【内容安全】虛拟化及雲環境下資料庫審計優缺點分析

原标題：

虛拟化及雲環境下資料庫審計技術探讨

随着越來越多的企業使用者将傳統的業務系統遷移至虛拟化環境或是雲服務商提供的雲平台，資料的洩露及篡改風險變的越發嚴峻，針對資料安全的防護以及事後審計追溯也變得越來越困難。究其原因，主要是傳統的資料庫審計解決方案是通過旁路分析目标被審計資料庫鏡像的流量，而虛拟化環境或者雲平台由于内部的虛拟交換機（Vswitch）流量很難鏡像或者無法鏡像，是以傳統的資料庫審計解決方案不足以應對虛拟化和雲平台的資料庫審計需求。

　　首先我們對虛拟化及雲平台環境中，傳統的資料庫審計解決方案在典型的幾種場景下的優缺點進行解析：

　　場景一：應用和資料庫的虛拟主機不在同一台實體機器上

　　如下圖所示這種情況下的應用和資料庫虛拟主機不在同一台實體機器上，對傳統資料庫審計來說，可以采用傳統方式直接鏡像資料庫伺服器所在的實體宿主主機（實體機器4）網卡的流量，完成對目标資料庫的審計，缺點是需要将虛拟機流量全部鏡像過去，同時可能會導緻一些無需審計的主機的資料的洩露，這是這種解決方案最大的一個風險。

　　場景二：應用和資料庫的虛拟主機在同一台實體機器上

　　針對應用和資料庫在同一台實體機器上，應用和資料庫的互動過程通過内部的Vswitch進行了流量轉發，流量并不通過所在的實體機器的宿主主機網卡，是以采用傳統的鏡像流量根本無法鏡像，如下圖所示：

　　針對這種情況傳統資料庫解決方案有三種方法解決：

　　a、虛拟機虛拟網卡綁定實體網卡

　　要求宿主主機有多個實體網卡，每個實體網卡和上層交換機直連，虛拟機層面在安裝時可以指定将虛拟網卡綁定在對應的宿主主機的實體網卡上，然後使用傳統的鏡像方式鏡像實體網卡的流量完成審計，這種缺點非常明顯，要求實體伺服器要有多個網卡，實際上大部分PC伺服器隻有不超過1-4個網卡端口，大部分實體機器上虛拟了幾十個虛拟機，是以，在實際部署上并沒有那麼多網卡可供綁定，存在諸多限制，實際上并無法實施。

　　b、在VDS上配置流量鏡像

　　Vmware ESX在最新版本中推出的功能，将某虛拟機網卡流量通過GRE封包，直接通過TCP協定發送到某個IP位址上（資料庫審計裝置），資料庫審計裝置接收GRE資料包完成審計，但是這種解決方案的缺點如下：

　　Vmware版本及VDS（分布式虛拟交換機），據官方技術資料隻有Vmware 5.5以上版本才支援，目前客戶現場主流的4.x、5.0、5.1等版本都不支援，其他非Vmware虛拟化環境就更不支援，是以針對大部分客戶現場環境實際并不支援部署。

　　通過GRE封裝做流量鏡像對宿主主機的實體網卡性能影響非常嚴重，所有鏡像流量都要通過宿主主機的實體網卡進出，極大影響了實體網卡的性能。

　　VDS屬于虛拟交換機，其對資料包的處理完全依賴于CPU，并不像傳統交換機靠硬體進行流量轉發，是以對宿主主機的CPU資源占用也非常嚴重，極大的降低了宿主主機的性能。

　　c、開啟流量廣播

　　這種方式目前是最主流的方式，将資料庫審計以虛拟機的方式部署在對應的宿主主機，當做宿主主控端的一個虛拟機看待，然後開啟Vmware的流量廣播功能，每個虛拟機都将收到Vswitch上每個端口通信的IP流量，是以DB審計裝置隻需要采集其虛拟網卡上的流量就可以采集到目标資料庫伺服器的流量，隻需要在采集階段過濾掉其他流量即可完成審計，如下圖所示：

　　這種解決方案的缺點也非常明顯：

　　1、開啟流量廣播雖然大部分Vswitch都支援，但是這種方式就好比早期的Hub一樣，tcp通信能力将明顯降低，嚴重影響整體網絡傳輸的時延及可靠；

　　2、DB審計可以采集到所有虛拟機的流量，其他虛拟機一樣也會采集到所有的流量，這些流量裡肯定包含很多未加密的敏感資料如使用者名、密碼等，假設這些虛拟機中有一台機器被入侵或者非法利用，這樣會帶來極大的安全問題。

