2023年8月1日发(作者:)
【数据库审计】旁路式与植⼊式数据库审计技术有何差别在⽇渐⽕热的数据库安全领域,数据库审计应该是应⽤最为⼴泛,⽤户接受度最⾼的产品了,没有之⼀。本⽂将对⽬前数据库审计市场上的两类技术路线进⾏分析,从使⽤效果出发,浅析两者在各维度的审计效果上存在哪些差异,呈现产品真正能实现的功能和价值。希望能为⼴⼤⽤户在数据库审计产品的选型上提供参考依据。概括来讲,两类数据库审计的技术路线区别,根本来⾃于两者的部署⽅式、获取数据库访问记录的途径不同以及SQL解析⽅式不同,审计效果⾃然不同。旁路式VS植⼊式从5个衡量维度看技术路线的差异衡量两种技术路线的差异,可以从两类产品在真实测试中的功能表现上能够更直观的呈现。下⾯从5个主要的衡量维度来看基于两类技术路线的审计效果表现,这⼏个维度也是业内对专业数据库审计产品评判中普遍遵循的主要衡量指标。1. 审计结果全⾯性的表现旁路式:通过镜像流量或探针的⽅式进⾏全流量采集,基于全量数据库流量进⾏语句和会话分析,再通过对sql语句的协议解析,能够审计到客户端信息,返回结果集。这种采集⽅式⾸先对数据库类型不挑剔,均可⽀持,并且能够审计到普通⽤户和超级⽤户的访问⾏为。植⼊式:属于注册代理程序的“侵⼊式”审计,利⽤数据库的⾃审计插件(如Oracle的FGAC插件),读取数据库⾃审计⽇志,依赖的是数据库⾃⾝审计能⼒,这⾥有⼀个很⼤的问题,如果数据库⾃⾝不具备审计能⼒,那么这类数据库审计产品就⽆法⽀持对此类型数据库的审计;并且,数据库⾃审计功能⼀般只提供增、删、改、查语句和部分数据定义语句,⽆法提供全操作类型的审计,也⽆法完整审计结果集。不过从另⼀个⾓度来看,植⼊⽅式也有其亮点——本地操作的审计,这些不通过⽹络的流量,传统的流量镜像⽅式捕获不到,不过旁路式的审计,也可以通过增加rmagent,实现这项功能。1. 审计结果准确性的表现前⾯提到,两者对数据库访问的采集⽅式不同,这决定了两者在审计结果准确性上的差异表现。旁路式:由于是基于全流量的审计,如果能配合sql语句的协议解析和特征捕获等技术,可以准确关联语句和会话,进⾏精确的审计结果查询分析能⼒;准确关联应⽤⽤户与SQL语句,这样可以实现对业务⾏为的审计。在此基础上形成的规则库,也能够更准确的识别风险访问及漏洞攻击⾏为。植⼊式:由于是基于正则表达式完成SQL语句规则,⽆法基于通讯协议解析命中语句规则,在实际⼯作中,会导致语句和会话⽆法关联,不能按照会话进⾏语句梳理汇总,那么会缺乏连贯分析能⼒;并且,由于不是基于流量和协议的SQL语句解析,对于⽬前⽤户普遍要求的应⽤关联审计,也⽆法实现。1. 检索及⼊库速度的表现基于SQL语句的获取⽅式不同,两者在检索及⼊库速度⽅⾯也会存在差异表现。植⼊式:由于原始审计信息是记录在数据库中的,需要定期获取到审计设备上,这其中可能产⽣较⼤的延迟。另⼀⽅⾯,开启数据库⾃审计功能本⾝会占⽤⼤量内存,如果遇到⾼压⼒并发的情况,会拖慢数据处理能⼒,连累正常业务访问。旁路式:旁路镜像流量的⽅式对应⽤到数据库的访问完全透明,不会产⽣影响,这也是⽬前市⾯上⼤多数审计⼚商如安华⾦和等,选择旁路镜像⽅式,配合精确SQL解析技术来实现审计⾼可⽤性的主要原因之⼀。1. 关于存储空间的占⽤表现旁路式:由于是镜像⽅式获取流量,对于审计产品本⾝的存储优化能⼒有⼀定要求,但不会影响数据库服务器本⾝的存储空间,需要考量对⽐的是产品本⾝能否提供归⼀化技术和压缩存储技术,以节约存储空间。植⼊式:由于需要开启⾃审计功能,需要占⽤⼤量数据库本⾝的存储空间,如果同时缺乏SQL归⼀技术,那么在⼤数据处理情况下,数据库本⾝的硬盘空间就会⾮常紧张。1. 产品易⽤性⽅⾯的表现两者在配置和操作的易⽤性⽅⾯也存在较⼤差异。植⼊式:数据库审计产品在注册实例的时候,需要⼿⼯输⼊IP端⼝数据库实例,还需要sys⽤户及⼝令,向数据库中注册⽤户及程序。另⼀⽅⾯,如果是基于正则式的规则配置,需要数据库管理⼈员具备⼀定的技术能⼒,深度参与规则和策略的配置定义。旁路式:由于是基于数据库流量的语句语法解析,可以⾃动识别并添加审计数据库;更专业的产品应能够基于解析结果,从风险、语句、会话三个维度进⾏深度解析,维度之间相互关联、多重钻取分析,这样⽤户可以对数据库的整体安全状态有更直观的判断。
