国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專(zhuān)欄INFORMATION COLUMN

【內(nèi)容安全】虛擬化及云環(huán)境下數(shù)據(jù)庫(kù)審計(jì)優(yōu)缺點(diǎn)分析

G9YH / 762人閱讀

摘要:屬于虛擬交換機(jī),其對(duì)數(shù)據(jù)包的處理完全依賴(lài)于,并不像傳統(tǒng)交換機(jī)靠硬件進(jìn)行流量轉(zhuǎn)發(fā),因此對(duì)宿主主機(jī)的資源占用也非常嚴(yán)重,極大的降低了宿主主機(jī)的性能。

原標(biāo)題:虛擬化及云環(huán)境下數(shù)據(jù)庫(kù)審計(jì)技術(shù)探討
隨著越來(lái)越多的企業(yè)用戶(hù)將傳統(tǒng)的業(yè)務(wù)系統(tǒng)遷移至虛擬化環(huán)境或是云服務(wù)商提供的云平臺(tái),數(shù)據(jù)的泄露及篡改風(fēng)險(xiǎn)變的越發(fā)嚴(yán)峻,針對(duì)數(shù)據(jù)安全的防護(hù)以及事后審計(jì)追溯也變得越來(lái)越困難。究其原因,主要是傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)解決方案是通過(guò)旁路分析目標(biāo)被審計(jì)數(shù)據(jù)庫(kù)鏡像的流量,而虛擬化環(huán)境或者云平臺(tái)由于內(nèi)部的虛擬交換機(jī)(Vswitch)流量很難鏡像或者無(wú)法鏡像,因此傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)解決方案不足以應(yīng)對(duì)虛擬化和云平臺(tái)的數(shù)據(jù)庫(kù)審計(jì)需求。
  首先我們對(duì)虛擬化及云平臺(tái)環(huán)境中,傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)解決方案在典型的幾種場(chǎng)景下的優(yōu)缺點(diǎn)進(jìn)行解析:

  場(chǎng)景一:應(yīng)用和數(shù)據(jù)庫(kù)的虛擬主機(jī)不在同一臺(tái)物理機(jī)器上

  如下圖所示這種情況下的應(yīng)用和數(shù)據(jù)庫(kù)虛擬主機(jī)不在同一臺(tái)物理機(jī)器上,對(duì)傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)來(lái)說(shuō),可以采用傳統(tǒng)方式直接鏡像數(shù)據(jù)庫(kù)服務(wù)器所在的物理宿主主機(jī)(物理機(jī)器4)網(wǎng)卡的流量,完成對(duì)目標(biāo)數(shù)據(jù)庫(kù)的審計(jì),缺點(diǎn)是需要將虛擬機(jī)流量全部鏡像過(guò)去,同時(shí)可能會(huì)導(dǎo)致一些無(wú)需審計(jì)的主機(jī)的數(shù)據(jù)的泄露,這是這種解決方案最大的一個(gè)風(fēng)險(xiǎn)。

  場(chǎng)景二:應(yīng)用和數(shù)據(jù)庫(kù)的虛擬主機(jī)在同一臺(tái)物理機(jī)器上

  針對(duì)應(yīng)用和數(shù)據(jù)庫(kù)在同一臺(tái)物理機(jī)器上,應(yīng)用和數(shù)據(jù)庫(kù)的交互過(guò)程通過(guò)內(nèi)部的Vswitch進(jìn)行了流量轉(zhuǎn)發(fā),流量并不通過(guò)所在的物理機(jī)器的宿主主機(jī)網(wǎng)卡,因此采用傳統(tǒng)的鏡像流量根本無(wú)法鏡像,如下圖所示:

  針對(duì)這種情況傳統(tǒng)數(shù)據(jù)庫(kù)解決方案有三種方法解決:

  a、虛擬機(jī)虛擬網(wǎng)卡綁定物理網(wǎng)卡

  要求宿主主機(jī)有多個(gè)物理網(wǎng)卡,每個(gè)物理網(wǎng)卡和上層交換機(jī)直連,虛擬機(jī)層面在安裝時(shí)可以指定將虛擬網(wǎng)卡綁定在對(duì)應(yīng)的宿主主機(jī)的物理網(wǎng)卡上,然后使用傳統(tǒng)的鏡像方式鏡像物理網(wǎng)卡的流量完成審計(jì),這種缺點(diǎn)非常明顯,要求物理服務(wù)器要有多個(gè)網(wǎng)卡,實(shí)際上大部分PC服務(wù)器只有不超過(guò)1-4個(gè)網(wǎng)卡端口,大部分物理機(jī)器上虛擬了幾十個(gè)虛擬機(jī),因此,在實(shí)際部署上并沒(méi)有那么多網(wǎng)卡可供綁定,存在諸多限制,實(shí)際上并無(wú)法實(shí)施。

