虛擬化平臺(tái)和傳統(tǒng)網(wǎng)絡(luò)環(huán)境共存,應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器要在混合云平臺(tái)進(jìn)行數(shù)據(jù)庫(kù)審計(jì)����,就要區(qū)別于傳統(tǒng)的部署方式,本文以vSphere虛擬平臺(tái)為例���,對(duì)數(shù)據(jù)庫(kù)審計(jì)在混合虛擬化平臺(tái)上的部署進(jìn)行實(shí)踐探討�����。
一��、傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品在虛擬化平臺(tái)下的局限性
虛擬化能夠應(yīng)對(duì) IT 部門面臨的最緊迫難題:基礎(chǔ)架構(gòu)無(wú)序擴(kuò)張��,迫使 IT 部門將其 70% 的預(yù)算用于維護(hù)�����,而只留下很少的資源用于業(yè)務(wù)發(fā)展創(chuàng)新����。
這一困難源于當(dāng)今 x86 服務(wù)器的體系結(jié)構(gòu):它們的設(shè)計(jì)使其在同一時(shí)間只能運(yùn)行一個(gè)操作系統(tǒng)和應(yīng)用����。這樣一來(lái),即使是小型數(shù)據(jù)中心也必須部署大量服務(wù)器,而每臺(tái)服務(wù)器的容量利用率只有 5% 到 15%�����,無(wú)論以哪種標(biāo)準(zhǔn)來(lái)看�����,都是十分低效的����。
虛擬化軟件可使多個(gè)操作系統(tǒng)和應(yīng)用運(yùn)行在一臺(tái)物理服務(wù)器(即“主機(jī)”)上,從而解決這一問(wèn)題����。每個(gè)功能完備的虛擬機(jī) (VM) 都與其他虛擬機(jī)相隔離,并可根據(jù)自身需要使用主機(jī)計(jì)算資源����。
虛擬化實(shí)施前�����,很多單位已經(jīng)有一定的信息化基礎(chǔ)����,在已有的軟硬件網(wǎng)絡(luò)條件下逐步在引入虛擬化��,即部分應(yīng)用系統(tǒng)部署在虛擬化環(huán)境下�,其他部分仍然是傳
統(tǒng)的應(yīng)用和數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)環(huán)境��。虛擬化平臺(tái)下數(shù)據(jù)庫(kù)審計(jì)是實(shí)現(xiàn)安全合規(guī)必不可少的設(shè)備���,而傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)技術(shù)在新的虛擬化平臺(tái)下存在一定的局限性����。
二��、傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的審計(jì)原理
傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品是通過(guò)交換機(jī)鏡像數(shù)據(jù)庫(kù)訪問(wèn)流量����,通過(guò)SQL協(xié)議分析,實(shí)時(shí)記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)活動(dòng)��。端口鏡像存在諸多限制條件:
部署的節(jié)點(diǎn)位置�����,必須支持端口鏡像功能����,并且有空閑的端口作為觀測(cè)端口�����。
滿足以上條件�����,則可以使用端口鏡像的旁路模式部署數(shù)據(jù)庫(kù)安全審計(jì)設(shè)備���。
端口鏡像旁路模式的部署點(diǎn)可以在各個(gè)部門出口交換機(jī)上,也可以部署在數(shù)據(jù)庫(kù)前端交換機(jī)上����,建議部署在數(shù)據(jù)庫(kù)前端。
三��、虛擬化平臺(tái)下數(shù)據(jù)庫(kù)服務(wù)器的模式
(1)應(yīng)用虛擬化����,但數(shù)據(jù)庫(kù)未虛擬化。
這種情況下數(shù)據(jù)庫(kù)與在虛擬化平臺(tái)的應(yīng)用通過(guò)交換機(jī)相連提供服務(wù)�����,數(shù)據(jù)庫(kù)訪問(wèn)可以在交換機(jī)上設(shè)置流量鏡像�����,輸出到審計(jì)設(shè)備上��。
(2)應(yīng)用虛擬化�����,數(shù)據(jù)庫(kù)也虛擬化��,但分別在兩臺(tái)主機(jī)下����。
如果在兩臺(tái)主機(jī)下,應(yīng)用和數(shù)據(jù)庫(kù)之間也可以通過(guò)在交換設(shè)備上鏡像流量����,實(shí)現(xiàn)數(shù)據(jù)庫(kù)的操作審計(jì)。
(3)應(yīng)用虛擬化�,數(shù)據(jù)庫(kù)也虛擬化,應(yīng)用與數(shù)據(jù)庫(kù)在一個(gè)主機(jī)下���。
此時(shí)�,應(yīng)用到數(shù)據(jù)庫(kù)訪問(wèn)是不通過(guò)網(wǎng)絡(luò)硬件設(shè)備的,傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)無(wú)法采用在交換機(jī)鏡像流量的方式實(shí)現(xiàn)數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議分析��。
