隨著越來越多的企業(yè)用戶將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至虛擬化環(huán)境或是云服務(wù)商提供的云平臺，數(shù)據(jù)的泄露及篡改風(fēng)險變的越發(fā)嚴(yán)峻，針對數(shù)據(jù)安全的防護(hù)以及事后審計追溯也變得越來越困難。究其原因，主要是傳統(tǒng)的數(shù)據(jù)庫審計解決方案是通過旁路分析目標(biāo)被審計數(shù)據(jù)庫鏡像的流量，而虛擬化環(huán)境或者云平臺由于內(nèi)部的虛擬交換機(jī)(Vswitch)流量很難鏡像或者無法鏡像，因此傳統(tǒng)的數(shù)據(jù)庫審計解決方案不足以應(yīng)對虛擬化和云平臺的數(shù)據(jù)庫審計需求。

首先我們對虛擬化及云平臺環(huán)境中，傳統(tǒng)的數(shù)據(jù)庫審計解決方案在典型的幾種場景下的優(yōu)缺點進(jìn)行解析：

場景一：應(yīng)用和數(shù)據(jù)庫的虛擬主機(jī)不在同一臺物理機(jī)器上

如下圖所示這種情況下的應(yīng)用和數(shù)據(jù)庫虛擬主機(jī)不在同一臺物理機(jī)器上，對傳統(tǒng)數(shù)據(jù)庫審計來說，可以采用傳統(tǒng)方式直接鏡像數(shù)據(jù)庫服務(wù)器所在的物理宿主主機(jī)(物理機(jī)器4)網(wǎng)卡的流量，完成對目標(biāo)數(shù)據(jù)庫的審計，缺點是需要將虛擬機(jī)流量全部鏡像過去，同時可能會導(dǎo)致一些無需審計的主機(jī)的數(shù)據(jù)的泄露，這是這種解決方案最大的一個風(fēng)險。

場景二：應(yīng)用和數(shù)據(jù)庫的虛擬主機(jī)在同一臺物理機(jī)器上

針對應(yīng)用和數(shù)據(jù)庫在同一臺物理機(jī)器上，應(yīng)用和數(shù)據(jù)庫的交互過程通過內(nèi)部的Vswitch進(jìn)行了流量轉(zhuǎn)發(fā)，流量并不通過所在的物理機(jī)器的宿主主機(jī)網(wǎng)卡，因此采用傳統(tǒng)的鏡像流量根本無法鏡像，如下圖所示：

針對這種情況傳統(tǒng)數(shù)據(jù)庫解決方案有三種方法解決：

a、 虛擬機(jī)虛擬網(wǎng)卡綁定物理網(wǎng)卡

要求宿主主機(jī)有多個物理網(wǎng)卡，每個物理網(wǎng)卡和上層交換機(jī)直連，虛擬機(jī)層面在安裝時可以指定將虛擬網(wǎng)卡綁定在對應(yīng)的宿主主機(jī)的物理網(wǎng)卡上，然后使用傳統(tǒng)的鏡像方式鏡像物理網(wǎng)卡的流量完成審計，這種缺點非常明顯，要求物理服務(wù)器要有多個網(wǎng)卡，實際上大部分PC服務(wù)器只有不超過1-4個網(wǎng)卡端口，大部分物理機(jī)器上虛擬了幾十個虛擬機(jī)，因此，在實際部署上并沒有那么多網(wǎng)卡可供綁定，存在諸多限制，實際上并無法實施。

b、在VDS上配置流量鏡像

Vmware ESX在最新版本中推出的功能，將某虛擬機(jī)網(wǎng)卡流量通過GRE封包，直接通過TCP協(xié)議發(fā)送到某個IP地址上(數(shù)據(jù)庫審計設(shè)備)，數(shù)據(jù)庫審計設(shè)備接收GRE數(shù)據(jù)包完成審計，但是這種解決方案的缺點如下：

