Oracle数据库 360 – Oracle数据库健康全面保护方案


一、方案概要

随着信息化技术的发展和广泛应用,它已经成为了企事业单位和政府部门核心业务的支撑。现在,几乎所有的关键业务都是基于这些 IT 系统进行的,而所有这些 IT 系统的核心,又都是数据库系统。它集中了政府和企业最重要的数据,并提供运行使用,存储这些数据的平台。因此,安全可靠健康的数据库系统是各行各业关键系统业务运行和服务提供重要的保障。

从经验丰富的使用者角度来看,实现数据库系统的健康运行和安全保护,需要做到四件事情:

第一:了解和掌握数据库系统的整体运行情况,这些情况包括数据库环境的状态,数据库本身的性能等健康情况,以及数据库系统的安全情况的评估。

第二:建立有效的数据库系统的运维体系,增加数据库运行的有效性和高效率。

第三:对于数据库系统以及数据进行全方位的监控和保护。

第四:建立数据库访问和操作的全程记录和审计,并具备很强的错误纠正和恢复能力。

为了实现数据库健康保护的目标,市场和客户都在努力尝试各种方法和模式,包括采购大量的硬件和软件,希望构建一个安全健康的数据库环境。这些设备有网络防火墙、堡垒机、加密机、网管软件、入侵检测、安全审计、网闸等,同时也包括一些数据库运维管理的软件,基本解决了客户的一些问题,但却存在很大的缺陷:

  • 数据库健康和保护手段更多的集中在安全产品上,缺乏对于数据库内核部分和运行机制的深刻了解和针对方案;
  • 这些安全产品以被动防御为主,更多的是在网络和通过代理层发挥作用;
  • 缺乏数据库健康衡量和评估的工具和方法指导;
  • 各产品由不同的厂商提供,难以协同发挥最大作用,要进行多次配置;
  • 鉴于此,作为数据库的原厂商,甲骨文发挥自己对于数据库技术的理解和经验,推出了数据库 360,提供了开箱即用的数据库健康保护解决方案。

二、数据库 360 产品特点

Oracle 数据库 360,除了涵盖传统的数据库安全外,还包括了数据库的状态,运维质量、补丁漏洞弥补、评价和评估等多个方面,为客户数据库提供更完整和全面的支持和帮助。

1. 产品概述

数据库 360 实现了数据库健康管理平台的自动化、高效、安全,主要涵盖四个方面:

  • 全面扫描和总体评估,使用数据库健康评估工具(DAT),评估数据库基本情况、性能评估、配置评估等,生成健康评估报告。
  • 运维管理、性能管理,通过 EM12c 监控数据库的运行状态,对出现的问题及时发现,提供指导,对于数据库运行过程中如 CPU、内存、表空间、TOP Session 进行监控和建议。
  • 健康管理和安全保护,使用 EM12C 和 Database Firewall 实现对数据库的安全保护,识别潜在危险,制定安全策略。也可以借助 Database Vault 实现对数据库一级的权限控制和敏感数据保护。
  • 行为审计、漏洞弥补。通过 Audit Vault 集中多条审计线索,根据用户特性如 IP、用户名、机器地址、时间等多方面对用户行为进行跟踪和审计。使用 EM12c 帮助客户

web01

2. 产品特点

(1) 提供全面保护

数据库 360 的数据库健康保护涵盖数据库日常管理和使用的方方面面。

  • 数据库日常诊断
  • 数据库管理及优化
  • 数据库问题建议
  • 数据库安全防护
  • 数据库活动审计
  • 数据库健康报告
  • 数据库访问控制
  • 数据库保护的最佳实践

(2) “防控”结合

就像人一样,数据库本身也需要定期“体检”,通过“体检”发现潜在的隐患,要强于生了病再去治疗。数据库健康保护强调的不仅仅是拦截安全事件,更注重的是预防安全事件的发生。通过健康评估工具依靠超过 400 个评估指标产生数据库健康报告,帮助客户可视化数据库健康状况。

(3) 应用访问透明

数据库安全与应用密切相关,本方案中的数据库保护都无需应用系统做任何修改,对应用而言数据库保护是透明的,降低数据库保护的实施周期和实施成本,减少了风险。

(4) 高可用性支撑

数据库保护方案中的关键组件都支持高可用 HA 模式部署,最大限度的保护数据库,不会因为保护组件故障导致数据库安全问题的发生,遗漏关键的安全线索和审计日志。

(5) 敏感数据审计

AVDF 支持对数据库的敏感字段定义策略和预警,记录数据库中指定字段行为,以便对数据库敏感数据的访问进行审计和追踪,如果需要记录敏感数据的修改经历,配置数据库审计线索。

(6) 访问控制能力

健康保护方案中提供了两种访问控制能力,一种是借助数据库防火墙,另一种是借助Database Vault。数据库防火墙在网络层拦截非法访问,拦截 SQL 注入;Database Vault 在数据库内核拦截非法 SQL,可以阻断任何客户端的连接。

