怎么基于SLS構(gòu)建RDS審計(jì)合規(guī)監(jiān)控

今天給大家介紹一下怎么基于SLS構(gòu)建RDS審計(jì)合規(guī)監(jiān)控。文章的內(nèi)容小編覺(jué)得不錯(cuò)，現(xiàn)在給大家分享一下，覺(jué)得有需要的朋友可以了解一下，希望對(duì)大家有所幫助，下面跟著小編的思路一起來(lái)閱讀吧。

背景

數(shù)據(jù)庫(kù)是企業(yè)業(yè)務(wù)的數(shù)據(jù)核心，其安全方面的問(wèn)題在傳統(tǒng)環(huán)境中已經(jīng)成為泄漏和被篡改的重要根源。因此，對(duì)數(shù)據(jù)庫(kù)的操作行為尤其是全量 SQL 執(zhí)行記錄的審計(jì)日志，就顯得尤為重要。
SLS聯(lián)合RDS推出RDS SQL審計(jì)功能，將RDS SQL審計(jì)日志實(shí)時(shí)投遞到SLS中；SLS提供實(shí)時(shí)查詢(xún)、可視化分析、告警等功能。
RDS SQL審計(jì)日志記錄了對(duì)數(shù)據(jù)庫(kù)執(zhí)行的所有操作，這些信息是系統(tǒng)通過(guò)網(wǎng)絡(luò)協(xié)議分析所得，對(duì)系統(tǒng)CPU消耗極低，不影響SQL執(zhí)行效率。RDS SQL審計(jì)日志包括但不限于如下操作：
? 數(shù)據(jù)庫(kù)的登錄和退出操作。
? DDL（Data Definition Language）操作：對(duì)數(shù)據(jù)庫(kù)結(jié)構(gòu)定義的SQL語(yǔ)句，包括CREATE、ALTER DROP、TRUNCATE、COMMENT等。
? DML（Data Manipulation Language）操作：SQL操作語(yǔ)句，包括SELECT、INSERT、UPDATE、DELETE等。
? 其他SQL執(zhí)行操作，包括任何其他通過(guò)SQL執(zhí)行的控制，例如回滾、控制等。
? SQL執(zhí)行的延遲、執(zhí)行結(jié)果、影響的行數(shù)等信息。
此外，SLS還針對(duì)RDS的操作合規(guī)進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)RDS的配置異常，確保數(shù)據(jù)庫(kù)安全。

RDS日志審計(jì)--采集

目前RDS SQL審計(jì)日志采集到SLS有兩種方式：
? 云產(chǎn)品采集渠道
優(yōu)點(diǎn)：少量且同地域?qū)嵗杉瘓?chǎng)景下配置簡(jiǎn)單。
缺點(diǎn)：不支持跨地域、跨賬號(hào)；不支持實(shí)例動(dòng)態(tài)發(fā)現(xiàn)。如果需要跨地域跨賬號(hào)，需要自建數(shù)據(jù)加工任務(wù)。
? 日志審計(jì)渠道
優(yōu)點(diǎn)：
支持跨賬號(hào)、跨地域中心化采集，便于審計(jì)報(bào)表分析。
支持實(shí)例發(fā)現(xiàn)，一鍵開(kāi)啟自動(dòng)采集；并支持通過(guò)采集策略控制采集范圍。
缺點(diǎn)：
需要AK授權(quán)或手動(dòng)授權(quán)來(lái)開(kāi)啟日志審計(jì)APP。
會(huì)自動(dòng)開(kāi)啟采集實(shí)例的SQL洞察功能，且不支持自動(dòng)關(guān)閉。如果需要關(guān)閉SQL洞察，需要首先整體關(guān)閉日志審計(jì)RDS采集功能或者通過(guò)采集策略控制實(shí)例不采集，然后到RDS控制臺(tái)逐個(gè)實(shí)例關(guān)閉SQL洞察。

云產(chǎn)品采集渠道

單賬號(hào)同地域采集場(chǎng)景（只能將RDS審計(jì)日志采集到同地域的日志庫(kù)中）

? SLS控制臺(tái)首頁(yè)“接入數(shù)據(jù)”區(qū)域，選擇“RDS 審計(jì)”。下文以采集張家口實(shí)例為例說(shuō)明。

? 因?yàn)椴杉膶?shí)例位于張家口，所以需要在張家口新建或者選擇已存在的project及l(fā)ogstore。
? 注意：采集的RDS實(shí)例審計(jì)日志僅支持同地域采集。

? “數(shù)據(jù)源配置”頁(yè)，完成RAM授權(quán)后可以查看張家口所有的RDS實(shí)例信息，默認(rèn)日志投遞功能是關(guān)閉的。之后可以根據(jù)日志采集需求，勾選相應(yīng)的“開(kāi)通投遞”按鈕，開(kāi)啟對(duì)應(yīng)實(shí)例的日志投遞功能。

