如果说数据库安全审计已成为数据库安全领域应用十分广泛,用户接受度很高的产品,应该没有人会否认。目前,市场上的数据库审计产品多以旁路镜像部署方式为主,但也有厂商采用植入式部署的方式,虽然两者都可以对数据库访问行为进行审计,但在审计效果和用户体验上却存在显著差异。安华金和建议广大用户:在产品选型时,应更加关注产品的核心技术路线,选择更适合的产品。
凯发k8游戏在下文将通过对数据库审计市场上两类技术路线的对比分析,分从审计结果全面性、审计结果准确性、检索及入库速度、对存储空间占用、产品的易用性五个衡量维度,呈现产品的功能和价值,为广大用户提供产品选型的参考依据:
【三个方式上的不同】
【五个维度上的差异】
维度一:审计结果全面性
1.旁路式:通过镜像流量或探针的方式进行全流量采集,基于全量数据库流量进行语句和会话分析,再通过对sql语句的协议解析,能够审计到客户端信息,返回结果集。这种采集方式首先对数据库类型不挑剔,均可支持,并且能够审计到普通用户和超级用户的访问行为。
2.植入式:属于注册代理程序的“侵入式”审计,利用数据库的自审计插件(如oracle的fgac插件),读取数据库自审计日志,依赖的是数据库自身审计能力。如果数据库自身不具备审计能力,那么这类数据库审计产品就无法支持对此类型数据库的审计;而且数据库自身审计功能一般只提供增、删、改、查语句和部分数据定义语句,无法提供全操作类型的审计,也无法完整审计结果集。
维度二:审计结果准确性
1.旁路式:由于是基于全流量的审计,如果能配合sql语句的协议解析和特征捕获等技术,可以准确关联语句和会话,进行精确的审计结果查询分析能力;准确关联应用用户与sql语句,实现对业务行为的审计。在此基础上形成的规则库,能够更准确的识别风险访问及漏洞攻击行为。
2.植入式:由于是基于正则表达式完成sql语句规则,无法基于通讯协议解析命中语句规则,在实际工作中,会导致语句和会话无法关联,不能按照会话进行语句梳理汇总,那么会缺乏连贯分析能力;并且,由于不是基于流量和协议的sql语句解析,对于目前用户普遍要求的应用关联审计,也无法实现。
维度三:检索及入库速度
1.旁路式:旁路镜像流量的方式对应用到数据库的访问完全透明,不会产生影响,这也是安华金和以及目前市面上大多数审计厂商选择旁路镜像方式,配合精确sql解析技术来实现审计高可用性的主要原因之一。
2.植入式:由于原始审计信息是记录在数据库中的,需要定期获取到审计设备上,这其中可能产生较大的延迟。另一方面,开启数据库自审计功能本身会占用大量内存,如果遇到高压力并发的情况,会拖慢数据处理能力,连累正常业务访问。
维度四:对存储空间占用
1.旁路式:由于是镜像方式获取流量,对于审计产品本身的存储优化能力有一定要求,但不会影响数据库服务器本身的存储空间,需要考量对比的是产品本身能否提供归一化技术和压缩存储技术,以节约存储空间。
2.植入式:由于需要开启自审计功能,需要占用大量数据库本身的存储空间,如果同时缺乏sql归一技术,那么在大数据处理情况下,数据库本身的硬盘空间就会非常紧张。
维度五:产品的易用性
1.旁路式:由于是基于数据库流量的语句语法解析,可以自动识别并添加审计数据库;更专业的产品应能够基于解析结果,从风险、语句、会话三个维度进行深度解析,维度之间相互关联、多重钻取分析,这样用户可以对数据库的整体安全状态有更直观的判断。
2.植入式:数据库审计产品在注册实例的时候,需要手工输入ip端口数据库实例,还需要sys用户及口令,向数据库中注册用户及程序。另一方面,如果是基于正则式的规则配置,需要数据库管理人员具备一定的技术能力,深度参与规则和策略的配置定义。
凯发k8游戏在开展审计产品研发之初,便已排除了类似植入式的技术路线,并将在数据库防火墙产品研发中积累的sql语句解析能力和细粒度规则管控能力等优势融入审计产品之中,通过与用户的交互不断提升产品的性能和易用性,致力为用户提供“免实施、免维护、免培训”的成熟产品。
目前,数据库安全审计系统已成为凯发k8游戏演进程度最高的产品,并将来自客户的直接需求纳入产品功能的演进之中,不断丰富数据库审计产品的特性,为这类成熟产品注入新的活力,持续提升产品对客户的使用价值。
试用申请