正确的産品選型,意味着什麼?
對于資料庫審計産品而言,正确的選型将直接決定其在未來的應用過程中能否真正發揮出審計的價值!為了幫助廣大使用者更加合理地選擇符合自身需要的資料庫審計産品,安華金和根據以往衆多項目中的選型經驗總結,針對四點關鍵技術性名額進行分析,并提出參考建議:
技術名額一:準确性
1
會影響資料庫審計準确性的因素
· 資料庫系統的複雜性
大型資料庫系統的通訊協定是異常複雜的,為了進行準确的審計,審計産品需要對各種資料庫通訊協定進行分析,以還原通訊包中的通訊協定結構,繼而準确識别SQL語句、SQL句柄、參數、字元集等資訊,技術的複雜性與困難度可想而知;
· 業務系統使用資料庫技術的複雜性
以銀行為例,其業務系統通常由很多參數化語句組成,且每個參數化語句對應一個SQL遊标(又稱SQL句柄),并使用SQL遊标和參數綁定來執行指令;在這種情況下,審計産品必須準确還原資料庫通訊協定包中的SQL遊标和Bind Variable的值,同時将SQL遊标和參數化SQL語句準确關聯還原,才能夠實作準确的審計;否則,會因為無法識别通訊協定導緻資料漏審,而一旦出現審計資料的大量漏審,那麼審計工作的價值便無從談起了,就連合規監測也會受到嚴重影響。
2
有效驗證審計産品準确性的方法
安華金和建議:在選型過程中,盡量采取複制關鍵業務系統一段時間(最好是業務高峰期)的資料庫通路網絡流量作為審計基準流量包,并通過重放審計基準流量包,對不同廠商所提供的資料庫審計産品進行審計量和審計内容準确性的對比。這是非常有效的一種選型方式——因為最貼近業務,是以也最能展現資料庫審計産品的審計準确性和成熟度。
技術名額二:性能
如果說“準确性”是資料庫審計的“前提和基礎”,那麼“性能”就是衡量這一工作“完成效率”的重要名額。不過,判斷一款資料庫審計産品“性能”的好壞不能光看“表面”,真實情況可能沒那麼簡單。
1
性能瓶頸下的“錯覺”
首先要強調的是,任何一款資料庫審計産品都存在性能瓶頸;正因如此,使用者需要關注一種可能發生的情況,即有些資料庫審計産品無論面對多麼大的壓力測試,其資源消耗始終維持在一個基本不變的水準,也未發出任何“壓力告警”提示資訊;然而真實情況卻是,丢失審計資料的情況已經且正在發生,為什麼會出現這種問題?往往是因為這類資料庫審計産品通過某些技術配置,将超限的流量“默默丢棄掉”,以維持表面上的“性能錯覺”。
對此,安華金和建議通過以下兩種方法進行測試:
· 測試方法一
使用從生産系統通過流量複制獲得的基準壓力測試流量包,并通過不同的壓力進行流量包重放,以觀察審計産品在何種的壓力下會出現較大規模的審計資料丢失情況。
· 測試方式二
在相同壓力下,對多個審計産品進行對比測試;通過對比審計量,可較為清晰地看出不同審計産品的能力水準。
2
不應缺失的“超限告警”
由于資料庫審計産品采用旁路部署的方式,是以會在審計流量超限時,保護性地丢棄無法處理的流量;但是,如果産品本身不具備較為準确的超限告警能力,使用者方面就無法及時知曉是否發生了流量超限的情況,也無從判斷是否出現了大規模審計資料丢失的問題,更不可能依據流量超限的真實情況進行準确應對。是以說,是否具備準确的“超限告警”能力,對判斷資料庫審計産品真實性能的具有重要意義。
技術名額三:探針
随着雲和虛拟化環境的廣泛應用,需要通過部署審計探針來應對上述無法進行流量鏡像的場景;正因如此,探針的流量采集性能,以及部署探針對使用者主機資源、網絡資源的影響等,成為了資料庫審計産品選型的重要技術名額之一。
1
探針的流量采集性能
部署探針後,可通過壓力測試,檢測其在審計流量發生較大規模丢失時的性能表現。
2
探針的資源可調能力
探針的資源可調能力,主要是為解決以下兩種情況:
· 如果探針對資源占用不合理,會嚴重影響伺服器的業務處理能力;
· 探針需要複制資料庫流量并通過網絡傳輸至審計裝置,而這也意味着增加了一倍的資料庫流量;如果對流量傳輸的控制不合理,就會造成帶寬不足,并嚴重影響伺服器的業務處理能力。
根據以上情況,安華金和建議在資料庫審計産品選型時,對審計探針是否具備“資源占用監測及可調節能力”進行重點考量:
· 探針支援自我調節能力,可最大限度減少對資料庫伺服器的影響;可提供CPU、MEM、帶寬等多種壓力識别檢測手段,進而動态調整對資料庫流量采集的配置參數;
· 可根據動态門檻值檢測機制調整探針工作狀态,通過對不同級别限速(動态限速)或休眠主動挂起以降低對網絡帶寬的占用,進而保證業務的正常進行;
· 具有探針狀态監控、遠端控制啟停等管理功能,進而在大規模、分布式項目部署大量探針的情況下,能夠實作集中監測與管理。
技術名額四:靈活性
要知道,不同的使用者有着不同的場景、需求和痛點。從實用性的角度來看,是否能夠更加靈活地配置審計規則,幫助使用者更好地解決問題,是對資料庫審計産品的一大考驗。安華金和建議從以下三點,對資料庫審計産品的“靈活性”進行考量:
(1)預設情況下,産品進行全流量審計;
(2)如果需要根據使用者需求及其資料資産的重要性、通路邊界或區域等進行有選擇性的審計工作,則需要産品具備靈活的審計政策配置能力。例如:可針對登入行為(會話規則)和操作行為(操作規則)配置審計/不審計的規則;可支援包括通路來源、常用操作、指定對象操作在内的豐富的規則項等;
(3)當有人在運維區“批量查詢手機号”時,需要資料庫審計産品能夠識别這一“風險操作”,并實作對個人資訊的通路追溯和監測——記錄下進行風險操作人員的資訊及其查詢過的全部手機号,便于事後追溯及追責、定責;但是,如果審計産品僅具備面向全局的“結果集審計”功能,則會“無選擇性”地記錄所有SQL語句的結果集,進而造成使用者存儲空間的極大浪費,并嚴重幹擾審計工作的成效。是以,審計産品需要具備“按規則進行結果集審計”的能力,即支援設定“被規則條件命中後“再執行結果集審計動作的功能,而其他未被規則命中的SQL操作則不執行。