(7) 易用、灵活、简单

方案中的核心组件,EM12c 和 AVDF 都经过多年的发展,产品成熟稳定,经过市场检验,配置和管理使用浏览器即可,使用简单、灵活。

三、数据库 DB360 产品

1. 总体架构

数据库 360 提供的健康保护方案主要由 4 部分构成

web02

  • DB360 Portal 作为整个系统的管理入口,使得用户在一个集成页面就可以访问不同的功能模块,进行全方位的数据库健康管理工作。
  • EM12c 负责数据库健康管理,管理数据库的生命周期。
  • DAT 负责对数据库及操作系统环境进行评估,通过健康报告展示评估结果。
  • AVDF 负责数据库的安全保护,数据库防火墙可以在网络级帮助客户拦截非法访问,Database Vault 在数据库级对用户权限和访问进行甄别,Audit vault 负责对数据库审计,从数据库内部和防火墙、操作系统等多个来源收集审计线索,制定审计策略和发布预警。

2. 系统部署结构

web03

由三台预置服务器构成数据库健康保护平台,实现开箱即用,实施时只需上架,做简单配置即可立即发挥作用。

3. 主要功能

(1) DB360 门户

DB360 门户(Portal)作为整个数据库健康管理平台的入口,提供数据库健康评估、数据库健康管理、数据库健康保护等主要功能。通过页面整合,将 EM12c 登录、AVDF登录和 DAT 评估集成在一起,使客户仅在一个页面就可以访问不同的功能模块,查看评估结果。

web08

(2) 数据库健康管理

数据库健康管理既是一个企业数据库管理平台,同时又提供了深层次的、广泛的管理能力。数据库健康管理平台从数据中心的集中管控角度出发,实现了对数据中心所有数据库的一体化、自动化、智能化、集中化、主动化、合规化的管理。与传统的管理软件相比,数据库健康管理平台的优势主要体现在以下方面:

  • 一体化与集成性

所有对数据库的操作实现都在同样的架构下完成,包括监控、诊断、分析、优化、验证、实施、管理、补丁、云管理等。在数据库健康管理平台中能真正实现数据库的端到端管理。

  • 数据准确性

数据库健康管理平台基于数据库内置的技术提供了最高准确度的监控数据。大多数第三方技术利用采样技术获取数据,不够精确,在高压力/复杂的生产环境中诊断问题时会有偏差。

  • 智能性与自动化

数据库健康管理平台定期自动诊断数据库性能,通过复杂的问题分类树进行下钻,以确定问题的根本原因。提供完整的、具有可操作性的诊断报告。另外,数据库健康管理平台提供大量模版与基线机制,实现自动化监控与智能监控。

  • 管理全面性与标准化管理

除了一般的性能管理外,数据库健康管理平台还包括大量的高级管理工作:数据中心级的企业数据库资产发现与管理、数据库配置变更的检测、自动化打补丁、自动供应数据库、数据库环境的合规性检查等等。这些都是无法依赖于个人完成的。数据库健康管理平台提供了基于模版的技术,自动化了所有的管理流程。

web04

(3) 数据库健康评估工具(DAT)

作为企业最有价值信息的主要存储库,数据库是 IT 领域最敏感部分。许多组织已认识到,数据库资源很容易受到外部攻击,攻击者利用 Web 应用实施攻击、内部不法分子利用更直接的权限实施的攻击。客户记录、财务报表以及患者数据都存在风险。此外,为了满足萨班斯-奥克斯利法案 (SOX)、支付卡行业数据安全标准 (PCI DSS)以及其他法律、规范等的要求,企业也需要实施数据库健康评估。

数据库健康评估工具的目的是帮助企业采用安全性评估最佳做法,以促使其迈出保护数据库的第一步,配置最佳要素及将该评估过程用于加强数据库生命周期运维管理安全。

web05

(4) 数据库安全保护平台

web06

数据库安全保护平台主要包括:

  • Audit Vault,集中审计库及统一配置界面
  • Database Vault(可选),数据库加固
  • Database Firewall,数据库防火墙

其中数据库防火墙主要包括:

  • 支持 syslog
  • 集成 SSL
  • SQL 语义解析
  • 存储过程审计
  • 用户角色审计
  • 主动安全实施白名单
  • 被动安全实施黑名单
  • 例外安全名单
  • 基于主机的监视器
  • 自动记录、分类、解析 SQL
  • SQL 注入防御

(5) 数据库审计平台

数据库审计以独立的审计库为核心,整合多个来源的审计线索。

web07

数据库审计平台主要包括:

  • 制定审计策略
  • 数据库登入、登出行为监控
  • 数据库操作监控
  • 审计预警
  • 提供标准及自定义审计报告
  • 敏感数据修改审计

四、总结

数据库 DB360 的意义在于站在整体的角度考虑数据库为中心的数据中心安全架构。这不同于以产品为导向的安全技术实施体验,DB360 能帮助建议一个数据库的完整视角,无论是数据库性能、数据库安全、数据库状态,都是数据库健康中的一种体现。

因此 DB360 的初衷是建立一套完整的以数据为中心的健康解决方案,推动数据库安全向数据库健康的转变。

当前位于: 解决方案.

发表评论

电子邮件地址不会被公开。 必填项已用*标注