數據庫安全監控與審計產品(DBAudit),是目前安華金和產品演進處在最高級別的產品,也即目前公司全線產品中成熟度最高的產品。近半年多來,直接來自客戶現場的功能需求逐漸進入到產品演進進度中,豐富了審計產品的特性,給客戶帶來新的使用價值,也爲這款成熟度最高的產品不斷注入新的活力。
一、全新的應用審計視角
傳統數據庫審計產品,以“數據被誰訪問”的視角來反向溯源,審計出來的數據都是以數據庫爲單位,基於SQL語句、風險、數據庫會話三維一體視角奠定了DBAudit的核心功能框架,從風險的產生到SQL語句模板、SQL語句、數據庫會話生命週期的細粒度多訪問分析,這是DBAudit V3.2.4.4以前版本的殺手鐗。隨着安華金和數據安全治理理念逐步被客戶肯定、被市場所認可,“誰訪問了哪些數據”成爲一個全新的數據庫審計視角,這種以應用發起者爲出發點,通過哪些應用業務的請求,最終訪問了哪些數據,DBAudit全新應用關聯審計順勢而出。
新的應用審計和統計,構建了“應用-應用模塊-應用行爲-應用請求”4級應用框架結構,代表4層不同應用定義:
一、應用請求:訪問源對某個指定的URL發起訪問請求的流水記錄;
二、應用行爲:針對某類相同和相似的應用請求,去除參數化的URL模板(類似於SQL語句模板概念);
三、應用模塊:多個應用行爲的組合,歸屬於一組功能模塊的集合,對應應用服務器的功能菜單;
四、應用:以應用服務器IP+應用服務器端口+應用工程名定義的一個應用系統。
全新的框架設計充分考慮到多個應用部署在一個應用服務器的集中部署方式,以及中大型應用系統分佈在多個應用服務器上的集羣架構,以應對多樣化的應用業務部署場景。一旦應用的4級結構建立,即可以提供完整的基於應用訪問視角的綜合性統計數據呈現和正向追溯能力:
a)應用訪問熱度分析:接入DBAudit的多個應用根據訪問頻次呈現應用訪問熱度Top;
b)應用模塊訪問熱度分析:不同應用的應用模塊根據訪問頻次呈現應用模塊訪問熱度Top;
c)應用訪問源熱度分析:以“客戶端IP+應用用戶”爲組合,根據對應用訪問頻次呈現訪問源熱度Top。
同“數據被誰訪問”以數據庫爲單位提供全局和單庫視角一樣,應用審計同樣提供了以應用爲單位的全局和單應用視角分析,既可基於全局做整體查看,也可以針對某個應用做專項分析。
從應用行爲層次,提供“應用行爲-應用請求流水-應用請求詳情”的正向追蹤以及“應用行爲-訪問源”的反向追溯能力;從應用訪問層次,提供“應用請求-SQL流水-SQL詳情”和“應用請求-應用會話-會話下應用請求流水-SQL流水”兩條下鑽分析路徑。
老的應用會話統計分析能力在應用審計框架建立後得到更大價值體現:應用會話將多個應用請求串接起來,使得“本次會話除了訪問這些地址還幹了些什麼”的連鎖行爲分析得以落地。
二、從對象統計到敏感數據溯源
以往我們的風險規則到SQL語句和語句模板層級,而有些場景下用戶更關注數據庫中敏感對象的訪問行爲,這些敏感對象可能是數據庫、表,甚至字段(列),這對審計粒度來說提出更高挑戰。
通過全新的數據結構設計和數據處理邏輯設計,DBAudit提供了基於數據庫表級別的對象統計和分析能力。在新的數據結構設計中,充分考慮到不同數據庫中表對象屬主的定義範圍差異,如Oracle和SQL Server有Schema的概念,Oracle的Instance,MySQL的庫概念等,我們設計了目前相對覆蓋元素較多的一種數據庫表對象Owner機制,即以“DBname+Schema@(DBIP+Port+Instance)”多個字段的組合方式,基本覆蓋常用關係型數據庫形態。同時,針對Oracle RAC集羣和MySQL Proxy類集羣的應用場景,將多個數據庫IP和端口組合成一個數據庫來分析,避免因過於細緻的屬主劃分粒度帶來同一表對象統計數據的分散。
在指定的屬主範圍內,將動態請求而產生的SQL語句以表對象爲單位統計,依託訪問表對象時的SQL語句解析,提供了“表對象-操作類型-SQL語句流水”和“表對象-語句模板-SQL語句流水”的兩種鑽取分析路徑。
對解析出的表根據數據分析可標記爲敏感表對象,可以對一批敏感表對象做訪問行爲的軌跡分析,該表對象被哪個訪問源(客戶端IP、數據庫用戶)訪問、哪個客戶端工具所訪問以及整體的訪問頻度分佈情況,快速定位該敏感對象從哪些位置進行訪問。
從操作類型角度,表對象經常會以什麼樣的方式被訪問,訪問頻次怎樣;從語句模板角度,表對象經常會被什麼樣的語句模板來訪問,做到這一層級,思路再往前一步,假定該表對象出現了新的訪問類型(如經常SELECT的表對象突然出現了DELETE的操作行爲),或者表對象出現了一種新的語句訪問模型(如出現了一種新的語句模板),是否疑似爲非正常訪問動作?當功能演進到該階段,是否像有些行爲模型的分析?是的,這就是我們正在完善的審計系統訪問行爲模型。
三、學習期行爲模型