? 至此就完成了SQL審計(jì)日志的采集開(kāi)啟，跳轉(zhuǎn)到上述配置的logstore下即可查看RDS實(shí)例日志。

跨地域、跨賬號(hào)采集場(chǎng)景

因?yàn)樵飘a(chǎn)品采集渠道有只能將RDS審計(jì)日志采集到同地域的日志庫(kù)的限制，所以要打破這個(gè)限時(shí)實(shí)現(xiàn)跨賬號(hào)跨地域采集，就必須要自建跨域或者跨賬號(hào)數(shù)據(jù)加工任務(wù)。
因?yàn)樽越〝?shù)據(jù)加工任務(wù)需要比較復(fù)雜的授權(quán)，這里不再詳細(xì)介紹。如有需要，詳見(jiàn)：
1、配置自定義角色授權(quán)
2、最佳實(shí)踐：跨地域傳輸數(shù)據(jù)
3、最佳實(shí)踐：多目標(biāo)Logstore數(shù)據(jù)分發(fā) 中的“跨賬號(hào)分發(fā)”部分。

由此可見(jiàn)，云產(chǎn)品采集渠道僅僅在簡(jiǎn)單采集場(chǎng)景下具有便捷采集的優(yōu)勢(shì)，但是在處理跨地域、跨賬號(hào)采集時(shí)不僅數(shù)據(jù)同步鏈路較長(zhǎng)，而且還需要比較復(fù)雜的授權(quán)過(guò)程；而且當(dāng)實(shí)例變更（甚至新的實(shí)例出現(xiàn)）時(shí)，需要手動(dòng)維護(hù)同步鏈路，維護(hù)成本極高。而日志審計(jì)渠道恰恰可以很好的解決跨地域、跨賬號(hào)采集，實(shí)例變更維護(hù)成本高的痛點(diǎn)。

日志審計(jì)采集渠道

日志審計(jì)授權(quán)

建議使用阿里云RAM用戶(hù)操作。
? 創(chuàng)建阿里云RAM用戶(hù)，并賦予該用戶(hù)AliyunRAMFullAccess、AliyunLogFullAccess權(quán)限，創(chuàng)建AK。
? 登錄上述RAM用戶(hù)，在SLS控制臺(tái)選擇“日志審計(jì)服務(wù)”。

? 首次進(jìn)入需要進(jìn)行授權(quán)才能開(kāi)啟。這里輸入第一步創(chuàng)建的AK，并選擇審計(jì)日志存儲(chǔ)的中心Project地域即可。

? 如果出現(xiàn)如下頁(yè)面說(shuō)明已經(jīng)授權(quán)完成。之后就可以根據(jù)采集日志的需要開(kāi)啟對(duì)應(yīng)的云產(chǎn)品日志，例如這里需要采集操作審計(jì)（Actiontrail）日志及RDS SQL審計(jì)日志。

配置SQL審計(jì)采集

本文重點(diǎn)描述如何開(kāi)啟RDS SQL審計(jì)日志并通過(guò)采集策略管理日志采集范圍。SQL審計(jì)日志開(kāi)啟首先需要進(jìn)行采集策略配置。完整的語(yǔ)法說(shuō)明詳見(jiàn)采集策略文檔。這里列出一些常用的策略方案。
? 采集特定區(qū)域的實(shí)例日志。例如：只采集杭州、上海的實(shí)例。

? 不采集特定標(biāo)簽的實(shí)例。例如：給測(cè)試實(shí)例打上type標(biāo)簽取值test。

? 只采集限定的實(shí)例日志。

SQL審計(jì)

RDS日志審計(jì)--報(bào)表

基于SLS的SQL審計(jì)日志提供了3張審計(jì)報(bào)表：
? RDS審計(jì)中心：主要展現(xiàn)了所有數(shù)據(jù)庫(kù)的SQL執(zhí)行指標(biāo)、分布、趨勢(shì)等信息。例如：PV、UV、操作數(shù)據(jù)庫(kù)/數(shù)據(jù)表等的統(tǒng)計(jì)。
? RDS審計(jì)安全中心：主要展現(xiàn)了所有數(shù)據(jù)庫(kù)的失敗SQL和危險(xiǎn)SQL，以及大批量刪除或修改事件的詳情、分布和趨勢(shì)等。
? RDS審計(jì)性能中心：主要展現(xiàn)了所有數(shù)據(jù)庫(kù)的具體性能指標(biāo)，例如SQL執(zhí)行峰值、SQL執(zhí)行的平均時(shí)間、慢SQL的具體分布與來(lái)源等。

