一、背景与需求
集团型企业和连锁机构往往拥有众多分支机构,其中很多机构除了总部拥有庞大的数据中心,分支机构也会在本地配备有独立的机房和小型数据中心,在这些小型数据中心中往往也会存贮重要的商业信息以及用户个人信息。如果没有很好的数据安全防护措施,这些敏感信息一旦被泄露或者篡改,不但会给企业带来直接经济损失与名誉损失,而且有可能会触犯到国家及行业的相关规定,从而面临进一步的行政处罚。
与此同时不仅仅是集团型与连锁企业,一般的组织都会面临业务与数据安全究竟要怎么平衡的问题:
1.业务稳定流畅大于一切;
2.数字化转型,数据流动、计算、分析、应用无处不在;
3.数据安全绝对不容有失;
4.数据库要集中统一管理。
数据是企业业务运转的基础,在保证数据安全的同时怎样充分保证业务的运行不受影响。作为目前应用最为广泛的数据安全产品——数据库安全审计系统,可以在不影响业务运行的同时,对数据库的访问进行监听、告警。但在数据分布存贮的场景下,需要的是一套既能分布式部署又能统一管理的数据库审计平台。
二、数据库安全审计——分布式部署,统一化管理
1、分布式部署
鉴于集团型企业与连锁机构分支机构众多,且每个分支机构都通过各自的数据库存储数据,如果采用传统的单节点部署模式——只在各分支机构独自部署审计系统,则总部将无法统一监控各分支机构数据库发生的访问行为与实时运行情况。
为解决这一问题,采用数据库审计系统的分布式部署模式——首先在每个分支机构单独部署“数据库审计系统”,对各分支机构的数据库访问情况实时记录、全方位审计。与此同时,在总部部署“数据库集中审计管理平台(DSP)”,并通过DSP对所有分支数据库安全审计状况进行概览。
2、统一化管理
通过部署“数据库集中审计管理平台(DSP)”,使总部能够实时掌握各分支机构数据库的运行状况及风险态势,并对所有审计系统运行状态、审计日志实现统一监控、统一分析和统一管理。
因为总部及各分支机构的所有数据库审计系统均采用旁路部署,可在不影响现有业务系统运行效率的前提下,对黑客攻击、高危操作以及包括业务系统账号、数据库账号、SQL语句、客户端工具、操作时间等在内的所有数据库交互行为进行全方位记录,并在第一时间对风险行为进行告警,对数据库的访问压力情况实时呈现,从而实现数据库风险行为的及时发现并采取应对措施或进行事后追责定责。
集中审计管理平台还能实时采集服务器健康状况,进行设备巡检,极大地便利了运维人员的硬件管理工作,将硬件问题引起的突发风险降到最低。
为了提高统一查询效率与管理效果,DSP平台专门设有“免密登录”功能及统一的管理界面,便于总部运维人员查看各分支机构审计系统的运行情况、收集各分支机构的分析报告以及风险事件的详细追溯,对所有数据库审计日志进行综合分析与统一展示。
3、快速部署
考虑到企业对成本控制与系统稳定性的要求,一般建议在总部部署两台硬件DSP系统组成HA(双机集群系统);同时,在所有分支机构则采用软件部署模式——在其虚拟环境中部署数据库审计系统(虚拟化版本)。所有分支机构的软件部署均可在总部一次性完成实施,在实现快速部署的同时,显著降低了人员投入与成本支出,大幅缩短了项目建设周期。
此外,部署方案应具备良好的可扩展性,能够在不改动数据库配置且基本架构不发生变化的前提下,满足集团业务不断发展在未来产生的更高需求。
三、安华金和数据库安全审计分布式部署的优势
与其他数据库审计分布式部署、统一化管理方案相比,安华金和的方案具有以下优势:
1、低成本投入
安华金和数据库安全审计分布式部署方案中采用两级数据存储架构,每日流水型数据存储在各地分支机构的数据库审计节点,原始数据经初步统计分析后同步到集中管理平台,以减轻总部数据存储和使用压力,实现总部架构平台的轻量化部署,极大减少硬件的投入成本。
2、灵活管理
各分支机构部署的数据库审计系统在满足审计结果同步集中管理平台的同时,具有完整的数据库审计功能,实现总部集中管理和分支独立安全审计灵活使用。
以上解决方案内容出自安华金和数据库安全审计系统(DAS)和数据库安全集群管理平台(DSP),能够满足集团下设分支机构、连锁企业等客户在大规模环境下对数据库审计系统部署与管理的实际要求。帮助运维人员实现对分布式数据库审计系统的统一管理。
安华金和十年深耕数据安全行业,能够为广大客户提供全线数据安全产品、服务与定制化解决方案,并满足客户在不同环境对安全性、易用性、合规性等重点方面的需求。助力客户挖掘数据价值,让数据使用更安全!