openGauss- 統一審計機制
可獲得性
本特性自openGauss 1.1.0版本開始引入。
特性簡介
審計機制是行之有效的安全管理方案,可有效解決攻擊者抵賴,審計的範圍越大,可監控的行為就越多,而產生的審計日誌就越多,影響實際審計效率。統一審計機制是一種透過定製化制定審計策略而實現高效安全審計管理的一種技術。當管理員定義審計物件和審計行為後,使用者執行的任務如果關聯到對應的審計策略,則生成對應的審計行為,並記錄審計日誌。定製化審計策略可涵蓋常見的使用者管理活動,DDL和DML行為,滿足日常審計訴求。
客戶價值
審計是日常安全管理中必不可少的行為,當使用傳統審計機制審計某種行為時,如SELECT,會導致產生大量的審計日誌,進而增加整個系統的I/O,影響系統的效能;另一方面,大量的審計日誌會影響管理員的審計效率。統一審計機制使得客戶可以定製化生成審計日誌的策略,如只審計資料庫賬戶A查詢某個表table的行為。透過定製化審計,可以大大減少生成審計日誌的數量,從而在保障審計行為的同時降低對系統效能的影響。而定製化審計策略可以提升管理員的審計效率。
特性描述
統一審計機制基於資源標籤進行審計行為定製化,且將當前所支援的審計行為劃分為access類和privileges類。一個完整的審計策略建立的SQL語法如下所示:
CREATE RESOURCE LABEL auditlabel add table(table_for_audit1, table_for_audit2);
CREATE AUDIT POLICY audit_select_policy ACCESS SELECT ON LABEL(auditlabel) FILTER ON ROLES(usera);
CREATE AUDIT POLICY audit_admin_policy PRIVILEGES ALTER, DROP ON LABEL(auditlabel) FILTER ON IP(local);
其中,auditlabel為本輪計劃審計的資源標籤,該資源標籤中包含了兩個表物件;audit_select_policy定義了使用者usera對auditlabel物件的SELECT行為的審計策略,不區分訪問源;audit_admin_policy定義了從本地對auditlabel物件進行ALTER和DROP操作行為的審計策略,不區分執行使用者;當不指定ACCESS和PRIVILEGES的具體行為時,表示審計針對某一資源標籤的所有支援的DDL和DML行為。當不指定具體的審計物件時,表示審計針對所有物件的操作行為。統一審計策略的增刪改也會記錄在統一審計日誌中。
當前,統一審計支援的審計行為包括:
特性增強
無。
特性約束
-
統一審計策略需要由具備POLADMIN或SYSADMIN屬性的使用者或初始使用者建立,普通使用者無訪問安全策略系統表和系統檢視的許可權。
-
統一審計策略語法要麼針對DDL行為,要麼針對DML語法行為,同一個審計策略不可同時包含DDL和DML行為;統一審計策略目前支援最多設定98個。
-
統一審計監控使用者透過客戶端執行的SQL語句,而不會記錄資料庫內部SQL語句。
-
同一個審計策略下,相同資源標籤可以繫結不同的審計行為,相同行為可以繫結不同的資源標籤, 操作"ALL"型別包括DDL或者DML下支援的所有操作。
-
同一個資源標籤可以關聯不同的統一審計策略,統一審計會按照SQL語句匹配的策略依次列印審計資訊。
-
統一審計策略的審計日誌單獨記錄,暫不提供視覺化查詢介面,整個日誌依賴於作業系統自帶rsyslog服務,透過配置完成日誌歸檔。
-
在雲服務場景下,日誌需要儲存在OBS服務中;在混合雲場景下,可部署Elastic Search收集協調節點日誌和視覺化處理。
-
FILTER中的APP項建議僅在同一信任域內使用,由於客戶端不可避免的可能出現偽造名稱的情況,該選項使用時需要與客戶端聯合形成一套安全機制,減少誤用風險。一般情況下不建議使用,使用時需要注意客戶端仿冒的風險。
-
FILTER中的IP地址以ipv4為例支援如下格式。
依賴關係
在公有云服務場景下,依賴OSS服務或OBS服務儲存日誌。
詳情檢視:https://opengauss.org
詳情檢視:https://docs-opengauss.osinfra.cn