RDS日志審計(jì)--告警

SLS日志審計(jì)新發(fā)布了內(nèi)置告警規(guī)則，其中針對(duì)于RDS SQL審計(jì)提供了19條內(nèi)置規(guī)則（后續(xù)還會(huì)不斷擴(kuò)展）。

規(guī)則查看

通過(guò)SLS首頁(yè)-> 日志審計(jì)服務(wù)-> 控制臺(tái)左側(cè)審計(jì)告警 -> 規(guī)則配置/告警規(guī)則，就可以進(jìn)入審計(jì)告警規(guī)則配置頁(yè)面。規(guī)則主要分為兩類(lèi)：
? SQL審計(jì)類(lèi)規(guī)則（RDS安全）：主要針對(duì)SQL的執(zhí)行異常進(jìn)行監(jiān)控。例如，慢SQL、或批量刪除等。
? 前提：通過(guò)日志審計(jì)APP開(kāi)通RDS SQL審計(jì)日志采集。
? RDS操作合規(guī)規(guī)則：主要是基于CIS規(guī)則，對(duì)RDS的操作配置進(jìn)行監(jiān)控。
? 前提：通過(guò)日志審計(jì)APP開(kāi)通Actiontrail操作日志采集。

告警配置

行動(dòng)策略配置
? 釘釘渠道通知
? 下圖樣例：所有告警都發(fā)送釘釘通知。

? 短信/語(yǔ)音渠道通知：
? 下圖樣例：當(dāng)告警級(jí)別大于嚴(yán)重時(shí)，向“SLS審計(jì)內(nèi)置用戶(hù)組”發(fā)送語(yǔ)音告警。具體的通知人的電話(huà)等情況，詳見(jiàn)創(chuàng)建用戶(hù)和用戶(hù)組。

告警樣例

接下來(lái)，我們用兩個(gè)具體的例子來(lái)介紹RDS審計(jì)告警的使用。

SQL審計(jì)樣例--慢SQL審計(jì)

開(kāi)啟告警
? 根據(jù)用戶(hù)需要設(shè)置告警參數(shù)。例如，慢SQL檢測(cè)閾值，過(guò)濾白名單等。
? 點(diǎn)擊開(kāi)啟按鈕，告警即可開(kāi)啟。

構(gòu)造異常
? 測(cè)試數(shù)據(jù)集

# 表結(jié)構(gòu)mysql> desc test;
+-----------------+------------------+------+-----+---------+----------------+| Field           | Type             | Null | Key | Default | Extra          |
+-----------------+------------------+------+-----+---------+----------------+
| id              | int(10) unsigned | NO   | PRI | NULL    | auto_increment || title           | varchar(100)     | NO   | MUL | NULL    |                |
| author          | varchar(40)      | NO   |     | NULL    |                || submission_date | date             | YES  | MUL | NULL    |                |
+-----------------+------------------+------+-----+---------+----------------+
4 rows in set (0.04 sec)

# 數(shù)據(jù)
mysql> select * from test limit 5;
+----+--------+---------+-----------------+
| id | title  | author  | submission_date |+----+--------+---------+-----------------+|  1 | title1 | author1 | 2021-01-12      |
|  2 | title1 | author1 | 2021-01-12      ||  3 | title1 | author1 | 2021-01-12      |
|  4 | title1 | author1 | 2021-01-12      ||  5 | title1 | author1 | 2021-01-12      |
+----+--------+---------+-----------------+

? 慢SQL

# 使用索引字段group bymysql> select title, count(1) as cnt from test where submission_date='2021-01-12' group by title;
+--------+-------+
| title  | cnt   |
+--------+-------+
| title1 | 59392 |
| title2 |  8448 |
+--------+-------+2 rows in set (0.06 sec)

# 索引字段經(jīng)過(guò)運(yùn)算后group by，使得索引失效。
mysql> select title, count(1) as cnt from test where day(submission_date)=12 group by title;
+--------+-------+
| title  | cnt   |
+--------+-------+
| title1 | 59392 |
| title2 |  8448 |
+--------+-------+2 rows in set (0.58 sec)

? 告警監(jiān)控到慢SQL，并發(fā)起告警通知。

RDS操作合規(guī)樣例--實(shí)例訪問(wèn)白名單異常配置

以上就是怎么基于SLS構(gòu)建RDS審計(jì)合規(guī)監(jiān)控的全部?jī)?nèi)容了，更多與怎么基于SLS構(gòu)建RDS審計(jì)合規(guī)監(jiān)控相關(guān)的內(nèi)容可以搜索億速云之前的文章或者瀏覽下面的文章進(jìn)行學(xué)習(xí)哈！相信小編會(huì)給大家增添更多知識(shí),希望大家能夠支持一下億速云！