DAS安全审计

审计

• 数据库审计是对数据库访问行为进行监管的系统，一般采用旁路部署的方式，通过镜像或探针的方式采集所有数据库的访问流量，并基本SQL语法、语义的解析技术，记录下数据库的所有访问和操作行为，例如访问数据库的用户(IP、账号、时间)，操作(增、删、改、查)、对象(表、字段)等。数据库审计系统的主要价值有两点，一是：在发生数据库安全事件(例如数据篡改、泄露)后为事件的追瑞定责提供依据；二是，针对数据库操作的风险行为进行时时告警；
• 华为云为企业用户提供了企业版的DAS，在企业版的DAS中所有操作均可进行操作审计，包括：用户登录、SQL查询、数据变更等等；

DAS企业版

• DAS企业版是一种数据库DevOps产品，重视数据库访问和操作安全，以及程序员、DBA、企业管理者之间的沟通和操作，通过变更风险自动识别与权限审批流程的结合，从而保证数据变更安全、提高开发效率。与DAS标准版相比，更适用于企业用户；

特点

• 数据库实例由DBA统一录入一次，开发者不需要知道数据库的用户名和密码；
• 可根据企业自身的业务特点和管理诉求，最细粒度到库级别，针对不同的操作，如数据查询、结构变更等，去自定义不同的审批流程；
• 每个数据库上均定义了一个库Owner的角色，给该库相关的业务主管使用，可以对其他人员访问该库时的权限进行管理；
• 所有操作均可进行操作审计，包括：用户登录、SQL查询、数据变更等等；
• 可灵活定义每个库所允许的单次SQL查询返回的最大行数；
• 做数据变更时，可自动对涉及到改动的行，进行数据备份；
• 自动对变更影响行数进行校验，防止开发人员执行非预期内的SQL语句；
• 可对字段进行敏感性打标、脱敏显示，更进一步保护核心数据；
• 通过审批流程的自定义，DBA可把部分SQL变更权限下放给开发和业务Owner，提高开发效率，让DBA投入更高价值的工作上去；

用户角色

• 角色分类
  • DAS企业版设计了3种人员角色：系统管理员、DBA、普通人员，还有一个库上的业务Owner角色；
• 系统管理员
  • 通常指的是企业的管理员，默认是表示购买开通的这个华为云账号。主要职责是对企业人员进行管理，把企业相关DBA和开发人员的云账号，添加到当前企业中；
• DBA
  • 通常指的是企业的数据库DBA，主要职责是录入实例、定义实例或者库的相关操作的审批流程以及对开发人员的变更工单进行审批；
• 普通人员
  • 通常指的是企业普通开发人员，他们在对企业库做任何操作之前，都需要先申请对应的操作权限，再进行操作；
• 数据库的Owner
  • 即业务方的主管。库属于该业务小组使用，主要职责是对开发人员的权限变更进行审批。
  • Owner、系统角色也是普通用户且该角色负责对开发人员的变更进行审批。

DAS安全审计

• 在企业版DAS安全审计中提供了两项功能，分别是访问控制和操作审计；
• 访问控制
  • 为了提高数据库访问安全防护等级，DAS企业版提供了访问来源IP白名单控制功能；
  • 当开启该功能时，只有在白名单列表里的IP地址才能访问，该功能默认关闭；
• 操作审计
  • 操作审计记录实例、用户、权限申请、访问控制、SQL查询、SQL变更、工单、数据导出导入等操作；
  • 可能通过类型、功能模块、操作时间三个维度进行记录查询；

操作审计

• 实例管理
  • 记录针对实例的一些操作，比如在企业版DAS中录入或删除实例；
• 用户管理
  • 更改用户角色，例如添加DBA、删除DBA、添加普通用户、删除普通用户等；
• 权限申请
  • 权限变更记录，这里的权限指的是库权限、库Owner权限、库DBA权限；
• 访问控制
  • 记录IP白名单的操作，例如新增IP白名单、删除IP白名单；
• SQL窗口
  • 主要用查询操作的记录，需要注意的是，默认是禁止在SQL窗口中进行DML操作，需要在库中设置允许在SQL窗口中进行DML操作，且用户在这个库中拥有变更权限；
• 工单管理
  • 主要记录工单的操作，如创建工单等；
• SQL变更
  • 记录变更流程。企业版增加了流程管控，SQL变更时会校验SQL语句，分析是否属于数据变更、结构变更、高危，还是属于基本运维操作；
  • 对不同的操作类型，可以配置不同的审批流程，审批人操作后才能执行SQL变更；
  • SQL变更需在数据方案里实时；
• 数据导出、大数据导入及其他
  • 数据导出、大数据导入用来记录数据导出和导入的操作；
  • “其他”功能模块记录了用户登录等记录；