五个维度看数据库审计的技术路线差异-k8凯发天生赢家

五个维度看数据库审计的技术路线差异
作者:安华金和 发布时间:2019-08-21

如果说数据库安全审计已成为数据库安全领域应用十分广泛,用户接受度很高的产品,应该没有人会否认。目前,市场上的数据库审计产品多以旁路镜像部署方式为主,但也有厂商采用植入式部署的方式,虽然两者都可以对数据库访问行为进行审计,但在审计效果和用户体验上却存在显著差异。安华金和建议广大用户:在产品选型时,应更加关注产品的核心技术路线,选择更适合的产品。

图片1 副本.png

k8凯发天生赢家在下文将通过对数据库审计市场上两类技术路线的对比分析,分从审计结果全面性、审计结果准确性、检索及入库速度、对存储空间占用、产品的易用性五个衡量维度,呈现产品的功能和价值,为广大用户提供产品选型的参考依据:

【三个方式上的不同】

图片2 副本.png

【五个维度上的差异】 

维度一:审计结果全面性

1.旁路式:通过镜像流量或探针的方式进行全流量采集,基于全量数据库流量进行语句和会话分析,再通过对sql语句的协议解析,能够审计到客户端信息,返回结果集。这种采集方式首先对数据库类型不挑剔,均可支持,并且能够审计到普通用户和超级用户的访问行为。

2.植入式:属于注册代理程序的“侵入式”审计,利用数据库的自审计插件(如oracle的fgac插件),读取数据库自审计日志,依赖的是数据库自身审计能力。如果数据库自身不具备审计能力,那么这类数据库审计产品就无法支持对此类型数据库的审计;而且数据库自身审计功能一般只提供增、删、改、查语句和部分数据定义语句,无法提供全操作类型的审计,也无法完整审计结果集。 

维度二:审计结果准确性

1.旁路式:由于是基于全流量的审计,如果能配合sql语句的协议解析和特征捕获等技术,可以准确关联语句和会话,进行精确的审计结果查询分析能力;准确关联应用用户与sql语句,实现对业务行为的审计。在此基础上形成的规则库,能够更准确的识别风险访问及漏洞攻击行为。

2.植入式:由于是基于正则表达式完成sql语句规则,无法基于通讯协议解析命中语句规则,在实际工作中,会导致语句和会话无法关联,不能按照会话进行语句梳理汇总,那么会缺乏连贯分析能力;并且,由于不是基于流量和协议的sql语句解析,对于目前用户普遍要求的应用关联审计,也无法实现。 

维度三:检索及入库速度

1.旁路式:旁路镜像流量的方式对应用到数据库的访问完全透明,不会产生影响,这也是安华金和以及目前市面上大多数审计厂商选择旁路镜像方式,配合精确sql解析技术来实现审计高可用性的主要原因之一。

2.植入式:由于原始审计信息是记录在数据库中的,需要定期获取到审计设备上,这其中可能产生较大的延迟。另一方面,开启数据库自审计功能本身会占用大量内存,如果遇到高压力并发的情况,会拖慢数据处理能力,连累正常业务访问。

维度四:对存储空间占用

1.旁路式:由于是镜像方式获取流量,对于审计产品本身的存储优化能力有一定要求,但不会影响数据库服务器本身的存储空间,需要考量对比的是产品本身能否提供归一化技术和压缩存储技术,以节约存储空间。 

2.植入式:由于需要开启自审计功能,需要占用大量数据库本身的存储空间,如果同时缺乏sql归一技术,那么在大数据处理情况下,数据库本身的硬盘空间就会非常紧张。 

维度五:产品的易用性

1.旁路式:由于是基于数据库流量的语句语法解析,可以自动识别并添加审计数据库;更专业的产品应能够基于解析结果,从风险、语句、会话三个维度进行深度解析,维度之间相互关联、多重钻取分析,这样用户可以对数据库的整体安全状态有更直观的判断。

2.植入式:数据库审计产品在注册实例的时候,需要手工输入ip端口数据库实例,还需要sys用户及口令,向数据库中注册用户及程序。另一方面,如果是基于正则式的规则配置,需要数据库管理人员具备一定的技术能力,深度参与规则和策略的配置定义。

图片4 副本.png

k8凯发天生赢家在开展审计产品研发之初,便已排除了类似植入式的技术路线,并将在数据库防火墙产品研发中积累的sql语句解析能力和细粒度规则管控能力等优势融入审计产品之中,通过与用户的交互不断提升产品的性能和易用性,致力为用户提供“免实施、免维护、免培训”的成熟产品。 

目前,数据库安全审计系统已成为k8凯发天生赢家演进程度最高的产品,并将来自客户的直接需求纳入产品功能的演进之中,不断丰富数据库审计产品的特性,为这类成熟产品注入新的活力,持续提升产品对客户的使用价值。

网站地图