◆Vmware版本及VDS(分布式虛擬交換機(jī))，據(jù)官方技術(shù)資料只有Vmware 5.5以上版本才支持，目前客戶現(xiàn)場主流的4.x、5.0、5.1等版本都不支持，其他非Vmware虛擬化環(huán)境就更不支持，因此針對大部分客戶現(xiàn)場環(huán)境實際并不支持部署。

◆通過GRE封裝做流量鏡像對宿主主機(jī)的物理網(wǎng)卡性能影響非常嚴(yán)重，所有鏡像流量都要通過宿主主機(jī)的物理網(wǎng)卡進(jìn)出，極大影響了物理網(wǎng)卡的性能。

◆VDS屬于虛擬交換機(jī)，其對數(shù)據(jù)包的處理完全依賴于CPU，并不像傳統(tǒng)交換機(jī)靠硬件進(jìn)行流量轉(zhuǎn)發(fā)，因此對宿主主機(jī)的CPU資源占用也非常嚴(yán)重，極大的降低了宿主主機(jī)的性能。

c、 開啟流量廣播

這種方式目前是最主流的方式，將數(shù)據(jù)庫審計以虛擬機(jī)的方式部署在對應(yīng)的宿主主機(jī)，當(dāng)做宿主宿主機(jī)的一個虛擬機(jī)看待，然后開啟Vmware的流量廣播功能，每個虛擬機(jī)都將收到Vswitch上每個端口通信的IP流量，因此DB審計設(shè)備只需要采集其虛擬網(wǎng)卡上的流量就可以采集到目標(biāo)數(shù)據(jù)庫服務(wù)器的流量，只需要在采集階段過濾掉其他流量即可完成審計，如下圖所示：

這種解決方案的缺點也非常明顯：

◆開啟流量廣播雖然大部分Vswitch都支持，但是這種方式就好比早期的Hub一樣，tcp通信能力將明顯降低，嚴(yán)重影響整體網(wǎng)絡(luò)傳輸?shù)臅r延及可靠;

◆DB審計可以采集到所有虛擬機(jī)的流量，其他虛擬機(jī)一樣也會采集到所有的流量，這些流量里肯定包含很多未加密的敏感數(shù)據(jù)如用戶名、密碼等，假設(shè)這些虛擬機(jī)中有一臺機(jī)器被入侵或者非法利用，這樣會帶來極大的安全問題。

場景三：應(yīng)用和數(shù)據(jù)庫的虛擬主機(jī)隨機(jī)的分配在一個虛擬化集群的某個主機(jī)上

這種場景其實是場景一和場景二的結(jié)合，目前大部分客戶為了避免單一硬件的故障，基本上都采用虛擬化集群的方式實現(xiàn)企業(yè)的虛擬化，當(dāng)碰到單一硬件的故障，虛擬機(jī)會在整個硬件虛擬化資源池中自動遷移，具體遷移到哪臺物理主機(jī)上并不確定，因此傳統(tǒng)的鏡像方式并不能確定虛擬主機(jī)此刻在哪個交換機(jī)上，如下圖所示：

因此在這種場景下同樣無法做鏡像，只能把虛擬化集群所有主機(jī)的流量全部鏡像出來，這種缺點也非常明顯：

◆當(dāng)出現(xiàn)業(yè)務(wù)和DB在遷移到同一個物理機(jī)器上時，其實并沒有流量，實質(zhì)上審計不到任何數(shù)據(jù)，這個時候是存在嚴(yán)重的漏審計;

◆虛擬化集群涉及的機(jī)器比較多，流量非常大，網(wǎng)絡(luò)可能也比較復(fù)雜，傳統(tǒng)的鏡像方式很難在實際中進(jìn)行配置，因此很難實施;

場景四：應(yīng)用和數(shù)據(jù)庫分別托管部署在完全獨立的第三方云計算平臺

場景四是場景三的一種延伸與擴(kuò)大，場景四主要指目前主流的第三方云平臺提供商如阿里云、亞馬遜、騰訊云、華為云、百度云等等，底層的硬件、存儲、網(wǎng)絡(luò)等等都對用戶不透明，上層的虛擬機(jī)具體在哪個物理硬件服務(wù)器上，連接哪個物理交換機(jī)，用戶一概不知道，如下圖所示：

