[[229627]]

【51CTO.com快譯】引言：在使用不同廠商所提供的不同數據庫時，我們尤其需要保障數據庫的安全性，這對于組織的健康運營來說是至關重要的。

數據庫審計是合規性要求的一個重要組成部分。只有恰當并及時地設置好數據庫的審計，您的組織才不會丟失那些通過存儲用戶數據來發展業務的機會。

隨著全新的GDPR（“一般數據保護條例”）即將生效，公司里的整個團隊應當盡快熟悉他們所面對的各個方面，從初始化階段入手，將各種數據保護規則整合到應用程序、產品及服務之中，并且在產品的代碼中默認啟用數據保護的功能。本文將涵蓋成功實施數據庫審計的各個關鍵領域。

審計重要的活動

在您的數據中，通常會附帶有許多不同的信息，而這些信息中的任意部分都可能會被用作數據泄露與盜竊。例如：當您在安裝并配置新的數據庫實例時，系統會同時創建出一個配有默認用戶名和密碼的初始化數據庫。

由于數據庫的用戶（如DBA）可能有權編輯表中的數據，或是通過更改默認模式（schema）的權限，來訪問到不被允許的數據，因此這就會造成數據庫的漏洞。我們下面來討論一下根據安全與合規性，需要審計的各種重要活動。

• 用戶訪問和身份驗證

這是在組織內部或外部發生任一種違規事件的切入點。特權用戶可能會更改或提取客戶數據中的財務信息，或者不懷好意地接入某些不被允許的系統。

通過對這些活動的審計，企業有可能在發生數據泄露事件之前發現他們，或者至少能夠幫助實施更好的安全配置，以防止各種數據丟失的發生。

• 數據庫對象

數據庫對象里通常會保存著用戶或公司的數據，它們也通過各種過程或邏輯來定義了系統的某些功能。具有相應權限的用戶能夠對這些對象的具體結構進行操控。當然這也為數據的破壞和盜竊提供了邏輯上的基礎。倘若審計沒有被啟用的話，這些活動將無法被追蹤到。

因此，我們應當對所有重要的表、視圖、過程、數據庫鏈接、以及某些控制業務應用功能的運行時邏輯流（runtime logical flows）執行審計。

• 數據

對于任何組織來說，最重要的是他們的數據。雖然許多用戶都具有操作數據的權限，但是我們要保證所有機密和受限制的數據都不會被未經授權的用戶所訪問或編輯。

識別與跟蹤諸如用戶名稱、操作時間、具體數據和變更等細節，將有助于公司遵守與實現各種數據合規的具體要求。與此同時，這些與數據相關的特征審計也會隨著新的GDPR的合規性要求而變得更為重要。

• 網絡

如今大量的數據都處于流動之中。您在將數據存放到本地的同時，也會通過大量的網絡流量部署到共有云之中。對網絡進行審計將有助于您去了解這些海量的數據，并確定對于網絡資源的需求，從而更好地配置屬于自己的網絡架構。

此外，在您將數據從一個位置移動到另一個位置的過程中，數據很容易遭到盜竊與丟失，因此您還應當配合相關的數據加密服務。

• 數據庫總體利用率

審計數據庫的整體利用率可以讓您很好地了解服務器的運行成本，使您能夠在滿足各種需求之前，為現有資源的添加和修改做好準備。同時，您還可以根據審核結果進行各種有效警報的相關配置。

數據庫審計的頂級方案

不同的數據庫在不同的層面上為數據審計提供了不同的選項。以下列舉了一些頂級數據庫產品及其審計功能。

• Oracle Database 12c

該系統允許用戶通過各種策略和條件來優化數據庫的審計。Oracle已將Audit Vault和Database Firewall這兩款安全產品合二為一，以便用戶使用統一的數據審計與跟蹤功能。

與之前的版本相比，Oracle Database 12c通過提供具有針對性的、精確的、且基于上下文的日志記錄相關配置，以提供更好的審計服務。通過減少審計數據記錄的開銷，并以統一的方式捕獲數據，Oracle數據庫在性能和審計報告上有了大幅提升。

例如，我們可以將策略配置為對IP地址、程序代碼、消耗時間和網絡訪問的驗證方式等不同方面的審計。Oracle還可以對保留在數據庫中的審計跟蹤記錄和日志文件進行定期的監控。

• DB2

在開啟服務之后，IBM的db2audit會為各種數據庫操作生成不同的審計日志。在文件系統層面上，對應產生的審計跟蹤記錄可以在日志文件中被找到。我們可以使用db2audit工具，來配置和監控與實例相關的審計信息。

由于大部分那些需要審計的數據庫活動都發生在關聯數據庫的分區里，因此我們需要開啟對此類分區的審計。由于這些審計記錄是基于對象所產生的，因此每一種記錄都能夠標識出發生活動的所在分區。

• MySQL企業級審計

該方案提供了友好的用戶界面和基于策略的審計。一旦開啟了審計插件，用戶便可以定義需要審計的各種選項。審計日志會以XML格式被安全地產生，并能夠被任意查看器所打開。同時，審計日志也可以被加密，然后由第三方工具運用分析型密鑰進行共享或解密。此外，它具有一種新的增強性功能：即通過生成壓縮過的日志文件，來節省存儲的空間。

其實，許多數據庫都具有提供審計工具的內置功能，它們通過提供自身數據庫的安全性，以滿足合規性的要求。

應對嚴格的安全要求

目前，全球各類組織都正在積極地應對GDPR的要求。當然，這并非是第一個被引入的數據安全措施。實際上各類組織一直都在處理著各種現有法律法規所提及的相關問題。例如歐盟的數據保護指令（GDPR正在取代的）和美國的HIPAA（Health Insurance Portability and Accountability Act）。在今年5月份GDPR的生效之日，各個DevOps工程師們將需要在設計上采用更為嚴格的數據保護理念，并要采用更為恰當的數據保護措施。

根據組織架構的特點，針對數據庫活動實施審計的責任將會落在DevOps工程師和相關團隊領導的肩上。而實施審核則應當由單一角色來掌控，進而避免被他人予以篡改或查看。通過運用審計工具和插件，各類組織將能夠輕松地生成多種合規性報告。

工具的要求

如果您的企業正在使用我們上面討論過的三種數據庫，或是正在使用MSSQL和MongoDB，那么通過簡單的配置和使用自帶的審計管理工具，是否就能輕松地管理好各種日志呢？答案是否定的。

如今，由于大量數據都分散在本地和云端，因此您需要找到一些合適的第三方工具，通過提供統一的界面，來滿足所有的審計與合規需求。基于政策的數據庫安全與審計軟件往往能夠實現對各種數據庫活動的輕松配置、管理和監控。

GDPR是一份在保障數據安全方面能夠起到承前啟后作用的最新法規。在使用不同廠商所提供的不同數據庫時，我們尤其需要保障數據庫的安全性，這對于組織的健康運營來說是至關重要的可見，對于數據庫審計能夠保證我們正確、徹底地在各個平臺上保留與數據庫相關的、所有活動的詳細歷史記錄。

原文標題：Database Audits: Why You Need Them and What Tools to Use，作者：Yaniv Yehuda 

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】