虛擬化平臺和傳統網絡環境共存,應用服務器和數據庫服務器要在混合云平臺進行數據庫審計,就要區別于傳統的部署方式,本文以vSphere虛擬平臺為例,對數據庫審計在混合虛擬化平臺上的部署進行實踐探討。
一、傳統數據庫審計產品在虛擬化平臺下的局限性
虛擬化能夠應對 IT 部門面臨的最緊迫難題:基礎架構無序擴張,迫使 IT 部門將其 70% 的預算用于維護,而只留下很少的資源用于業務發展創新。
這一困難源于當今 x86 服務器的體系結構:它們的設計使其在同一時間只能運行一個操作系統和應用。這樣一來,即使是小型數據中心也必須部署大量服務器,而每臺服務器的容量利用率只有 5% 到 15%,無論以哪種標準來看,都是十分低效的。
虛擬化軟件可使多個操作系統和應用運行在一臺物理服務器(即“主機”)上,從而解決這一問題。每個功能完備的虛擬機 (VM) 都與其他虛擬機相隔離,并可根據自身需要使用主機計算資源。
虛擬化實施前,很多單位已經有一定的信息化基礎,在已有的軟硬件網絡條件下逐步在引入虛擬化,即部分應用系統部署在虛擬化環境下,其他部分仍然是傳統的應用和數據庫服務器網絡環境。虛擬化平臺下數據庫審計是實現安全合規必不可少的設備,而傳統的數據庫審計技術在新的虛擬化平臺下存在一定的局限性。
二、傳統數據庫審計產品的審計原理
傳統數據庫審計產品是通過交換機鏡像數據庫訪問流量,通過SQL協議分析,實時記錄網絡上的數據庫活動。端口鏡像存在諸多限制條件:
部署的節點位置,必須支持端口鏡像功能,并且有空閑的端口作為觀測端口。
滿足以上條件,則可以使用端口鏡像的旁路模式部署數據庫安全審計設備。
端口鏡像旁路模式的部署點可以在各個部門出口交換機上,也可以部署在數據庫前端交換機上,建議部署在數據庫前端。
三、虛擬化平臺下數據庫服務器的模式
(1)應用虛擬化,但數據庫未虛擬化。
這種情況下數據庫與在虛擬化平臺的應用通過交換機相連提供服務,數據庫訪問可以在交換機上設置流量鏡像,輸出到審計設備上。
(2)應用虛擬化,數據庫也虛擬化,但分別在兩臺主機下。
如果在兩臺主機下,應用和數據庫之間也可以通過在交換設備上鏡像流量,實現數據庫的操作審計。
(3)應用虛擬化,數據庫也虛擬化,應用與數據庫在一個主機下。
此時,應用到數據庫訪問是不通過網絡硬件設備的,傳統的數據庫審計無法采用在交換機鏡像流量的方式實現數據庫訪問協議分析。
因此,第(1)和(2)兩種情況傳統數據庫審計產品都能夠兼容,第(3)種模式下網絡流量是在虛擬平臺內流轉的,無法通過物理交換機獲得。
四、對于虛擬化平臺模式下數據庫審計解決方案
(1)軟件版數據庫審計產品
企業用戶可能用到的混合虛擬化平臺管理系統有如下圖所示。
安華金和數據庫安全實驗室以vmware虛擬化平臺進行實驗后,獲得如下實踐結果。
數據庫審計作為一個安裝在虛擬機的應用,通過虛擬平臺的軟交換,進行網絡流量鏡像,將數據庫審計產品結合到虛擬環境中的部署圖如下圖所示,,在虛擬環境下面,運行著三套應用系統APP1、APP2、APP3,以及其對應的后臺數據庫DB1、DB2、DB3。DBAudit為部署了數據庫審計產品的虛擬機,所有設備通過vSphere Distributed Switch進行網絡通訊。
ESXi在整個vSphere虛擬環境下的位置圖
安華金和數據庫安全實驗室在vSphere搭建的實驗環境如下:
在vSphere Distributed Switch上面可以通過使用端口鏡像,使得所有訪問目標數據庫的網絡流量,鏡像到DBAudit審計服務器的數據采集端口。在下圖描述的環境中,只要配置將PORT2,PORT5和PORT7的數據鏡像至PORT8,那么DBAudit審計服務器即可獲取到訪問三臺數據庫虛擬機的流量。
DBAudit審計服務器通過鏡像端口Port 8 ,進行數據采集的工作。同時,該虛擬設備通過Port 9,提供對外的訪問及管理,用戶可以對DBAudit進行配置和管理。
如果其他虛擬機通過vSphere Distributed Switch單獨劃分為獨立的網段,各網段彼此之間不能連通,需要在每個網段里單獨部署一套數據庫審計,而不能在不同網段中共享一套。
(2)通過數據庫本地代理
在虛擬化平臺中的數據庫服務器虛擬機上安裝本地代理,通過本地代理將流量發送給硬件的數據庫審計產品。
(3)比較這兩種方式的優劣性:
方式(2)需要在數據庫所在操作系統上安裝軟件,由此引發穩定性故障;
方式(2)會引起網絡流量加大,網絡拓撲復雜,安全體系漏洞大。(如,從數據庫服務器向外寫數據,在通常的防火墻安全策略中是禁止的。)
五、結束語
安華金和數據庫安全實驗室以vmWare虛擬化平臺為例,采用軟件版數據庫審計在虛擬化平臺下進行部署,區別于傳統的數據庫審計設備通過物理交換機鏡像流量的的方式,通過vSphere Distributed Switch鏡像流量,同時還要面對虛擬化平臺下不同數據庫服務器的模式特點進行部署實踐。
京公網安備 11010502049343號