雲上等保部署要點——阿裡雲資料庫審計和堡壘機

資料庫審計和堡壘機是伺服器和資料庫的貼身侍衛，也是組織機構通過資訊安全等級測評的“剛需”。目前一些行業不斷強化對等保的要求，例如教育部要求網際網路教育APP要求在6月30日之前完成資訊安全等級備案的工作，近期與等保相關的服務和咨詢開始多了起來，在這一過程中，資料庫審計和堡壘機是被提到最多的兩個産品，今天我們就來說一下這兩個産品的選購和部署要點。

資料庫審計和堡壘機有兩個共同點：

• 他們都工作在“旁路”模式下，當然這裡的旁路主要是相對于業務系統來說的，是以在部署和運作堡壘機和資料庫審計的過程中并不會對業務系統造成任何的幹擾，有此顧慮的可以放心了。
• 他們的主要功能都是用來進行“事後審計”，堡壘機主要是對操作人員的遠端管理操作進行運維操作審計、資料庫審計主要是對業務系統和運維人員對資料庫的通路進行審計。

這兩個特性結合在一起就産生了一個問題：必須保證所有的運維操作和資料庫通路都能被截獲和記錄，堡壘機和資料庫審計自身是沒有辦法強制截獲流量的，在阿裡雲上部署堡壘機和資料庫審計通常都要結合使用安全組和RDS白名單來保證流量截取的完整性。

公共的東西講完了，先來看堡壘機的部署要點。

阿裡雲堡壘機的部署可以分成六步：

• 第一步、釋放和激活堡壘機執行個體、阿裡雲堡壘機購買後需要激活釋放後才能進行後續配置，是以第一步就是到堡壘機的控制台去釋放堡壘機執行個體，在釋放的過程中需要選擇堡壘機所在的虛拟機交換機。
• 第二步、登陸堡壘機、堡壘機執行個體釋放完成就可以登陸進行配置了，阿裡雲堡壘機有兩個IP，一個内網IP和一個外網IP，這樣在登陸的時候就會有兩個選項，内網登陸和外網登陸，通常情況下我們都要選擇外網登陸，除非是VPN或者專線環境。
• 第三步、建立堡壘機本地使用者或者導入使用者，堡壘機支援導入RAM子賬号或者LDAP使用者，大部分使用者使用堡壘機本地使用者即可，這裡的使用者就是日後要登陸伺服器進行運維的管理者。
• 第四步、建立或者導入資産，這裡的資産就是要管理的伺服器，阿裡雲堡壘機支援導入目前帳号下的ECS伺服器，也支援手工建立伺服器資産，隻要網絡可達，無論是否是雲伺服器，均可添加，在建立或者導入資産後可以把伺服器的管理者帳号資訊填入伺服器資産中，這樣在不洩露伺服器密碼的情況下就可以讓授權的使用者通過堡壘機對該伺服器進行管理。
• 第五步、建立運維規則，通過運維規則來綁定使用者和資産，這樣“使用者”就可以對規則中的“資産”進行運維了管理了，在建立運維規則時可以指定一些諸如允許時段、允許IP、允許執行的指令等管理政策。
• 第六步、編輯伺服器安全組規則，令伺服器的管理運維端口（3389/22）隻接受來自堡壘機網絡位址的請求，保證所有的管理維護操作隻能經由堡壘機執行，這一步非常重要，否則堡壘機的審計作用将形同虛設。

說完了堡壘機，再讓我們看看資料庫審計。

阿裡雲的資料庫審計的部署可以分成如下七步：

• 第零步、先要選擇版本，阿裡雲上的資料庫審計有兩個版本，分别是A100和C100，在購買時容易導緻選擇困難。過去，阿裡雲的預設選擇都是A100，而最近則改成了C100，C100支援阿裡雲日志服務、支援建立審計規則進行報警，比較适合願意“折騰”的使用者。對于單純的等保測評來說A100更加簡單直接，鑒于大多數要通過等保測評的使用者都不喜歡“麻煩”，我們就隻介紹A100的部署要點。
• 第一步、還是釋放和啟動資料審計執行個體。
• 第二步、根據情況從資料庫審計的内網或外網位址登陸。
• 第三步、添加資料庫執行個體，就是對資料庫的類型、版本、位址、端口、執行個體名稱等資訊進行登記描述，友善對采集到的資訊進行分析和存儲。添加完了資料庫執行個體之後并不會自動的收到資料庫的通路資料，還需要部署Agent進行采集，這一點非常重要。
• 第四步、部署Agent，假如要審計的對象是阿裡雲RDS則要把Agent部署在所有需要通路資料庫的伺服器和用戶端上，對你沒看錯，就是所有，落下任何一台你的審計資料就是不完整的。假如要審計的對象是在阿裡雲ECS上自建的資料庫，則可以将Agent部署在資料庫伺服器上，這裡不同的部署位置需要安裝的軟體也有所不同。
• 第五步、開啟資料審計管理者和審計員的登陸權限，可以通過資料庫審計的外網位址直接登陸，這樣就無需阿裡雲管理者使用者即可進行資料審計系統自身的維護以及對采集到的資料庫SQL語句進行審計工作了。
• 第六步、假如是阿裡雲RDS資料庫要通過白名單保證隻有安裝了Agent的伺服器才可以通路RDS、這一步同樣非常重要。

通過以上步驟的介紹，希望您可以對阿裡雲資料庫審計和堡壘機的部署過程有一個整體的把握，具體操作步驟可以參考阿裡雲線上文檔。