　　場景三　：應用和資料庫的虛拟主機随機的配置設定在一個虛拟化叢集的某個主機上

　　這種場景其實是場景一和場景二的結合，目前大部分客戶為了避免單一硬體的故障，基本上都采用虛拟化叢集的方式實作企業的虛拟化，當碰到單一硬體的故障，虛拟機會在整個硬體虛拟化資源池中自動遷移，具體遷移到哪台實體主機上并不确定，是以傳統的鏡像方式并不能确定虛拟主機此刻在哪個交換機上，如下圖所示：

　　是以在這種場景下同樣無法做鏡像，隻能把虛拟化叢集所有主機的流量全部鏡像出來，這種缺點也非常明顯：

　　1、當出現業務和DB在遷移到同一個實體機器上時，其實并沒有流量，實質上審計不到任何資料，這個時候是存在嚴重的漏審計；

　　2、虛拟化叢集涉及的機器比較多，流量非常大，網絡可能也比較複雜，傳統的鏡像方式很難在實際中進行配置，是以很難實施；

　　場景四：應用和資料庫分别托管部署在完全獨立的第三方雲計算平台

　　場景四是場景三的一種延伸與擴大，場景四主要指目前主流的第三方雲平台提供商如阿裡雲、亞馬遜、騰訊雲、華為雲、百度雲等等，底層的硬體、存儲、網絡等等都對使用者不透明，上層的虛拟機具體在哪個實體硬體伺服器上，連接配接哪個實體交換機，使用者一概不知道，如下圖所示：

　　是以要用傳統方式配置鏡像，基本上沒有可能，雲平台提供商并不會提供底層資源的控制權給雲主機租戶，是以對這種場景的資料庫要進行審計，傳統資料庫審計解決方案将徹底無能為力。

　　綜上所述，在虛拟化和雲環境平台中，隻有場景一，傳統的資料庫審計解決方案勉強可以解決。針對場景二傳統資料庫審計解決方案基本上是不支援，部分情況即使支援也是有非常明顯的缺點及種種環境的限制，針對場景三、場景四傳統的解決方案直接是無法支援。

　　針對虛拟化環境和雲平台中的資料庫審計難題，安恒資訊推出了全新架構的虛拟化雲環境Agent代理審計解決方案。通過在虛拟主機上部署Agent，以不變應萬變，全面支援以上描述的四種典型場景，這種解決方案由Agent對資料庫的請求行為直接進行處理，處理完成之後由Agent直接将資料發給采集器統一檢測、告警、存儲及挖掘分析，徹底解決了各種虛拟化、雲環境資料庫無法審計的難題。具體部署拓撲圖如下圖所示：

　　本解決方案有以下優點：

　　1、全面支援所有虛拟化環境和雲環境的資料庫安全審計，不區分業務部署架構、底層虛拟化軟體架構和底層的網絡架構，不依賴傳統的交換機流量鏡像；

　　2、支援部署在虛拟化環境中所有的Linux 2.6以上核心版本、及windows2003、2008、2012等版本；

　　3、支援主流的Oracle、SQL Server、DB2、Sybase、Mysql、Lnformix等資料庫，同時支援達夢、人大金倉、Oscar、Gbase等國産資料庫，還支援cache、teradata、postgresql等資料庫的審計；

　　4、部署簡單，支援一鍵安裝；

　　5、對虛拟主機的性能影響可以忽略不計，經實際阿裡雲環境虛拟主機測試，DB伺服器流量在120Mb以内，agent對目标伺服器的性能影響在3-8%之内。

　　随着虛拟化、雲計算技術的不斷成熟，業務遷移到雲端也是不可逆的趨勢，未來将會有越來越多的企業、政府、個人使用者将應用系統及資料庫逐漸遷移到自主搭建的私有雲中，或者是第三方服務商提供的公有雲平台中，企業、政府的核心敏感資料托管在雲環境中，面臨着各種竊取、篡改的威脅，資料的安全審計将越發重要，傳統的資料庫審計産品将逐漸被下一代資料庫審計産品所替代，安恒明禦資料庫審計産品将繼續作為行業的上司者，在虛拟化、雲計算時代繼續為使用者的資料庫安全審計保駕護航。更多内容安全内容詳見

商業新知-内容安全