某些C/S架構(gòu)的業(yè)務(wù)系統(tǒng)�����,特別是醫(yī)療行業(yè),會涉及到大量的客戶端設(shè)備且有大量的動態(tài)IP情況存在���。此時�,無法通過客戶端IP的方式定位到客戶端主機���,對于安裝Ukey的插件來說工作量也比較大����。如果安裝插件,能保障所有設(shè)備都被安裝到么�����?即使安裝了插件�,如果不通過代理地址(DOMS運維管理系統(tǒng))訪問數(shù)據(jù)庫又該如何防護?此外��,在數(shù)據(jù)庫本地操作數(shù)據(jù)庫又要怎樣應(yīng)對�����?
對于以上場景�,安華金和提出“運維訪問防繞過”方案,即利用在數(shù)據(jù)庫的logon觸發(fā)器進行數(shù)據(jù)庫訪問白名單控制:想要訪問數(shù)據(jù)庫的主機設(shè)備���,必須到DOMS系統(tǒng)上進行注冊(包含IP�����、User����、客戶端主機名等)�;注冊后DOMS會對觸發(fā)器的內(nèi)容進行調(diào)整,實現(xiàn)對客戶端與數(shù)據(jù)庫建立連接時的控制。此時�,即使沒有經(jīng)過代理地址(經(jīng)過DOMS的還會有代理層面的控制)的登錄行為,也會被認定為非授信的異常登錄����,從而真正達到只有在授信終端上使用授信客戶端運維工具、運維賬號�����、通過合規(guī)的訪問通道�����,才可以正常對數(shù)據(jù)庫進行運維操作的目的���。
文中介紹的五種技術(shù)路線及解決方案,是在DOMS運維管理系統(tǒng)中對自然人進行識別�、控制,以及對密碼安全性的思考���;在引進權(quán)控方案后���,不會對日常運維工具帶來影響和附加工作,從而讓DOMS運維管理系統(tǒng)成為企業(yè)運維安全可靠的幫手。
產(chǎn)品咨詢:4000 258 365 