2023年8月1日发(作者:)
【数据库审计】旁路式与植⼊式数据库审计技术有何差别在⽇渐⽕热的数据库安全领域,数据库审计应该是应⽤最为⼴泛,⽤户接受度最⾼的产品了,没有之⼀。本⽂将对⽬前数据库审计市场上的两类技术路线进⾏分析,从使⽤效果出发,浅析两者在各维度的审计效果上存在哪些差异,呈现产品真正能实现的功能和价值。希望能为⼴⼤⽤户在数据库审计产品的选型上提供参考依据。概括来讲,两类数据库审计的技术路线区别,根本来⾃于两者的部署⽅式、获取数据库访问记录的途径不同以及SQL解析⽅式不同,审计效果⾃然不同。旁路式VS植⼊式从5个衡量维度看技术路线的差异衡量两种技术路线的差异,可以从两类产品在真实测试中的功能表现上能够更直观的呈现。下⾯从5个主要的衡量维度来看基于两类技术路线的审计效果表现,这⼏个维度也是业内对专业数据库审计产品评判中普遍遵循的主要衡量指标。1. 审计结果全⾯性的表现旁路式:通过镜像流量或探针的⽅式进⾏全流量采集,基于全量数据库流量进⾏语句和会话分析,再通过对sql语句的协议解析,能够审计到客户端信息,返回结果集。这种采集⽅式⾸先对数据库类型不挑剔,均可⽀持,并且能够审计到普通⽤户和超级⽤户的访问⾏为。植⼊式:属于注册代理程序的“侵⼊式”审计,利⽤数据库的⾃审计插件(如Oracle的FGAC插件),读取数据库⾃审计⽇志,依赖的是数据库⾃⾝审计能⼒,这⾥有⼀个很⼤的问题,如果数据库⾃⾝不具备审计能⼒,那么这类数据库审计产品就⽆法⽀持对此类型数据库的审计;并且,数据库⾃审计功能⼀般只提供增、删、改、查语句和部分数据定义语句,⽆法提供全操作类型的审计,也⽆法完整审计结果集。不过从另⼀个⾓度来看,植⼊⽅式也有其亮点——本地操作的审计,这些不通过⽹络的流量,传统的流量镜像⽅式捕获不到,不过旁路式的审计,也可以通过增加rmagent,实现这项功能。1. 审计结果准确性的表现前⾯提到,两者对数据库访问的采集⽅式不同,这决定了两者在审计结果准确性上的差异表现。旁路式:由于是基于全流量的审计,如果能配合sql语句的协议解析和特征捕获等技术,可以准确关联语句和会话,进⾏精确的审计结果查询分析能⼒;准确关联应⽤⽤户与SQL语句,这样可以实现对业务⾏为的审计。在此基础上形成的规则库,也能够更准确的识别风险访问及漏洞攻击⾏为。植⼊式:由于是基于正则表达式完成SQL语句规则,⽆法基于通讯协议解析命中语句规则,在实际⼯作中,会导致语句和会话⽆法关联,不能按照会话进⾏语句梳理汇总,那么会缺乏连贯分析能⼒;并且,由于不是基于流量和协议的SQL语句解析,对于⽬前⽤户普遍要求的应⽤关联审计,也⽆法实现。1. 检索及⼊库速度的表现基于SQL语句的获取⽅式不同,两者在检索及⼊库速度⽅⾯也会存在差异表现。植⼊式:由于原始审计信息是记录在数据库中的,需要定期获取到审计设备上,这其中可能产⽣较⼤的延迟。另⼀⽅⾯,开启数据库⾃审计功能本⾝会占⽤⼤量内存,如果遇到⾼压⼒并发的情况,会拖慢数据处理能⼒,连累正常业务访问。旁路式:旁路镜像流量的⽅式对应⽤到数据库的访问完全透明,不会产⽣影响,这也是⽬前市⾯上⼤多数审计⼚商如安华⾦和等,选择旁路镜像⽅式,配合精确SQL解析技术来实现审计⾼可⽤性的主要原因之⼀。1. 关于存储空间的占⽤表现旁路式:由于是镜像⽅式获取流量,对于审计产品本⾝的存储优化能⼒有⼀定要求,但不会影响数据库服务器本⾝的存储空间,需要考量对⽐的是产品本⾝能否提供归⼀化技术和压缩存储技术,以节约存储空间。植⼊式:由于需要开启⾃审计功能,需要占⽤⼤量数据库本⾝的存储空间,如果同时缺乏SQL归⼀技术,那么在⼤数据处理情况下,数据库本⾝的硬盘空间就会⾮常紧张。1. 产品易⽤性⽅⾯的表现两者在配置和操作的易⽤性⽅⾯也存在较⼤差异。植⼊式:数据库审计产品在注册实例的时候,需要⼿⼯输⼊IP端⼝数据库实例,还需要sys⽤户及⼝令,向数据库中注册⽤户及程序。另⼀⽅⾯,如果是基于正则式的规则配置,需要数据库管理⼈员具备⼀定的技术能⼒,深度参与规则和策略的配置定义。旁路式:由于是基于数据库流量的语句语法解析,可以⾃动识别并添加审计数据库;更专业的产品应能够基于解析结果,从风险、语句、会话三个维度进⾏深度解析,维度之间相互关联、多重钻取分析,这样⽤户可以对数据库的整体安全状态有更直观的判断。
发布评论