堡壘機與資料庫審計
隨著企業規模不斷髮展壯大,為提升企業執行效率,降低運營成本,企業資訊化系統也在日益壯大,運維問題也日趨複雜,企業核心資料資源的安全無法進行有效管控,為企業健康發展埋下隱患。
基於此原因,企業資訊化建設需在滿足業務執行的前提下,加強內控與安全審計力度,切實保障資訊系統安全執行,滿足企業內控管理的合規要求。
小編就資訊保安內控與資料安全領域的兩款明星產品“堡壘機”與“資料庫審計系統”進行梳理歸納,希望能夠對廣大IT運維工程師進行產品選型提供幫助。
堡壘機
在瞭解堡壘機前,先扒一扒資訊系統運維中存在的一些問題,偉大的創新並非突發奇想,往往來源於我們亟待解決之問題。
1、一個使用者使用多個賬號
由於資訊系統龐大,擁有少則數十臺,多則上百臺的伺服器,而維護人員又極其有限,單個工程師維護多套系統的現象普遍存在。伴隨而來就是工程師記事簿上密密麻麻的賬號密碼,同時在多套主機系統之間切換,其工作量和複雜度成倍增加,直接導致的後果就是工作效率低下,操作繁瑣容易出現誤操作,影響系統正常執行。
2、許可權分配粗放,缺乏細粒度
大多數的系統授權是採用作業系統自身的授權系統,授權功能分散在各個裝置和系統中,缺乏統一的運維操作授權策略,授權顆粒度粗,無法基於最小許可權分配原則管理使用者許可權,因此,出現運維人員許可權過大和內部操作許可權濫用等問題。
3、第三方代維人員的操作行為缺乏有效監控
隨著企業資訊化建設的快速發展,為緩解企業IT人員不足的壓力,越來越多的企業系統運維工作轉交給系統供應商或第三方代維商,企業既解決了人員不足的問題,又解決了招聘新人的技能培訓問題。但是在享受便利的同時,由於涉及提供商,代維商過多,人員複雜流動性又大,對操作行為缺少監控帶來的風險日益凸現,因此,需要通過嚴格的許可權控制和操作行為審計。
針對上述問題,相信廣大運維工程師都有“搔頭不知癢處”的苦惱。不用急,這個時候我們的堡壘機登場了。
堡壘機又名運維安全審計系統,首先他將伺服器群的訪問限定單一入口,所有使用者均不能直接訪問伺服器,需通過堡壘機中轉,這樣就有條件對整個流量進行監控,對風險操作進行記錄報警,對使用者進行集中地細粒度許可權管理。再在堡壘機中整合單點登入(SSO)功能,使用者只需登入一次就可以訪問所有相互信任的應用系統解決單使用者多賬號問題;再就協議代理,通過截獲HTTP、ftp、ssh、rdp、vnc通訊協議內容,解析並記錄IT運維人員的操作過程。
堡壘機的核心技術協議代理,由於協議對應的SOCKET埠對於伺服器來說是唯一的,意味著堡壘機在給IT運維人員授權時,只能允許或禁止使用某伺服器的某知名協議。假設授權給甲S伺服器的RDP協議,就相當於S伺服器上的所有IT資源授權給了甲。授權顆粒度一般是以伺服器為單位。再一個對於RDP和VNC操作過程只能進行錄屏,對於風險過程無法快速智慧識別,只能事後通過記錄慢慢甄別,時效性較差。待基於應用代理的堡壘機技術成熟後,應該有很大改進。
資料庫審計系統
資料庫審計系統在當下資訊保安領域絕對算得上明星產品,一是因為資訊化時代,資料庫作為企事業單位的戰略性資產,必須進行嚴格防範,以防被非法獲取;二是《薩班斯法案》、《計算機資訊系統安全等級保護資料庫管理技術要求》等相關規範性法案及要求對企業內控與審計進行了合規性要求。更深刻的原因在於,資料庫面臨的眾多安全風險亟待解決。
一、管理風險
內部員工及第三方維護人員的許可權分配粗放,導致許可權濫用且無有效手段監控操作,致使安全事件發生時不能及時告警且無法追溯並定位真實的操作者,資料流向失控。上文提到堡壘機雖說也有一定的審計功能,但無法達到應用級。
二、技術風險
ORALCE、SQL SERVER等資料庫系統是一個龐大而複雜的系統,加之其承載的高價值資料庫,無數黑客對其趨之若鶩,致使其漏洞層出不窮,而補丁往往跟進非常延後(有時打補丁風險不比黑客小),另外基於應用層的注入攻擊更是難於防範。
三、審計層面
傳統的依賴於日誌審計的方法,存在諸多弊端,如:資料庫審計功能開啟會影響資料庫本身的執行,原本海量的資料檢索已讓資料庫不堪重負;資料庫日誌檔案本身存在被篡改的風險,難於體現審計資訊公正性和有效性;對於國內應用軟體的功能性開發模式,日誌更是流於表面無實質價值。
資料庫審計系統通過監控所有出入資料庫的報文,通過深度的報文解析和重組技術將雜湊的報文還原成完整資料庫語句,如select、delete、alter、grant等,再根據相應的規則對其進行匹配並根據相應的風險等級實時告警。
舉個例子:某使用者A僅限於訪問資料庫中的A表許可權,黑客利用資料庫的漏洞將使用者A進行提權後,可以去訪問B表,但是資料庫本身的許可權機制已被攻破,因此使用者A訪問B表暢通無阻。如果在資料庫審計系統規則中限定B表的訪問許可權,通過對於底層報文解析重組後分析發現A使用者在訪問B表,促發了風險規則,此時系統會產生高風險告警,並通過郵件、簡訊等方式告知審計人員實時處理,同時對事件進行記錄存檔用於事後的追溯。
資料庫審計系統為第三方的獨立審計平臺,且自身進行了分權處理,因此,對於審計的獨立性與公正性得到了有效的保證。資料庫審計系統通過底層直接抓取報文解析重組的方式進行審計,黑客缺乏有效的手段規避審計。
資料庫審計系統的不足在於其設計侷限於資料庫,對於網路協議這一塊的審計還有欠缺。不過現在的資料庫審計系統也開始加強對協議方面的審計能力。
資料庫審計和堡壘機都是目前企業有效實現資訊化內控,滿足合規性的重要有效手段,區別在於堡壘機側重於對第三方維護人員行為的規範與控制,而資料庫審計系統側重於資料庫本身的安全以及對資料庫資源訪問的合規性控制與審計。因此,如何進行產品選型取決於當前所需迫切解決的問題,產品本身並無優劣之分,不同側重點不可被銷售代表的大嘴無所不能的忽悠。