前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >让数据库运维审计安全无死角

让数据库运维审计安全无死角

原创
作者头像
尚思卓越
发布2023-11-23 15:25:27
2280
发布2023-11-23 15:25:27
举报
文章被收录于专栏:用户10793914的专栏

是谁修改了我的数据,动了我那些数据?

什么时候操作的?都有那些资产被修改了?

登录和修改得到批准了吗?如何获取到这个权限账号的?

针对以上问题,光有日志审计是完全不够的,无法及时定位故障点和追溯。而使用专业的数据库审计产品又缺乏对运维人员的审计,于是数据库运维审计产品成为最佳选择。

一、 行为监管与记录

数据库运维审计是针对管理员、操作员访问数据库的行为进行监管与记录,包括操作行为所对应的操作对象、操作账户、操作时间、操作内容等相关信息,用以监控操控行为,并对发生的威胁事件进行溯源与追责。

数据库审计有多种方法,如报表审计、命令审计、语句审计、对象审计等,审计日志对不同审计人员的价值不同,针对不同用户的权限制定相对应的审计策略,同时从特定角度呈现相关信息才能输出高效的审计结果,降低系统的潜在风险。

二、 五个关键点

1、 账号统一管理

首先采集数据中心所有数据库内账号密码,通过尚思特权系统PAM进行统一管理,定期改密巡检来消除账号风险。

2、 访问控制

相关人员在维护数据库前必须申请自己的访问对象(数据库实例/端口/账号/…),批准之后方可通过数据库运维审计系统进行访问,以此对维护行为进行记录,避免越权访问、权限滥用等风险。

3、 单点登录

维护不同的数据库需要用到不同的客户端,理论上使用人员禁止直接登录系统后台访问。以MySQL为例,有些人员在维护时习惯使用Nait工具,有的则习惯在命令行直连。因此,在使用人员选择要维护的数据库实例后,数据库运维审计自动完成客户端或者命令行工具的登录过程。

4、 操作完整审计

通过独有的技术手段,在不影响性能的情况下解析出流量中的SQL语句。针对目标用户行为、系统命令等事件,进行细粒度的语句解析,并根据审计人员需求生成审计报表。

5、 运维过程中的访问控制

在运维过程中,存在绕过访问权限的风险。以Oracle为例,通常使用人员习惯用PL/SQL工具进行运维,在连接上目标数据库实例后,使用人员理论上可以通过PL/SQL工具二次连接到其他的数据库实例,从而绕过。诸如此类的安全风险问题,通过权限上收、账号密码上收,不给使用人员下发数据库账号密码,只分配运维审计系统账号,这样使用人员只能通过运维审计系统登陆从而实现访问控制。

数据库审计过程中,一方面需要保证审计的完整性和准确性,另一方面,也需要确保数据本身的安全性。在诸如医院收银系统等存取敏感信息的数据库中,安全要求非常严格。运维安全审计产品满足网络安全法、等保2.0以及其它政策法规,剔除繁琐的操作和降低维护成本的同时,保证数据的可靠性和安全性。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据安全审计
腾讯云数据安全审计(Data Security Audit)是一款基于人工智能的数据库安全审计系统,可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航,是企业的等保合规利器。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档