在上一期中,主要介绍了数据库面临的风险挑战及数据库为何需要安全审计系统。本期,将围绕星瑞格数据库安全审计系统(Sinoregal dbAudit)的弹性架构部署和特权用户追踪审计两块来进行探讨,包括:Sinoregal dbAudit系统运行架构(SecuCenter、SecuEyes、SecuAgent及SecuLog)、部署 环境、单一设备部署、多设备架构、如何对特权用户进行追踪审计等。
弹性架构部署是Sinoregal dbAudit最典型的一个特点,首先来了解Sinoregal dbAudit的系统运行架构。
dbAudit系统运行架构
Sinoregal dbAudit系统运作架构包括SecuCenter、SecuEyes、SecuAgent及SecuLog Server。
在环境配置上,SecuCenter、SecuEyes和SecuLog Server必须安装在单独的专用计算机上,不能与其他软件共享同一台计算机,以此保护审计数据的安全性与完整性,SecuEyes可以与SecuCenter安装于同一台设备, 并且每个SecuEyes可用于监控一个以上的网络段;而SecuAgent则是外挂在被监控的服务器上,这样可以监控位于同一台计算机上的多个目标数据库实例。
下面,分别对SecuCenter、SecuEyes、SecuAgent及SecuLog Server进行详细介绍。
SecuAgent(本机端代理程序)
主要负责采集数据库服务器的本机操作活动、应用程序活动等,并将收集的数据传输到SecuEyes。 当网络正常的时候,SecuAgent收集到的信息会实时传送给SecuEyes;如果网络异常,SecuAgent收集到的信息会暂存于本机端固定的缓存中,缓存满了则停止收集。
SecuEyes(行为解析器)
采集与解析Web应用系统服务器的访问活动与数据库服务器的访问活动,并将收集的数据传输到SecuCenter,包括:网络封包收集与解析、接收SecuAgent数据与解析。当网络正常的时候,SecuEyes会将信息实时传送至SecuCenter;当网络异常的时候,SecuEyes会将解析后的资料暂存于该设备,等网络正常时,自动回复传送至SecuCenter。SecuEyes可以与SecuCenter安装到同一台设备,也可以独立安装到另外一台设备。
SecuCenter(安全控管中心)
从人、事、时、地、物五大面向对数据库提供审计报表及实时告警通知。通过独家技术,不须修改程序且不须增加额外设备,即可追踪前端Web用户,并将Web User-Web Server-DB Server信息完整串联呈现。SecuCenter可以将传送的信息经过压缩加密及电子签章防涂改处理以后,自动传送至SecuLog Server。
SecuLog Server(历史纪录鉴识系统)
作为调阅历史审计记录的平台,可外接外部磁盘扩增资料存储空间。并支持以FTP、SFTP进行第三点资料备份。
弹性部署让客户拥有更多的选择
Sinoregal dbAudit组件分为SecuCenter、SecuEyes和SecuLog Server。SecuEyes接收和解析网络封包,处理过后传送给SecuCenter,再由SecuCenter对数据进行二次加工、落地存储与报表和告警处理展示。Sinoregal dbAudit架构灵活,可以根据实体网络环境弹性部署,满足任何审计需求场景。Sinoregal dbAudit也提供SecuLog Server存储历史记录数据,使用户可以并行查询当前和历史审计日志。
Sinoregal dbAudit可依据网络架构及主机环境, 弹性搭配Sniffer或Agent模式的监控模式, 将对数据库效能影响降到最低。
网络旁路镜像采集:通过网络交换机旁路镜像收集网络端数据库访问行为
本机端代理程序(Agent)采集:通过安装本机端代理程序收集数据库本机端的访问行为
两种监控模式可根据实际需求弹性搭配,做到全面监控不遗漏。
用户在部署完Sinoregal dbAudit以后,即可开始对数据库进行审计工作,我们先看一下dbAudit是如何对特权用户进行追踪审计的。
特权用户追踪审计
用户要执行Sinoregal dbAudit的特权用户追踪审计这个功能,需要安装SecuAgent在数据库服务器端,运行后可以采集特权用户登入到服务器端执行的命令, 除了审计数据库用户名外, 还可以追踪到相应的os用户,当用户隐藏身份时,执行查找记录就可以分辨是否为真实的原始用户身份,如下:
执行记录即可分辨是否为自动程序(cron job)或是人为执行,如下图:
特权用户追踪可找到原始真实用户身份,执行程序名称与OS指令,通过终端机信息即可判定是否为人为登入执行,如下图:
在特权用户追踪审计这个功能里面,管理者还可以利用数据库程序ID追查此用户登入服务器端后所执行的SQL语句,如下图:
总结
对于特权用户追踪审计,Sinoregal dbAudit提供代理程序安装于数据库服务器端,可监控特权用户登入数据库服务器本机端的操作行为,并可配置安全策略,即时发现提权、越权、高危命令;特权用户包含数据库管理人员、网络管理人员、外包服务人员等。
本期,主要为大家介绍Sinoregal dbAudit的部署方式及特权用户追踪审计两大特点,下期,我们将为大家介绍Sinoregal dbAudit的多层审计及Web user matching和违规行为自动预警,敬请期待!