在數據庫防火牆產品中,引入學習期概念。數據庫審計也構建了全新的學習期,針對每個被審計數據庫分別設置學習期,而且利用數據庫審計系統一貫擅長的數據統計分析能力,參與建模的元素更廣、行爲模型的範圍更大,以此來爲用戶的安全審計提供更全面的模型參考。比如以敏感對象表元素頻度訪問、敏感對象的操作類型、訪問源的行爲、去參數化的語句模板、去參數化的應用URL行爲等,通過一定組合方式,形成多樣的數據分析模型。
上文提到的敏感對象表經常被訪問的訪問源、敏感對象表日常被訪問的頻次和時間週期分佈情況、敏感對象被訪問的操作類型情況,這些都將成爲行爲模型的分析元素。在引入以應用爲視角的審計後,進一步豐富了審計的輸出元素:
圖1:以數據庫爲切入點和以應用爲切入點各自審計的元素組合
在一些特點的生產系統,進入業務穩定期後,功能模塊相對穩定,具體到每個訪問行爲,其產生的SQL語句模板也相對固定。反之,一個SQL語句模板被業務系統請求的來源也相對固定,可見,在一個穩定運行的業務系統中,應用訪問行爲與SQL語句模板存在相對穩定的對應關係;無論應用訪問行爲出現了新的語句模板,或者產生的語句模板出現了新的應用請求來源,都可能成爲可疑的訪問行爲。比較典型的應用場景:SQL注入僞裝成正常的數據訪問,但在行爲模型中發現業務系統應用請求中出現了新的語句,產生疑似非法操作的告警,從根本上解決SQL注入的風險。
DBAudit的數據分析能力除了在審計系統上得到應用外,還將爲防護類產品提供策略設置參考,如根據針對敏感對象設置訪問來源、操作行爲、應用URL、時間週期等元素設置防火牆的攔截策略,針對敏感對象梳理結果設置動態訪問脫敏策略,這些將在新的集羣管理系統中被串接起來,多個產品的聯合形成從敏感數據的識別、分析、建模、到安全使用防護的全過程;這些也將成爲UEBA模型的數據來源,以及數據資產梳理系統(DBCarding)數據資產動態梳理的來源。
四、大數據審計方向展望
傳統的關係型數據庫審計,針對大數據審計開始出現“水土不服”,在一個個針對大數據審計的項目落地過程中我們總結髮現:
1.以操作類型爲視角的統計很多場景不再實用,如HDFS下的數據庫語句實際上是對文件系統的操作命令ls、cp等;
2.由於大數據存儲節點衆多,故數據訪問端口範圍的不確定性也隨之而來,傳統數據庫審計對IP+端口的數據模型已不再適用,大數據審計一般都採用動態的端口範圍,而且範圍較大,如某項目現場的Hive端口數量30+;
3.語句模板難以用SQL方式翻譯,在關係型數據庫審計中安華金和的語句模板機制極大的減少了語句記錄量,業務審計中以模板方式也極大的提高了統計和分析的價值,但大數據應用下這種方式將難以繼續這種業務呈現;
4.業務化語言無法匹配,關係型數據庫的業務化語言翻譯不再適用於大數據時代。
這裏提到的“大數據審計”有兩層含義:
①對使用大數據作爲業務數據庫存儲的這類“數據庫”審計;
②對大量業務產生的審計數據以大數據方式存儲。
前者的本質在於數據庫的審計,後者的核心在於審計數據結果的處理。
在大數據使用愈發普及的市場背景下,以上兩個方面常常同時出現:爲了更好的服務於業務,大數據形態不斷擴展和業務逐漸成熟,大數據審計成爲剛需;大量的審計數據結果需要更大的存儲空間和更龐大的後續統計分析,而這正是大數據擅長的地方,所以演變成了“用一個大數據應用(DBAudit)來審計業務系統的大數據”。
在完成對大數據審計的協議解析後,如何呈現更合理的審計結果和統計分析?安華金和的思路是:基於現有DBAudit的語句、會話、風險三大視角基礎框架,基於大數據形態做針對性的審計數據結果呈現和風險策略告警能力,DBAudit新的版本將會帶來耳目一新的價值體現。
上面提到,被審計數據庫節點的極大增長,以及審計結果數據量的猛增,審計系統本身也將步入大數據化。目前安華金和的審計結果大數據形態大致如下:
圖2:大數據架構圖
這將會在後續的產品演進中逐步落地。
對大數據的審計支持能力,DBAudit在國內廠商中一馬當先,目前支持的大數據形態有:Hive、HBase、Sentry、HDFS、Impala、ElasticSearch,以及MangoDB、Redis等非關係型數據庫。
以某省級電信運營商項目爲例,安華金和對需求響應和功能快速交付得到客戶的極大認可。運營商要求友商提供自己所提供系統的ElasticSearch大數據庫的審計,友商反饋不具備審計能力,且表示國內尚沒有產品可以做到。運營商輾轉找到安華金和,我們的工程師三週完成了對友商這套應用系統的大數據審計適配,而且克服了友商“網絡環境故障”、“切換加密方式”等額外增加的困難,這體現了安華一切以業務場景需要和客戶滿意爲宗旨,深厚技術能力得到證明。
結束語:作爲數據安全領域的領跑者,我們將繼續深耕,不斷挖掘產品新的價值點,正是憑着這種敢於向技術壁壘發起攻堅、敢於突破自我的精神,才能打磨出具有領先性和前瞻性的成熟產品。