应对GDPR进行数据库审计的原因和好用工具推荐

译文
运维 数据库运维
数据库审计是合规性要求的一个重要组成部分。只有恰当并及时地设置好数据库的审计,您的组织才不会丢失那些通过存储用户数据来发展业务的机会。

[[229627]]

【51CTO.com快译】引言:在使用不同厂商所提供的不同数据库时,我们尤其需要保障数据库的安全性,这对于组织的健康运营来说是至关重要的。

数据库审计是合规性要求的一个重要组成部分。只有恰当并及时地设置好数据库的审计,您的组织才不会丢失那些通过存储用户数据来发展业务的机会。

随着全新的GDPR(“一般数据保护条例”)即将生效,公司里的整个团队应当尽快熟悉他们所面对的各个方面,从初始化阶段入手,将各种数据保护规则整合到应用程序、产品及服务之中,并且在产品的代码中默认启用数据保护的功能。本文将涵盖成功实施数据库审计的各个关键领域。

审计重要的活动

在您的数据中,通常会附带有许多不同的信息,而这些信息中的任意部分都可能会被用作数据泄露与盗窃。例如:当您在安装并配置新的数据库实例时,系统会同时创建出一个配有默认用户名和密码的初始化数据库。

由于数据库的用户(如DBA)可能有权编辑表中的数据,或是通过更改默认模式(schema)的权限,来访问到不被允许的数据,因此这就会造成数据库的漏洞。我们下面来讨论一下根据安全与合规性,需要审计的各种重要活动。

  • 用户访问和身份验证

这是在组织内部或外部发生任一种违规事件的切入点。特权用户可能会更改或提取客户数据中的财务信息,或者不怀好意地接入某些不被允许的系统。

通过对这些活动的审计,企业有可能在发生数据泄露事件之前发现他们,或者至少能够帮助实施更好的安全配置,以防止各种数据丢失的发生。

  • 数据库对象

数据库对象里通常会保存着用户或公司的数据,它们也通过各种过程或逻辑来定义了系统的某些功能。具有相应权限的用户能够对这些对象的具体结构进行操控。当然这也为数据的破坏和盗窃提供了逻辑上的基础。倘若审计没有被启用的话,这些活动将无法被追踪到。

因此,我们应当对所有重要的表、视图、过程、数据库链接、以及某些控制业务应用功能的运行时逻辑流(runtime logical flows)执行审计。

  • 数据

对于任何组织来说,最重要的是他们的数据。虽然许多用户都具有操作数据的权限,但是我们要保证所有机密和受限制的数据都不会被未经授权的用户所访问或编辑。

识别与跟踪诸如用户名称、操作时间、具体数据和变更等细节,将有助于公司遵守与实现各种数据合规的具体要求。与此同时,这些与数据相关的特征审计也会随着新的GDPR的合规性要求而变得更为重要。

  • 网络

如今大量的数据都处于流动之中。您在将数据存放到本地的同时,也会通过大量的网络流量部署到共有云之中。对网络进行审计将有助于您去了解这些海量的数据,并确定对于网络资源的需求,从而更好地配置属于自己的网络架构。

此外,在您将数据从一个位置移动到另一个位置的过程中,数据很容易遭到盗窃与丢失,因此您还应当配合相关的数据加密服务。

  • 数据库总体利用率

审计数据库的整体利用率可以让您很好地了解服务器的运行成本,使您能够在满足各种需求之前,为现有资源的添加和修改做好准备。同时,您还可以根据审核结果进行各种有效警报的相关配置。

数据库审计的顶级方案

不同的数据库在不同的层面上为数据审计提供了不同的选项。以下列举了一些顶级数据库产品及其审计功能。

  • Oracle Database 12c

该系统允许用户通过各种策略和条件来优化数据库的审计。Oracle已将Audit Vault和Database Firewall这两款安全产品合二为一,以便用户使用统一的数据审计与跟踪功能。

与之前的版本相比,Oracle Database 12c通过提供具有针对性的、精确的、且基于上下文的日志记录相关配置,以提供更好的审计服务。通过减少审计数据记录的开销,并以统一的方式捕获数据,Oracle数据库在性能和审计报告上有了大幅提升。