因此���,第(1)和(2)兩種情況傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品都能夠兼容��,第(3)種模式下網(wǎng)絡(luò)流量是在虛擬平臺(tái)內(nèi)流轉(zhuǎn)的����,無(wú)法通過(guò)物理交換機(jī)獲得�����。
四����、對(duì)于虛擬化平臺(tái)模式下數(shù)據(jù)庫(kù)審計(jì)解決方案
(1)軟件版數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品
企業(yè)用戶可能用到的混合虛擬化平臺(tái)管理系統(tǒng)有如下圖所示。
918搏天堂數(shù)據(jù)庫(kù)安全實(shí)驗(yàn)室以vmware虛擬化平臺(tái)進(jìn)行實(shí)驗(yàn)后����,獲得如下實(shí)踐結(jié)果。
數(shù)據(jù)庫(kù)審計(jì)作為一個(gè)安裝在虛擬機(jī)的應(yīng)用�����,通過(guò)虛擬平臺(tái)的軟交換,進(jìn)行網(wǎng)絡(luò)流量鏡像�����,將數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品結(jié)合到虛擬環(huán)境中的部署圖如下圖所示����,�����,在虛擬
環(huán)境下面�,運(yùn)行著三套應(yīng)用系統(tǒng)APP1、APP2���、APP3����,以及其對(duì)應(yīng)的后臺(tái)數(shù)據(jù)庫(kù)DB1�����、DB2���、DB3�����。DBAudit為部署了數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品的虛
擬機(jī)�,所有設(shè)備通過(guò)vSphere Distributed Switch進(jìn)行網(wǎng)絡(luò)通訊。
ESXi在整個(gè)vSphere虛擬環(huán)境下的位置圖918搏天堂數(shù)據(jù)庫(kù)安全實(shí)驗(yàn)室在vSphere搭建的實(shí)驗(yàn)環(huán)境如下:
在vSphere Distributed
Switch上面可以通過(guò)使用端口鏡像�����,使得所有訪問(wèn)目標(biāo)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)流量�����,鏡像到DBAudit審計(jì)服務(wù)器的數(shù)據(jù)采集端口��。在下圖描述的環(huán)境中�����,只要配
置將PORT2�����,PORT5和PORT7的數(shù)據(jù)鏡像至PORT8,那么DBAudit審計(jì)服務(wù)器即可獲取到訪問(wèn)三臺(tái)數(shù)據(jù)庫(kù)虛擬機(jī)的流量�����。
DBAudit審計(jì)服務(wù)器通過(guò)鏡像端口Port 8 �,進(jìn)行數(shù)據(jù)采集的工作。同時(shí)��,該虛擬設(shè)備通過(guò)Port 9��,提供對(duì)外的訪問(wèn)及管理���,用戶可以對(duì)DBAudit進(jìn)行配置和管理。
如果其他虛擬機(jī)通過(guò)vSphere Distributed Switch單獨(dú)劃分為獨(dú)立的網(wǎng)段�����,各網(wǎng)段彼此之間不能連通�����,需要在每個(gè)網(wǎng)段里單獨(dú)部署一套數(shù)據(jù)庫(kù)審計(jì)��,而不能在不同網(wǎng)段中共享一套�����。
(2)通過(guò)數(shù)據(jù)庫(kù)本地代理
在虛擬化平臺(tái)中的數(shù)據(jù)庫(kù)服務(wù)器虛擬機(jī)上安裝本地代理,通過(guò)本地代理將流量發(fā)送給硬件的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品�。
(3)比較這兩種方式的優(yōu)劣性:
方式(2)需要在數(shù)據(jù)庫(kù)所在操作系統(tǒng)上安裝軟件,由此引發(fā)穩(wěn)定性故障��;
方式(2)會(huì)引起網(wǎng)絡(luò)流量加大����,網(wǎng)絡(luò)拓?fù)鋸?fù)雜,安全體系漏洞大����。(如,從數(shù)據(jù)庫(kù)服務(wù)器向外寫數(shù)據(jù)��,在通常的防火墻安全策略中是禁止的�。)
五、結(jié)束語(yǔ)
918搏天堂數(shù)據(jù)庫(kù)安全實(shí)驗(yàn)室以vmWare虛擬化平臺(tái)為例����,采用軟件版數(shù)據(jù)庫(kù)審計(jì)在虛擬化平臺(tái)下進(jìn)行部署,區(qū)別于傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)設(shè)備通過(guò)物理交換機(jī)
鏡像流量的的方式����,通過(guò)vSphere Distributed
Switch鏡像流量����,同時(shí)還要面對(duì)虛擬化平臺(tái)下不同數(shù)據(jù)庫(kù)服務(wù)器的模式特點(diǎn)進(jìn)行部署實(shí)踐���。
產(chǎn)品咨詢:4000 258 365 
