数据库审计是腾讯云自主研发的一款专业、高效、全面、实时监控数据库安全的审计产品,数据库审计能够实时记录腾讯云数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警。
云数据库 MySQL 提供数据库审计能力,记录对数据库的访问及 SQL 语句执行情况,帮助企业进行风险控制,提高数据安全等级,同时支持自定义高低频存储,可大幅降低数据库审计的使用成本。
数据库审计功能支持事后告警,支持配置高、中、低三个风险等级的事件告警策略,命中策略的审计日志可发送告警通知给绑定的用户,同时也可在腾讯云可观测平台中,查看告警历史、进行告警策略管理(告警开关)及告警屏蔽,帮助企业及时获取相关告警通知,准确定位触发问题的审计日志。
应用场景
应对审计风险
审计日志不完整导致安全事件难以追查定位。
达不到国家等级保护(三级)明确要求。
满足不了行业信息安全合规性文件要求。
应对管理风险
技术人员存在的误操作、违规操作、越权操作,损害业务系统安全运行。
第三方开发维护人员的误操作,恶意操作和篡改。
超级管理员权限过大,无法审计监控。
应对技术痛点
数据库系统 SQL 注入,恶意拉取库表信息。
突发大量数据库请求但不是慢日志导致无法快速定位。
产品计费
按照审计日志存储量进行按量计费。每小时为一个计费周期,不足一小时的按一小时计费。
具体产品定价请参见 数据库审计计费说明。 支持版本及架构
数据库审计目前支持的数据库内核版本为 MySQL 5.6 20180122及以上版本、MySQL 5.7 20190429及以上版本、MySQL 8.0 20210330及以上版本。
支持实例架构为双节点、三节点和云盘版,只读实例支持数据库审计。
MySQL 5.5版本的实例、MySQL 单节点(云盘)架构的实例、只读分析引擎、双节点经济型的实例暂不支持数据库审计能力。
优势
全审计
全面记录对数据库的访问及 SQL 语句执行情况,最大程度满足用户审计需求,保障数据库安全。
规则审计
对客户端 IP、用户名、数据库名等属性设置审计规则,根据自定义的审计规则记录对数据库的访问及 SQL 语句执行情况。
高效审计
与旁路审计方式不同,腾讯云数据库通过数据库内核插件进行记录,记录更准确。
长期保存
支持用户按业务需要长期存储日志,满足合规监管要求。
架构特点
采用多点部署架构,确保服务可用性。日志流式记录,防止篡改。多副本存储,保障数据可靠性。
数据安全
数据采集完整性
云数据库 MySQL 数据库审计基于 MySQL 的内核插件实现,是 MySQL 的原生 SQL 语句执行过程中的关键一步。每一条 SQL 语句的执行都会经过连接、解析、分析、重写、优化、执行、返回、审计、释放的完整过程。开通数据库审计,连接到云数据库 MySQL 服务器后,每条 SQL 语句在执行过程中都会被审计。因此,若审计未成功,则代表 SQL 语句没有执行成功,若 SQL 语句有执行成功,则一定会被审计。若 SQL 语句执行失败了,审计也能记录,并且还会记录失败的原因。此外,不论登录成功与否,登录操作也会记录。审计完成后,SQL 的请求连接才能被释放,因此可确保审计采集数据的完整性。
采集数据可靠性
云数据库 MySQL 数据库审计是基于 MySQL 自身执行层同步抓取数据,而不是通过旁路异步抓取数据。因此审计的 SQL 会与云数据库 MySQL 执行的 SQL 实时同步且一致,保障数据不会抓取错误,确保了审计采集数据的可靠性。
数据防篡改
审计管控系统具备行为监测机制,当有人利用漏洞进行攻击时,漏洞扫描可以实时捕获到相关会话信息并发送告警,实时监控入侵行为;当有人对审计数据进行操作时,访问日志会被全量记录,可以确定哪些用户何时从哪个源 IP 地址进行了数据访问,及时发现高风险访问操作记录;对于操作人员,具有权限管控功能,通过账号及角色鉴权,可实现不同角色的人员对数据具备不同的读写权限,进而规避账号共享问题。当有人进行高危操作时,会触发实时篡改告警,及时发现高风险操作并进行分析追溯和阻止。
数据传输完整性
审计数据采集后,在传输链路层的处理过程中,审计数据会通过 CRC(循环冗余校验码)循环冗余校验、全局唯一消息 ID、链路 MQ 冗余、Flink 流处理等步骤,多维度多角度来进行校验,以确保在传输过程中数据的完整性。
数据存储完整性
在数据存储端,数据库审计系统对审计日志文件进行了加密存储,以确保审计数据安全性,只有具备加密证书访问权的用户才能查看审计日志,能够有效防止明文存储引起的数据内部泄密、高权限用户的数据窃取,从根源上防止审计数据泄露,确保数据存储的完整性。