虚拟化平台和传统网络环境共存,应用服务器和数据库服务器要在混合云平台进行数据库审计,就要区别于传统的部署方式,本文以vSphere虚拟平台为例,对数据库审计在混合虚拟化平台上的部署进行实践探讨。
虚拟化能够应对 IT 部门面临的最紧迫难题:基础架构无序扩张,迫使 IT 部门将其 70% 的预算用于维护,而只留下很少的资源用于业务发展创新。
这一困难源于当今 x86 服务器的体系结构:它们的设计使其在同一时间只能运行一个操作系统和应用。这样一来,即使是小型数据中心也必须部署大量服务器,而每台服务器的容量利用率只有 5% 到 15%,无论以哪种标准来看,都是十分低效的。
虚拟化软件可使多个操作系统和应用运行在一台物理服务器(即“主机”)上,从而解决这一问题。每个功能完备的虚拟机 (VM) 都与其他虚拟机相隔离,并可根据自身需要使用主机计算资源。
虚拟化实施前,很多单位已经有一定的信息化基础,在已有的软硬件网络条件下逐步在引入虚拟化,即部分应用系统部署在虚拟化环境下,其他部分仍然是传统的应用和数据库服务器网络环境。虚拟化平台下数据库审计是实现安全合规必不可少的设备,而传统的数据库审计技术在新的虚拟化平台下存在一定的局限性。
传统数据库审计产品是通过交换机镜像数据库访问流量,通过SQL协议分析,实时记录网络上的数据库活动。端口镜像存在诸多限制条件:
部署的节点位置,必须支持端口镜像功能,并且有空闲的端口作为观测端口。
满足以上条件,则可以使用端口镜像的旁路模式部署数据库安全审计设备。
端口镜像旁路模式的部署点可以在各个部门出口交换机上,也可以部署在数据库前端交换机上,建议部署在数据库前端。
三、虚拟化平台下数据库服务器的模式
(1)应用虚拟化,但数据库未虚拟化。
这种情况下数据库与在虚拟化平台的应用通过交换机相连提供服务,数据库访问可以在交换机上设置流量镜像,输出到审计设备上。
(2)应用虚拟化,数据库也虚拟化,但分别在两台主机下。
如果在两台主机下,应用和数据库之间也可以通过在交换设备上镜像流量,实现数据库的操作审计。
(3)应用虚拟化,数据库也虚拟化,应用与数据库在一个主机下。
此时,应用到数据库访问是不通过网络硬件设备的,传统的数据库审计无法采用在交换机镜像流量的方式实现数据库访问协议分析。
因此,第(1)和(2)两种情况传统数据库审计产品都能够兼容,第(3)种模式下网络流量是在虚拟平台内流转的,无法通过物理交换机获得。
(1)软件版数据库审计产品
企业用户可能用到的混合虚拟化平台管理系统有如下图所示。
安华金和数据库安全实验室以vmware虚拟化平台进行实验后,获得如下实践结果。
数据库审计作为一个安装在虚拟机的应用,通过虚拟平台的软交换,进行网络流量镜像,将数据库审计产品结合到虚拟环境中的部署图如下图所示,,在虚拟环境下面,运行着三套应用系统APP1、APP2、APP3,以及其对应的后台数据库DB1、DB2、DB3。DBAudit为部署了数据库审计产品的虚拟机,所有设备通过vSphere Distributed Switch进行网络通讯。
ESXi在整个vSphere虚拟环境下的位置图
安华金和数据库安全实验室在vSphere搭建的实验环境如下:
在vSphere Distributed Switch上面可以通过使用端口镜像,使得所有访问目标数据库的网络流量,镜像到DBAudit审计服务器的数据采集端口。在下图描述的环境中,只要配置将PORT2,PORT5和PORT7的数据镜像至PORT8,那么DBAudit审计服务器即可获取到访问三台数据库虚拟机的流量。
DBAudit审计服务器通过镜像端口Port 8 ,进行数据采集的工作。同时,该虚拟设备通过Port 9,提供对外的访问及管理,用户可以对DBAudit进行配置和管理。
如果其他虚拟机通过vSphere Distributed Switch单独划分为独立的网段,各网段彼此之间不能连通,需要在每个网段里单独部署一套数据库审计,而不能在不同网段中共享一套。
(2)通过数据库本地代理
在虚拟化平台中的数据库服务器虚拟机上安装本地代理,通过本地代理将流量发送给硬件的数据库审计产品。
(3)比较这两种方式的优劣性:
方式(1)需要在数据库所在操作系统上安装软件,由此引发稳定性故障;
方式(2)会引起网络流量加大,网络拓扑复杂,安全体系漏洞大。(如,从数据库服务器向外写数据,在通常的防火墙安全策略中是禁止的。)
安华金和数据库安全实验室以vmWare虚拟化平台为例,采用软件版数据库审计在虚拟化平台下进行部署,区别于传统的数据库审计设备通过物理交换机镜像流量的的方式,通过vSphere Distributed Switch镜像流量,同时还要面对虚拟化平台下不同数据库服务器的模式特点进行部署实践。