1. 首頁 > 生活 > >

數據庫的安全審計提供了事后審查的安全機制 什么是數據庫審計?它是如何保障數據庫安全性的?

小知識



文章插圖
數據庫的安全審計提供了事后審查的安全機制 什么是數據庫審計?它是如何保障數據庫安全性的?

文章插圖
Oracle RAC是什么?
RAC是real application clusters的縮寫,譯為“實時應用集群”, 是Oracle新版數據庫中采用的一項新技術,是高可用性的一種,也是Oracle數據庫支持網絡計算環節的核心技術 。
Oracle RAC中會有如下幾個IP地址
真實IP和VIP:Oracle RAC中每個節點都有一個虛擬IP,簡稱VIP, 與真實IP在同一個網段 。vip 附屬在public網口接口 。VIP和真實IP最主要的不同之處在于:VIP是浮動的,而真實IP是固定的 。在所有節點都正常運行時,每個節點的VIP會被分配到網卡上;在linux下ifconfig查看,public網卡上是2個IP地址;如果一個節點宕機,這個節點的VIP會被轉移到還在運行的節點上 。也就是幸存的節點的網卡上,多出來一個VIP 。
Private-IP: RAC中的 Private私有IP用于心跳同步,這個對于用戶層面,可以直接忽略 。簡單理解,這個Ip用來保證兩臺服務器同步數據用的,屬于RAC內部之間通信 。priv 與真實IP 不應同屬一個接口 。
Scan-IP:Oracle11gR2之后,引入了一個scan的概念 。SCAN IP是作為一個新增IP出現的, scan ip其實是oracle在客戶端與數據庫之間,新加的一個連接層,當有客戶端訪問時,連接到 SCAN IPLISTENER, 而SCAN IP LISTENER接收到連接請求時,會根據 算法將該客戶端的連接請求,轉發給對應的instance上的VIP LISTENER,從而完成了整個客戶端與服務器的連接過程 。
簡單說一下Oracle RAC的訪問流程:
客戶端先訪問Scan-IP,然后Oracle會根據算法返回一個VIP至客戶端,客戶端最終訪問VIP進行業務訪問 。
下面用一個實際的環境來簡要說明一下:
網絡拓撲如下:
OracleDB1的環境如下:
【數據庫的安全審計提供了事后審查的安全機制 什么是數據庫審計?它是如何保障數據庫安全性的?】192.168.10.181db01為真實IP1
192.168.10.182 db02為真實IP2
192.168.10.183db01-vip為VIP1
192.168.10.184db02-vip為VIP2
192.168.20.181db01-priv為Private-IP
192.168.20.182 db02-priv為Private-IP
192.168.10.180rac-scan為Scan-IP
OracleDB1接口的情況如下
以下可看到RAC1的監聽IP,該監聽IP是提供服務,一般是設備的VIP和真實IP,同理RAC2的監聽IP是192.168.10.182、192.168.10.184,所以我們需要關注的是這每臺設備的這2個IP 。
(PS:這個時候我們會有個疑問,為什么會提供2個IP提供監聽,直接用真實IP不就好了嗎???
沒有VIP時,Oracle客戶端是靠“TCP/IP協議棧超時”來判斷服務器故障 。而TCP/IP協議棧是作為OS Kernel的一部分來實現,不同的OS有不同的閥值,用戶獲悉數據庫異常的時間完全取決于OS Kernel的實現 。因此,oracle RAC引入了VIP,從而避開對TCP協議棧超時的依賴 。不過也有一些客戶VIP和真實IP都會用到,所以這個與客戶溝通好他們的數據流是如何通信 。)
當RAC2掛了后,VIP2飄到了RAC1,雖然VIP2飄過去了,但是VIP2是不會提供服務,只由VIP1提供服務,而scanIP也會只提供VIP1給客戶端 。
針對Oracle RAC環境,DAS如何進行審計數據庫的訪問記錄?
鏡像流量部署:
通過復制交換機的數據庫流量,鏡像到審計設備,進行審計 。該部署方式對用戶數據庫環境無任何影響 。建議條件允許的情況下,優先采取此方式進行部署配置 。
agent部署:
在無法提供鏡像端口的情況下可采用探針(agent)部署在數據庫中 。該部署方式適用云環境,虛擬環境,數據庫比較分散等場景 。探針與DAS建立連接,通過抓取網絡中的流量獲取信息發送到DAS設備,進行審計 。
若是DAS2.0.3及以下版本,agent的配置文件是填寫整個通信的物理接口,可在配置文件中配置物理接口,進行抓取物理接口的流量 。
若是DAS2.0.5及以上版本,agent只能填寫單個IP,所以我們需要了解好客戶的數據通信流,它是采用哪個IP進行通信的(VIP、真實IP) 。若是與VIP或者是真實IP其中一個IP通信,可在配置文件填寫對應IP進行抓取流量;若是同時使用2個IP的話,DAS2.0.5默認帶的agent版本是不支持的,若客戶是這個情況的話,麻煩需要找對應區域深信服工程師提供 。