  b、在VDS上配置流量鏡像

  Vmware ESX在最新版本中推出的功能,將某虛擬機(jī)網(wǎng)卡流量通過(guò)GRE封包,直接通過(guò)TCP協(xié)議發(fā)送到某個(gè)IP地址上(數(shù)據(jù)庫(kù)審計(jì)設(shè)備),數(shù)據(jù)庫(kù)審計(jì)設(shè)備接收GRE數(shù)據(jù)包完成審計(jì),但是這種解決方案的缺點(diǎn)如下:

  Vmware版本及VDS(分布式虛擬交換機(jī)),據(jù)官方技術(shù)資料只有Vmware 5.5以上版本才支持,目前客戶(hù)現(xiàn)場(chǎng)主流的4.x、5.0、5.1等版本都不支持,其他非Vmware虛擬化環(huán)境就更不支持,因此針對(duì)大部分客戶(hù)現(xiàn)場(chǎng)環(huán)境實(shí)際并不支持部署。

  通過(guò)GRE封裝做流量鏡像對(duì)宿主主機(jī)的物理網(wǎng)卡性能影響非常嚴(yán)重,所有鏡像流量都要通過(guò)宿主主機(jī)的物理網(wǎng)卡進(jìn)出,極大影響了物理網(wǎng)卡的性能。

  VDS屬于虛擬交換機(jī),其對(duì)數(shù)據(jù)包的處理完全依賴(lài)于CPU,并不像傳統(tǒng)交換機(jī)靠硬件進(jìn)行流量轉(zhuǎn)發(fā),因此對(duì)宿主主機(jī)的CPU資源占用也非常嚴(yán)重,極大的降低了宿主主機(jī)的性能。

  c、開(kāi)啟流量廣播

  這種方式目前是最主流的方式,將數(shù)據(jù)庫(kù)審計(jì)以虛擬機(jī)的方式部署在對(duì)應(yīng)的宿主主機(jī),當(dāng)做宿主宿主機(jī)的一個(gè)虛擬機(jī)看待,然后開(kāi)啟Vmware的流量廣播功能,每個(gè)虛擬機(jī)都將收到Vswitch上每個(gè)端口通信的IP流量,因此DB審計(jì)設(shè)備只需要采集其虛擬網(wǎng)卡上的流量就可以采集到目標(biāo)數(shù)據(jù)庫(kù)服務(wù)器的流量,只需要在采集階段過(guò)濾掉其他流量即可完成審計(jì),如下圖所示:

  這種解決方案的缺點(diǎn)也非常明顯:

  1、開(kāi)啟流量廣播雖然大部分Vswitch都支持,但是這種方式就好比早期的Hub一樣,tcp通信能力將明顯降低,嚴(yán)重影響整體網(wǎng)絡(luò)傳輸?shù)臅r(shí)延及可靠;

  2、DB審計(jì)可以采集到所有虛擬機(jī)的流量,其他虛擬機(jī)一樣也會(huì)采集到所有的流量,這些流量里肯定包含很多未加密的敏感數(shù)據(jù)如用戶(hù)名、密碼等,假設(shè)這些虛擬機(jī)中有一臺(tái)機(jī)器被入侵或者非法利用,這樣會(huì)帶來(lái)極大的安全問(wèn)題。

  場(chǎng)景三 :應(yīng)用和數(shù)據(jù)庫(kù)的虛擬主機(jī)隨機(jī)的分配在一個(gè)虛擬化集群的某個(gè)主機(jī)上

  這種場(chǎng)景其實(shí)是場(chǎng)景一和場(chǎng)景二的結(jié)合,目前大部分客戶(hù)為了避免單一硬件的故障,基本上都采用虛擬化集群的方式實(shí)現(xiàn)企業(yè)的虛擬化,當(dāng)碰到單一硬件的故障,虛擬機(jī)會(huì)在整個(gè)硬件虛擬化資源池中自動(dòng)遷移,具體遷移到哪臺(tái)物理主機(jī)上并不確定,因此傳統(tǒng)的鏡像方式并不能確定虛擬主機(jī)此刻在哪個(gè)交換機(jī)上,如下圖所示:

  因此在這種場(chǎng)景下同樣無(wú)法做鏡像,只能把虛擬化集群所有主機(jī)的流量全部鏡像出來(lái),這種缺點(diǎn)也非常明顯:

  1、當(dāng)出現(xiàn)業(yè)務(wù)和DB在遷移到同一個(gè)物理機(jī)器上時(shí),其實(shí)并沒(méi)有流量,實(shí)質(zhì)上審計(jì)不到任何數(shù)據(jù),這個(gè)時(shí)候是存在嚴(yán)重的漏審計(jì);

  2、虛擬化集群涉及的機(jī)器比較多,流量非常大,網(wǎng)絡(luò)可能也比較復(fù)雜,傳統(tǒng)的鏡像方式很難在實(shí)際中進(jìn)行配置,因此很難實(shí)施;

  場(chǎng)景四:應(yīng)用和數(shù)據(jù)庫(kù)分別托管部署在完全獨(dú)立的第三方云計(jì)算平臺(tái)

  場(chǎng)景四是場(chǎng)景三的一種延伸與擴(kuò)大,場(chǎng)景四主要指目前主流的第三方云平臺(tái)提供商如阿里云、亞馬遜、騰訊云、華為云、百度云等等,底層的硬件、存儲(chǔ)、網(wǎng)絡(luò)等等都對(duì)用戶(hù)不透明,上層的虛擬機(jī)具體在哪個(gè)物理硬件服務(wù)器上,連接哪個(gè)物理交換機(jī),用戶(hù)一概不知道,如下圖所示:

  因此要用傳統(tǒng)方式配置鏡像,基本上沒(méi)有可能,云平臺(tái)提供商并不會(huì)提供底層資源的控制權(quán)給云主機(jī)租戶(hù),因此對(duì)這種場(chǎng)景的數(shù)據(jù)庫(kù)要進(jìn)行審計(jì),傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)解決方案將徹底無(wú)能為力。

  綜上所述,在虛擬化和云環(huán)境平臺(tái)中,只有場(chǎng)景一,傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)解決方案勉強(qiáng)可以解決。針對(duì)場(chǎng)景二傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)解決方案基本上是不支持,部分情況即使支持也是有非常明顯的缺點(diǎn)及種種環(huán)境的限制,針對(duì)場(chǎng)景三、場(chǎng)景四傳統(tǒng)的解決方案直接是無(wú)法支持。
  針對(duì)虛擬化環(huán)境和云平臺(tái)中的數(shù)據(jù)庫(kù)審計(jì)難題,安恒信息推出了全新架構(gòu)的虛擬化云環(huán)境Agent代理審計(jì)解決方案。通過(guò)在虛擬主機(jī)上部署Agent,以不變應(yīng)萬(wàn)變,全面支持以上描述的四種典型場(chǎng)景,這種解決方案由Agent對(duì)數(shù)據(jù)庫(kù)的請(qǐng)求行為直接進(jìn)行處理,處理完成之后由Agent直接將數(shù)據(jù)發(fā)給采集器統(tǒng)一檢測(cè)、告警、存儲(chǔ)及挖掘分析,徹底解決了各種虛擬化、云環(huán)境數(shù)據(jù)庫(kù)無(wú)法審計(jì)的難題。具體部署拓?fù)鋱D如下圖所示:

  本解決方案有以下優(yōu)點(diǎn):

  1、全面支持所有虛擬化環(huán)境和云環(huán)境的數(shù)據(jù)庫(kù)安全審計(jì),不區(qū)分業(yè)務(wù)部署架構(gòu)、底層虛擬化軟件架構(gòu)和底層的網(wǎng)絡(luò)架構(gòu),不依賴(lài)傳統(tǒng)的交換機(jī)流量鏡像;

  2、支持部署在虛擬化環(huán)境中所有的Linux 2.6以上內(nèi)核版本、及windows2003、2008、2012等版本;

  3、支持主流的Oracle、SQL Server、DB2、Sybase、Mysql、Lnformix等數(shù)據(jù)庫(kù),同時(shí)支持達(dá)夢(mèng)、人大金倉(cāng)、Oscar、Gbase等國(guó)產(chǎn)數(shù)據(jù)庫(kù),還支持cache、teradata、postgresql等數(shù)據(jù)庫(kù)的審計(jì);

  4、部署簡(jiǎn)單,支持一鍵安裝;

  5、對(duì)虛擬主機(jī)的性能影響可以忽略不計(jì),經(jīng)實(shí)際阿里云環(huán)境虛擬主機(jī)測(cè)試,DB服務(wù)器流量在120Mb以?xún)?nèi),agent對(duì)目標(biāo)服務(wù)器的性能影響在3-8%之內(nèi)。

