数据库审计和堡垒机是服务器和数据库的贴身侍卫,也是组织机构通过信息安全等级测评的“刚需”。当前一些行业不断强化对等保的要求,例如教育部要求互联网教育app必须完成信息安全等级备案的工作,近期与等保相关的服务和咨询开始多了起来,在这一过程中,数据库审计和堡垒机是被提到最多的两个产品,今天我们就来说一下这两个产品的选购和部署要点。
数据库审计和堡垒机有两个共同点:
他们都工作在“旁路”模式下,当然这里的旁路主要是相对于业务系统来说的,因此在部署和运行堡垒机和数据库审计的过程中并不会对业务系统造成任何的干扰,有此顾虑的可以放心了。
他们的主要功能都是用来进行“事后审计”,堡垒机主要是对操作人员的远程管理操作进行运维操作审计、数据库审计主要是对业务系统和运维人员对数据库的访问进行审计。
这两个特性结合在一起就产生了一个问题:必须保证所有的运维操作和数据库访问都能被截获和记录,堡垒机和数据库审计自身是没有办法强制截获流量的,在阿里云上部署堡垒机和数据库审计通常都要结合使用安全组和rds白名单来保证流量截取的完整性。
公共的东西讲完了,先来看堡垒机的部署要点。
堡垒机的部署可以分成六步:
第一步、释放和激活堡垒机实例、堡垒机购买后需要激活释放后才能进行后续配置,所以第一步就是到堡垒机的控制台去释放堡垒机实例,在释放的过程中需要选择堡垒机所在的虚拟机交换机。
第二步、登陆堡垒机、堡垒机实例释放完成就可以登陆进行配置了,堡垒机有两个ip,一个内网ip和一个外网ip,这样在登陆的时候就会有两个选项,内网登陆和外网登陆,通常情况下我们都要选择外网登陆,除非是vpn或者专线环境。
第三步、创建堡垒机本地用户或者导入用户,堡垒机支持导入ram子账号或者ldap用户,大部分用户使用堡垒机本地用户即可,这里的用户就是日后要登陆服务器进行运维的管理员。
第四步、创建或者导入资产,这里的资产就是要管理的服务器,堡垒机支持导入当前帐号下的ecs服务器,也支持手工创建服务器资产,只要网络可达,无论是否是云服务器,均可添加,在创建或者导入资产后可以把服务器的管理员帐号信息填入服务器资产中,这样在不泄露服务器口令的情况下就可以让授权的用户通过堡垒机对该服务器进行管理。
第五步、创建运维规则,通过运维规则来绑定用户和资产,这样“用户”就可以对规则中的“资产”进行运维了管理了,在创建运维规则时可以指定一些诸如允许时段、允许ip、允许执行的命令等管理策略。
第六步、编辑服务器安全组规则,令服务器的管理运维端口(3389/22)只接受来自堡垒机网络地址的请求,保证所有的管理维护操作只能经由堡垒机执行,这一步非常重要,否则堡垒机的审计作用将形同虚设。
说完了堡垒机,再让我们看看数据库审计。
安华金和的数据库审计的部署主要分为旁路审计及虚拟化审计及本地审计三种:
【物理部署】
对于要求高吞吐量、高性能敏感度、高稳定性的业务系统,
将数据库审计系统旁路物理部署于网络中,持续监控系统的访问行为,
并对安全事件进行事后分析。
数据库审计系统通过交换机镜像的数据流量实现对数据库行为的旁路监听,完全独立于数据库部署,不影响数据库的正常使用。
【虚拟化部署】
在无法通过交换机镜像引流时,将rmagent插件部署于数据库服务器中,rmagent从数据库服务器获取流量并将其通过网络发送给数据库安全审计系统,以完成数据采集。
【云化部署】
数据库审计系统支持云化部署,为云环境部署提供api接口,适用于主流私有云环境部署,如:青云、华为云、阿里云、腾讯云等。
【混合部署】
数据库审计系统支持混合部署,在混合部署的场景下,推荐安装rmagent插件,以实现审计复杂网络环境中的数据库流量。
试用申请
产品咨询:4000 258 365 