因此要用傳統(tǒng)方式配置鏡像，基本上沒有可能，云平臺提供商并不會提供底層資源的控制權(quán)給云主機(jī)租戶，因此對這種場景的數(shù)據(jù)庫要進(jìn)行審計，傳統(tǒng)數(shù)據(jù)庫審計解決方案將徹底無能為力。

綜上所述，在虛擬化和云環(huán)境平臺中，只有場景一，傳統(tǒng)的數(shù)據(jù)庫審計解決方案勉強(qiáng)可以解決。針對場景二傳統(tǒng)數(shù)據(jù)庫審計解決方案基本上是不支持，部分情況即使支持也是有非常明顯的缺點及種種環(huán)境的限制，針對場景三、場景四傳統(tǒng)的解決方案直接是無法支持。

針對虛擬化環(huán)境和云平臺中的數(shù)據(jù)庫審計難題，安恒信息推出了全新架構(gòu)的虛擬化云環(huán)境Agent代理審計解決方案。通過在虛擬主機(jī)上部署Agent，以不變應(yīng)萬變，全面支持以上描述的四種典型場景，這種解決方案由Agent對數(shù)據(jù)庫的請求行為直接進(jìn)行處理，處理完成之后由Agent直接將數(shù)據(jù)發(fā)給采集器統(tǒng)一檢測、告警、存儲及挖掘分析，徹底解決了各種虛擬化、云環(huán)境數(shù)據(jù)庫無法審計的難題。具體部署拓?fù)鋱D如下圖所示：

本解決方案有以下優(yōu)點：

◆全面支持所有虛擬化環(huán)境和云環(huán)境的數(shù)據(jù)庫安全審計，不區(qū)分業(yè)務(wù)部署架構(gòu)、底層虛擬化軟件架構(gòu)和底層的網(wǎng)絡(luò)架構(gòu)，不依賴傳統(tǒng)的交換機(jī)流量鏡像;

◆支持部署在虛擬化環(huán)境中所有的Linux 2.6以上內(nèi)核版本、及windows2003、2008、2012等版本;

◆支持主流的Oracle、SQL Server、DB2、Sybase、Mysql、Lnformix等數(shù)據(jù)庫，同時支持達(dá)夢、人大金倉、Oscar、Gbase等國產(chǎn)數(shù)據(jù)庫，還支持cache、teradata、postgresql等數(shù)據(jù)庫的審計;

◆部署簡單，支持一鍵安裝;

◆對虛擬主機(jī)的性能影響可以忽略不計，經(jīng)實際阿里云環(huán)境虛擬主機(jī)測試，DB服務(wù)器流量在120Mb以內(nèi)，agent對目標(biāo)服務(wù)器的性能影響在3-8%之內(nèi)。

隨著虛擬化、云計算技術(shù)的不斷成熟，業(yè)務(wù)遷移到云端也是不可逆的趨勢，未來將會有越來越多的企業(yè)、政府、個人用戶將應(yīng)用系統(tǒng)及數(shù)據(jù)庫逐漸遷移到自主搭建的私有云中，或者是第三方服務(wù)商提供的公有云平臺中，企業(yè)、政府的核心敏感數(shù)據(jù)托管在云環(huán)境中，面臨著各種竊取、篡改的威脅，數(shù)據(jù)的安全審計將越發(fā)重要，傳統(tǒng)的數(shù)據(jù)庫審計產(chǎn)品將逐步被下一代數(shù)據(jù)庫審計產(chǎn)品所替代，安恒明御數(shù)據(jù)庫審計產(chǎn)品將繼續(xù)作為行業(yè)的領(lǐng)導(dǎo)者，在虛擬化、云計算時代繼續(xù)為用戶的數(shù)據(jù)庫安全審計保駕護(hù)航。

更多信息請查看IT技術(shù)專欄