  隨著虛擬化、云計(jì)算技術(shù)的不斷成熟,業(yè)務(wù)遷移到云端也是不可逆的趨勢(shì),未來(lái)將會(huì)有越來(lái)越多的企業(yè)、政府、個(gè)人用戶(hù)將應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)逐漸遷移到自主搭建的私有云中,或者是第三方服務(wù)商提供的公有云平臺(tái)中,企業(yè)、政府的核心敏感數(shù)據(jù)托管在云環(huán)境中,面臨著各種竊取、篡改的威脅,數(shù)據(jù)的安全審計(jì)將越發(fā)重要,傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品將逐步被下一代數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品所替代,安恒明御數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品將繼續(xù)作為行業(yè)的領(lǐng)導(dǎo)者,在虛擬化、云計(jì)算時(shí)代繼續(xù)為用戶(hù)的數(shù)據(jù)庫(kù)安全審計(jì)保駕護(hù)航。更多內(nèi)容安全內(nèi)容詳見(jiàn)商業(yè)新知-內(nèi)容安全

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/3418.html

相關(guān)文章

  • UCloud可信云成績(jī)單:4大權(quán)威認(rèn)證、3項(xiàng)最佳實(shí)踐

    摘要:月日,在中國(guó)信息通信研究院中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦為期兩天的可信云大會(huì)上,主辦方頒發(fā)了年上半年可信云系列評(píng)估認(rèn)證,以及公布了可信云相關(guān)技術(shù)服務(wù)能力與應(yīng)用案例最佳實(shí)踐評(píng)選活動(dòng)榜單。7月27日,在中國(guó)信息通信研究院、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦為期兩天的2021 可信云大會(huì)上,主辦方頒發(fā)了2021年上半年可信云系列評(píng)估認(rèn)證,以及公布了可信云相關(guān)技術(shù)、服務(wù)能力與應(yīng)用案例最佳實(shí)踐評(píng)選活動(dòng)榜單。UCl...

    Tecode 評(píng)論0 收藏0
  • 美國(guó)聯(lián)邦政府云計(jì)算安全策略分析

    摘要:在美國(guó)聯(lián)邦政府大力推進(jìn)云計(jì)算的同時(shí),美國(guó)政府大力研究和制定云計(jì)算安全策略。年月美國(guó)啟動(dòng)了政府范圍的云計(jì)算解決方案的安全認(rèn)證認(rèn)可過(guò)程的開(kāi)發(fā)。 引言 由于云計(jì)算在經(jīng)濟(jì)、敏捷和創(chuàng)新方面的突出特點(diǎn),受到美國(guó)政府高度重視。早在2009 年1 月, 美國(guó)行政管理和預(yù)算局(OMB)就開(kāi)始關(guān)注云計(jì)算和虛擬化。3 月維維克·昆德拉被任命為聯(lián)邦政府首席信息官委員會(huì)(CIOC)的首席信息官后即表示將推...

    laznrbfe 評(píng)論0 收藏0
  • 新華三:15年的堅(jiān)持,只為了把它做到極致

    摘要:年的堅(jiān)持,改變了新華三,也改變了,只為了把它做到極致。華夏銀行高度重視終端準(zhǔn)入控制,并且選擇了新華三產(chǎn)品。經(jīng)過(guò)與新華三的合作,華夏銀行實(shí)現(xiàn)了從總行到分行到支行的全行終端準(zhǔn)入控制管理。15年時(shí)間,可以改變很多人,改變很多事情,改變很多公司。15年的堅(jiān)持,改變了新華三,也改變了EAD,只為了把它做到極致。與時(shí)俱進(jìn)的EAD最早的第一代EAD產(chǎn)品,誕生于2004年,當(dāng)時(shí)新華三剛剛成立,作為公司核心主...

    UsherChen 評(píng)論0 收藏0
  • 云計(jì)算的5-3-2原理全面剖析

    摘要:二云計(jì)算的原理的和在年月提出了一個(gè)云計(jì)算的定義,這可能是目前一個(gè)得到廣泛認(rèn)同和支持的定義。云計(jì)算安全安全技術(shù)在云計(jì)算平臺(tái)的應(yīng)用,云服務(wù)商,運(yùn)營(yíng)商云計(jì)算對(duì)信息安全和云服務(wù)本身的安全提出的新要求的解決方案和技術(shù)。 經(jīng)常有人問(wèn)我:到底什么是云計(jì)算,它的核心是什么?自從某次的思考后,我每次都會(huì)回答:云計(jì)算的5-3-2原理,也就是具備5大核心特點(diǎn),3種服務(wù)模式和2種部署方式。 一、引子 由于云計(jì)算的...

    RayKr 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<