市面上出現的兩種數據庫審計技術有何差別

在日漸火熱的數據庫安全領域，數據庫審計應該是應用最為廣泛，用戶接受度最高的產品了，沒有之一。 本文將對目前數據庫審計市場上的兩類技術路線進行分析，從使用效果出發，淺析兩者在各維度的審計效果上存在哪些差異，呈現產品真正能實現的功能和價值。希望能為廣大用戶在數據庫審計產品的選型上提供參考依據。 概括來講，兩類數據庫審計的技術路線區別，根本來自于兩者的部署方式、獲取數據庫訪問記錄的途徑不同以及SQL解析方式不同，審計效果自然不同。

 旁路式VS植入式 從5個衡量維度看技術路線的差異 衡量兩種技術路線的差異，可以從兩類產品在真實測試中的功能表現上能夠更直觀的呈現。下面從5個主要的衡量維度來看基于兩類技術路線的審計效果表現，這幾個維度也是業內對專業數據庫審計產品評判中普遍遵循的主要衡量指標。 1. 審計結果全面性的表現 旁路式：通過鏡像流量或探針的方式進行全流量采集，基于全量數據庫流量進行語句和會話分析，再通過對sql語句的協議解析，能夠審計到客戶端信息，返回結果集。這種采集方式首先對數據庫類型不挑剔，均可支持，并且能夠審計到普通用戶和超級用戶的訪問行為。 植入式：屬于注冊代理程序的“侵入式”審計，利用數據庫的自審計插件(如Oracle的FGAC插件)，讀取數據庫自審計日志，依賴的是數據庫自身審計能力，這里有一個很大的問題，如果數據庫自身不具備審計能力，那么這類數據庫審計產品就無法支持對此類型數據庫的審計;并且，數據庫自審計功能一般只提供增、刪、改、查語句和部分數據定義語句，無法提供全操作類型的審計，也無法完整審計結果集。不過從另一個角度來看，植入方式也有其亮點——本地操作的審計，這些不通過網絡的流量，傳統的流量鏡像方式捕獲不到，不過旁路式的審計，也可以通過增加rmagent，實現這項功能。 2. 審計結果準確性的表現 前面提到，兩者對數據庫訪問的采集方式不同，這決定了兩者在審計結果準確性上的差異表現。 旁路式：由于是基于全流量的審計，如果能配合sql語句的協議解析和特征捕獲等技術，可以準確關聯語句和會話，進行精確的審計結果查詢分析能力;準確關聯應用用戶與SQL語句，這樣可以實現對業務行為的審計。在此基礎上形成的規則庫，也能夠更準確的識別風險訪問及漏洞攻擊行為。 植入式：由于是基于正則表達式完成SQL語句規則，無法基于通訊協議解析命中語句規則，在實際工作中，會導致語句和會話無法關聯，不能按照會話進行語句梳理匯總，那么會缺乏連貫分析能力;并且，由于不是基于流量和協議的SQL語句解析，對于目前用戶普遍要求的應用關聯審計，也無法實現。 3. 檢索及入庫速度的表現 基于SQL語句的獲取方式不同，兩者在檢索及入庫速度方面也會存在差異表現。 植入式：由于原始審計信息是記錄在數據庫中的，需要定期獲取到審計設備上，這其中可能產生較大的延遲。另一方面，開啟數據庫自審計功能本身會占用大量內存，如果遇到高壓力并發的情況，會拖慢數據處理能力，連累正常業務訪問。 旁路式：旁路鏡像流量的方式對應用到數據庫的訪問完全透明，不會產生影響，這也是目前市面上大多數審計廠商如安華金和等，選擇旁路鏡像方式，配合精確SQL解析技術來實現審計高可用性的主要原因之一。 4. 關于存儲空間的占用表現 旁路式：由于是鏡像方式獲取流量，對于審計產品本身的存儲優化能力有一定要求，但不會影響數據庫服務器本身的存儲空間，需要考量對比的是產品本身能否提供歸一化技術和壓縮存儲技術，以節約存儲空間。 植入式：由于需要開啟自審計功能，需要占用大量數據庫本身的存儲空間，如果同時缺乏SQL歸一技術，那么在大數據處理情況下，數據庫本身的硬盤空間就會非常緊張。 5. 產品易用性方面的表現 兩者在配置和操作的易用性方面也存在較大差異。 植入式：數據庫審計產品在注冊實例的時候，需要手工輸入IP端口數據庫實例，還需要sys用戶及口令，向數據庫中注冊用戶及程序。另一方面，如果是基于正則式的規則配置，需要數據庫管理人員具備一定的技術能力，深度參與規則和策略的配置定義。 旁路式：由于是基于數據庫流量的語句語法解析，可以自動識別并添加審計數據庫;更專業的產品應能夠基于解析結果，從風險、語句、會話三個維度進行深度解析，維度之間相互關聯、多重鉆取分析，這樣用戶可以對數據庫的整體安全狀態有更直觀的判斷。 目前，市場上的數據庫審計產品多以旁路鏡像方式為主，但也出現了采用植入式技術路線的產品。從表面來看都能夠實現數據庫訪問行為的審計，但在審計效果及用戶體驗上存在顯著的差異，用戶需要在產品選型時更多關注產品的核心技術路線，以避免在實施部署后，為信息管理工作帶來麻煩。 來源：安全牛