如何選擇適合的數據庫本地訪問審計技術？ - 網絡安全

數據庫運維人員(DBA)在開展日常運維工作的過程中，因操作環境和規范要求的不同，其訪問數據庫的方式也相對靈活——既可以通過網絡遠程訪問，也可以進行本地訪問。那么問題來了...

什么是數據庫本地訪問?

簡單描述，就是在一臺主機上同時運行應用/客戶端和數據庫系統的操作行為。

行為1：本地回環訪問

行為2：本地IPC訪問

需要強調的是：由于本地IPC訪問是進程間通訊，不產生流量，因而常規審計技術無法完成此類審計工作。針對這種DBA常用的本地訪問行為，為確保數據庫及數據的安全，需要一種能夠進行完整、高準確度的審計技術支撐!

針對本地IPC訪問行為，目前可以采用的審計技術為：SSH審計(遠程登錄審計的一種方式)和本地審計。下文從完整性、準確性、IT環境影響、兼容數據庫四個方面，對SSH審計技術和本地審計技術進行了對比分析。

DBA在進行本地訪問時，常會用到多種方式登錄數據庫服務器，執行的命令也呈現多樣化。正因如此，完整捕獲運維人員的全部操作及相關數據信息，確保審計工作無漏審、不被繞過，已成為當前客戶選擇審計產品時的一項重要技術指標。

通過捕獲SSH工具上的數據通訊包進行審計，會出現流量被繞過和漏審的問題。

(1)SSH審計被繞過：因捕獲到的流量僅為通過SSH工具的流量，會出現被繞過的問題。

場景示例1：SSH審計被繞過

(2)SSH審計漏審：因捕獲到的流量僅為交互時發出的命令及屏幕回顯信息，會出現審計信息的缺失。

場景示例2：SSH審計漏審

DBA通過SSH登錄到數據庫服務器后執行運維SQL腳本，如果此時腳本不向屏幕輸出SQL語句，那么使用SSH審計就只能捕獲執行結果，卻無法捕獲所執行的SQL語句，從而出現漏審問題。

在客戶端程序通訊過程中，采用插件技術獲取share memory和IPC的通信內容，有效避免了漏審或被繞過的情況發生，從而實現面向本地訪問方式的完整審計。

在運維場景中，使用客戶端工具運維數據庫時，客戶端返回的結果集數據往往是由符號“+”、“_”、“|”在命令行終端畫出的簡易表格。在SQL解析時，如果不能對結果集中包含的特定字符與終端制表符號進行準確區分，就會導致解析不準確，最終影響審計的準確度。

若在結果集中包含了“|”等特定字符，就可能在協議解析時與終端制表符號混淆，導致解析不準確。

獲取通訊包流量，并基于精準協議對通訊包流量進行解析，不涉及與終端制表符號混淆的問題。

數據庫審計產品作為第三方數據庫安全產品，不應對數據庫IT環境產生影響。

由于SSH是加密協議，要做SSH審計就需要具備解密SSH通信的技術能力。目前，業界采取的各類方式對數據庫IT環境都有較大影響，具體情況如下：

旁路解析：DBA在抓取SSH流量后對其進行解密和分析，需要獲取服務端的公鑰和私鑰，對網絡環境的安全性存在較大影響。需要注意的是，SSH協議常用的加密算法有RSA算法和DH算法。其中，DH算法應用動態交換密鑰，生成共享密鑰。在目前情況下，SSH審計技術無法保證能夠破解此密鑰。

SSH嗅探：該方式通過在數據庫服務器上駐留一個特權用戶(如root用戶)創建監聽進程，以監聽此服務器上的全部SSH連接，從而獲取數據庫的操作信息，該方式存在一定的安全漏洞。

不改變客戶原有的行為習慣和網絡環境，不會對數據庫網絡環境安全造成影響。

對于數據庫本地行為審計，應考慮其是否適配數據庫本身。在這方面，SSH審計和本地審計均可適配當前主流的數據庫及操作系統。

通過SSH協議進行審計，不需要適配數據庫，所以支持的數據庫會更加全面;操作系統方面，除不支持Windows系統上的SQL Server數據庫審計之外，一般情況下都不需要適配。

可根據不同的數據庫類型/版本、不同的本地訪問方式，以及所使用客戶端情況等進行適配。目前，本地審計產品需考慮適配國內外主流數據庫及Linux、Unix、Windows等操作系統(特殊類型/版本的數據庫及操作系統還需進一步適配)。