扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
数据库审计工具及其应用程序
有四种基本平台可以用于创建、收集和分析数据库审计,它们是:本地数据库平台、系统信息/事件管理及其日志管理、数据库活动监控和数据库审计平台。
1. 本地审计:指的是使用本地数据库来进行数据获取,但使用数据库系统本身对事件进行存储、分类、过滤和报告。IBM、微软、甲骨文和Sybase针对这种情况都提供各自不同的解决方案,但本质上都是去获取相同的信息。虽然数据通常存储在数据库中,但却可以导出到纯文本文件、或以XML数据形式提供给其它的应用程序。本地功能的使用节省了与获取、部署和管理专用审计工具相关的成本,但却使得数据库产生了额外的性能开销,对基本的收集和存储也只能进行有限的管理,并且需要人为的进行管理。本地审计发生在数据库范围内,并且只适用于对安置在单个设施内的数据库进行分析。 数据库审计的选择过程 为了有助于进行数据库审计的选择过程,你需要考虑以下各平台类型的特点,以及每个供应商的解决方案。按重要性排序如下: 审计日志包含很多对审计人员、安全专家和数据库管理员有帮助的信息,但是它们会影响到性能。对于数据库审计可以的提供任何新奇事物,你都需要通过了解其可能增加的负担。审计会引起一些性能上的损失,而根据你执行的情况,损失可能会很严重。但是,这些问题是可以缓解的,并且对于一些商业问题而言,数据库审计日记是规则遵从和安全分析必不可少的环节。 除了本地数据库审计(位于数据库资源上层),我们描述的所有工具都被部署为一个独立的设备或软件。所有数据库审计都提供了中央政策(central policy)和数据管理、报告,并提供数据聚合(data aggregation)功能。SIEM(安全信息和事件管理)、日志管理和数据库活动监控供应商为可扩展性提供了一个层次部署模型,在该模型中多台服务器或设备被分布在大型的IT组织中,以改善用户对处理和存储的需求。 聚合数据使得正被收集的巨大数据量的管理和报告变得容易。此外,信息收集被放在中央服务器中可以保护处理日记不被篡改。
2. SIEM和日志管理:安全信息和事件管理(SIEM),以及与之类似的日志管理工具都具备了收集审计文件的能力,但却比本地数据库工具提供了更多的功能。请记住,这些工具不会像本地审计那样会导致数据库的开销,从而减轻了数据库的大部分负担,但这需要一个专门的服务器对其进行存储和处理。除了数据库审计日志,这些工具还从网络设备、操作系统、防火墙和应用程序中收集信息。SIEM 和日志管理可以提供综合报告、数据收集、异构数据库支持,数据聚合和压缩能力,这些都是本地数据库审计所不具备的优点。LogLogic和Splunk等公司推出的日志管理系统,专门设计成能够容纳大量数据的系统,并且更专注于管理和报告。而由ArcSight公司和EMC公司安全部门RSA等厂商所推出的SIEM,则被设计成更适用于接近实时的网络安全设备监视,从而更深入地分析事件之间的关联和安全报警等信息。然而,SIEM和日志管理之间的区别可能会逐渐模糊起来,这是因为大多数的厂商都能同时提供两个平台,尽管两者没有完全整合在一起。
3. DAM:数据库活动监控平台被设计成用于监控数据库活动中的威胁,并执行规则遵从控制。诸如Application Security、Fortinet、IBM、Netezza和甲骨文这样的供应商,提供了异构数据库中的事件获取。大多数供应商提供了多种方式来获取信息,包括收集来自网络、数据库所在的操作系统和数据库审计日志等多方查询(queries)信息。DAM 工具被专门用于高速数据检索和实时政策执行。像SIEM工具一样,DAM 工具可以收集来自异构数据库和多数据源的数据,并被设计成用于分析和报警。而与SIEM不同的是,DAM并不是专为数据库而设计的,它更加专注于在应用程序级进行数据库分析,而不是在网络级或系统级上进行。除了对数据库的操作进行取证(forensic)分析,DAM还提供了诸如活动阻塞、虚拟打补丁、过滤(filtering)和评估等高级功能。
4. 数据库审计平台:一些数据库厂商提供了专门数据库,这与日志管理服务器很相似。这些数据库由一个专用的平台组成,它存储从本地数据库审计中获取的日志文件,并把多个数据库的日志文件收集到一个中央位置上。其中一些平台还提供了异构数据库日志文件收集器。报告、取证分析、把日志文件聚集为共同的格式,以及安全存储,这都是此种平台可以带来的好处。虽然这些平台不提供多数据来源、或像DAM那样进行细致的分析,不具备SIEM那样的关联和分析能力,也不像日志管理简单易用,但对于那些专注于数据库审计的IT运营而言,这是一个性价比很高的方法,可以用来生成安全报告和存储取证方面的安全数据。
究竟那种方法更适合你,这取决于你的需求、你需要解决的业务问题,以及你愿意为解决问题而投入多少时间和金钱。一个好消息是你可以有大量的选择,比如让自己的数据库管理员去进行数据库本地审计从而获得基础的信息,或者对成千上万的设备进行数据聚合操作。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者