安全审计不可少
Safety audit is indispensable
事故定位显重要

天津**大学虚拟集群环境中的数据库审计方案

天津**大学虚拟集群环境中的数据库审计应用案例

  • 用户需求

天津**大学有一卡通、学生信息管理系统、图书管理系统等等。各个大类系统均包含各种不同的数据库,且校园网络庞大,数据库、主机众多,如何确保数据库的安全?如何确保各种主机设备维护正常?在对数据库和运维安全方面存在如下主要需求:

1. 确保广大师生的个人信息不被泄露,对访问个人信息的数据库记录有据可查;

2. 确保广大师生的一卡通数据—-电子钱包金额不被盗用,并能够详实记录每一笔电子钱包交易记录;

3. 确保教务管理系统中学生学习成绩不被篡改,确保各教授科研资料不被盗取;

4.对所有操作有据可查,发现误操作时可追溯具体操作人和操作语句。

5.对于不同部门管辖、维护、使用的数据库,分别由不同的权限角色来审计,避免因为数据库审计造成数据的间接泄露。

  • 用户环境

天津商大的虚拟化环境采用了cisco ucs整体解决方案,部署了2cluster

 cluster1esxi01~exsi04linux服务器)

 cluster2esxi05esxi06windows服务器)

数据交换采用的是vswich,最普通的虚拟交换机。没有采用VRS,nexus1000v等分布式虚拟交换机,原因是分布式交换机放在vcenter上,如果vcenter有故障会导致整个网络都不连通。

用户采用了vmware分布式资源调度程序(DRS)并开启HA的配置,如果一个esxi出现故障或者硬件资源占用较大,则会自动切换到其他的esxi上;所以需要审计的服务器会随着资源的使用而可能出现在cluster1上的任何一个esxi上(一共4个)。

具体环境如下图所示:



  • 部署方案

由于天津**大学采用大量的虚拟集群技术,所以在部署上有别于日常的交换机端口镜像方式,此处采用虚拟集群中vaudit-probe和审计中心分别部署的方式,如下图所示:

虚拟集群上部署Vaudit_probe

部署Vaudit_probe cluster1上,由于用户采用了DRS的配置,所以理论上每个cluster1上的esxi都要有一个安装一个数据库审计采集虚拟机(现场装了2个)。

1、将采集虚拟机的虚拟采集网卡(eth2eth3)加入要审计的数据库服务器虚拟机端口组中,将虚拟交换机改为混杂模式;

2、将通信口(eth0)添加到通信的虚拟机端口组中,分配ip,采集虚拟机的IP与数据库审计服务器IP可达;

3、配置sniffer-live的插件发送,改为tcp://xxxx:xx(IP加端口的形式)。此处转发sqlserver数据包,采用tcp://59.67.127.20:9999端口。

4、配置审计的数据库服务器IP地址、数据库类型等。(此处需申请临时授权,否则无法配置。)

数据库审计服务器部署:

实体机部署在用户机房,分配IP,和Vaudit_probe网络可达,用户可通过网络访问管理,添加审计的数据库服务器IP地址、数据库类型等。

停止sniffer-live进程,并修改dba-collection-process-manager.xml的配置。

目前主要是对sqlserver数据库的C/S操作审计,后期将添加其他类型数据库以及web中间件的审计监控。

开启“业务权限控制”功能,将审计的数据库分配给不同的权限角色审计。

  • 应用效果

通过毕方数据库审计系统的部署实施,帮助天津**大学建立一套能对所有数据库的各类操作进行全程记录、分析、展现的功能,帮助天津商大开展内控工作,做到事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

具体应用效果如下:

  1. 全面记录所有数据库的操作,包括在虚拟机上运行,交换数据未发送到网络中的数据库。保护师生的个人资料不被无记录的访问,造成无监管的泄露。
  2. 对于误操作的数据库访问,有据可查,清晰判断操作者的操作意图。
  3. 保护一卡通、学习成绩等和师生息息相关的数据不受到未预期的篡改或破坏。
  4. 通过细化的权限分配机制,各部门只能审计管辖范围内的数据库,避免因数据库审计系统的记录和权限过大造成数据间接泄露。

常见问题

你们的产品是否安全?

您好,我们产品以CentOS操作系统为平台,系统经过精简和优化,随时修补最新安全漏洞。

免费版有什么特点?

您好,为照顾小微发展型企业,降低系统安全建设成本,毕方数据库审计免费版和獬豸日志审计免费版功能无任何限制,仅在监控数量有限制,数据库审计授权监测审计数据库数量1台,日志审计审计授权监测审计设备数2台。免费版无专职技术专员一对一的进行服务,可加入QQ群:979218901获得支持。

无限制版有什么特点?

您好,该版本主要对接各种信息安全项目,产品无期限限制,授权数根据项目所提进行设定,产品享受维保、升级、现场、备机等服务。

我想与你们合作可以吗?

您好,非常欢迎与您的合作,合作方式灵活多样,有意可联系具体细谈。

你们产品有多少种版本?

您好,目前我们数据库审计和日志审计产品有免费版、服务版和无限制版三种。

服务版有什么特点?

您好,服务版是非常灵活的购买方式,用户可按授权数量和按月或按年购买,可做到资金合理利用,避免资源浪费,后期根据要求可随时扩容。服务版享有全程的技术支持服务,服务方式为电话、即时通信、远程协助。

安装包我不会安装怎么办?

您好,我们提供有详细的安装文档,如仍无法完成安装,建议采购我方硬件设备,我们负责安装生产后快递给您。