例如,我们可以将策略配置为对IP地址、程序代码、消耗时间和网络访问的验证方式等不同方面的审计。Oracle还可以对保留在数据库中的审计跟踪记录和日志文件进行定期的监控。

  • DB2

在开启服务之后,IBM的db2audit会为各种数据库操作生成不同的审计日志。在文件系统层面上,对应产生的审计跟踪记录可以在日志文件中被找到。我们可以使用db2audit工具,来配置和监控与实例相关的审计信息。

由于大部分那些需要审计的数据库活动都发生在关联数据库的分区里,因此我们需要开启对此类分区的审计。由于这些审计记录是基于对象所产生的,因此每一种记录都能够标识出发生活动的所在分区。

  • MySQL企业级审计

该方案提供了友好的用户界面和基于策略的审计。一旦开启了审计插件,用户便可以定义需要审计的各种选项。审计日志会以XML格式被安全地产生,并能够被任意查看器所打开。同时,审计日志也可以被加密,然后由第三方工具运用分析型密钥进行共享或解密。此外,它具有一种新的增强性功能:即通过生成压缩过的日志文件,来节省存储的空间。

其实,许多数据库都具有提供审计工具的内置功能,它们通过提供自身数据库的安全性,以满足合规性的要求。

应对严格的安全要求

目前,全球各类组织都正在积极地应对GDPR的要求。当然,这并非是第一个被引入的数据安全措施。实际上各类组织一直都在处理着各种现有法律法规所提及的相关问题。例如欧盟的数据保护指令(GDPR正在取代的)和美国的HIPAA(Health Insurance Portability and Accountability Act)。在今年5月份GDPR的生效之日,各个DevOps工程师们将需要在设计上采用更为严格的数据保护理念,并要采用更为恰当的数据保护措施。

根据组织架构的特点,针对数据库活动实施审计的责任将会落在DevOps工程师和相关团队领导的肩上。而实施审核则应当由单一角色来掌控,进而避免被他人予以篡改或查看。通过运用审计工具和插件,各类组织将能够轻松地生成多种合规性报告。

工具的要求

如果您的企业正在使用我们上面讨论过的三种数据库,或是正在使用MSSQL和MongoDB,那么通过简单的配置和使用自带的审计管理工具,是否就能轻松地管理好各种日志呢?答案是否定的。

如今,由于大量数据都分散在本地和云端,因此您需要找到一些合适的第三方工具,通过提供统一的界面,来满足所有的审计与合规需求。基于政策的数据库安全与审计软件往往能够实现对各种数据库活动的轻松配置、管理和监控。

GDPR是一份在保障数据安全方面能够起到承前启后作用的最新法规。在使用不同厂商所提供的不同数据库时,我们尤其需要保障数据库的安全性,这对于组织的健康运营来说是至关重要的可见,对于数据库审计能够保证我们正确、彻底地在各个平台上保留与数据库相关的、所有活动的详细历史记录。

原文标题:Database Audits: Why You Need Them and What Tools to Use,作者:Yaniv Yehuda 

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:庞桂玉 来源: 51CTO
相关推荐

2015-01-19 10:18:53

Azure SQL数据库审计云安全

2016-08-21 15:02:47

APP推广数据分析数据统计工具

2011-03-23 15:34:57

数据库审计

2011-05-25 00:00:00

数据库设计

2010-12-29 09:50:06

数据库安全审计数据库审计

2011-03-17 13:23:08

数据导入导出

2010-12-29 09:46:32

2011-03-01 16:30:55

Oracle

2022-04-08 11:25:58

数据库操作AbilityData

2009-08-25 16:36:16

C#进行数据库编程

2009-07-01 10:46:57

JSP程序JSP代码

2015-10-10 15:09:46

推荐工具Linux

2017-08-08 15:05:55

工具定位数据库

2010-12-27 14:45:27

2010-11-30 11:26:49

2010-03-30 18:48:24

Oracle 学习

2011-12-30 09:03:59

MySQL数据库

2019-05-30 06:51:29

2010-11-19 13:28:13

2016-02-23 11:37:38

点赞
收藏

51CTO技术栈公众号