提升Azure SQL Database安全性:审计

Azure SQL Database产品组项目经理

Tony Petrossian

我们听到客户的反馈:Azure SQL DB预览版产品提供了一项值得期待的审计功能。这是一项至关重要的安全增强功能,为那些希望管理云数据库的企业消除了障碍。

我们在几周前刚刚推出了SQL Database Auditing预览版,帮助客户更深入地了解数据库内部的改进(包括针对数据的更新和查询)。本产品采用十分简洁直观的配置界面,现在大家可以在几分钟内审计并运行数据库。请观看演示并在该Channel 9 视频中详细了解审计的优点,本视频生动翔实,Eyal Carmel 和 Scott Klein对这项新功能进行了讨论。

审计功能全面适用于所有Basic、Standard 和 Premium数据库,并可通过全新的Azure Preview 门户或标准 API 进行配置。

 

为什么需要使用审计功能?

通过在数据库中启用审计功能,您可以立即获得一个可满足多种用途的高价值数据库。

  • 简化合规相关活动

审计是一种可帮助组织满足各种行业合规要求与法规(如PCI-DSS、SOX 或 HIPAA)的有效手段。许多此类法规要求对底层数据库的数据相关活动进行审计跟踪。

  • 深入了解数据库活动

持续开展审计跟踪是指明确了解数据库中发生的活动,以及活动的发起人和发生时间。它可用于增强业务可见性,有助于识别业务趋势,也可能反映出业务问题。例如,数据分析可确定位于特定地理位置的数据库的活动程度下降趋势,以便企业解决问题。

  • 识别可疑的安全违规

审计数据分析可揭示组织中的数据相关活动差异和异常,继而识别潜在的安全事件。

需要重点指出的是,虽然审计及其他安全功能可以简化构建符合监管合规性的应用程序,但无法保证合规性。组织仍需自行负责确保应用程序设计和数据库的实现过程遵循必要的企业或行业安全与合规标准。

审计功能如何跟踪SQL Database事件?

一旦启用并配置,审计引擎就会跟踪进入和离开指定SQL Database的所有事件。您可以配置要记录的数据库操作和事件类别,并将各相关事件写入Azure 存储审计日志中。
请注意,各审计条目中引用的“用户”是指登录SQL Database的数据库用户--不一定是应用程序用户。

实际记录哪些数据?数据存储在哪里?

配置审计功能时,您可以指定写入审计日志的Azure存储帐户(注意适用的Azure存储速率)。一旦启用审计功能,将会在指定的存储帐户上自动创建Azure Table,并根据您的配置情况将所选事件的记录写入该表。请参见下图的审计体系结构。
写入的审计条目遵从预定义字段的结构;用户可以在此处下载此结构的详细规格

audit p1

由于审计记录直接写入您的Azure存储帐户,因此您可以全权访问这些数据。要查看相关日志,可通过您所选的工具连接Azure存储帐户,如Azure Storage Explorer或者通过预定义的Excel 仪表板和报告模板,以便使用PowerQuery从Azure存储帐户中检索日志。Power Query for Excel外接程序可供所有Office 2013客户免费下载

如何为SQL DB设置审计功能?

使用Azure预览门户中的直观配置界面,只需几个简单步骤即可为您的数据库配置审计功能,如下所示。

您需要首先启动Basic、Standard 或 Premium数据库来设置审计功能。

Azure 预览门户中导航到目标数据库,然后单击Enable and Setup Auditing 启动审计配置。选择将要存储审计日志的Azure存储帐户并指定要记录的一系列事件。

audit p2

配置审计设置后,需要更新连接数据库的现有客户端应用程序以使用“启用安全机制的连接字符串”。这将会在要记录的数据库上启用这些应用程序的活动。“启用安全机制的连接字符串”的格式略有不同,并会替换先前使用的连接字符串:

clip_image001

一旦审计功能设置完成且正常运行,您可以查看下方的审计仪表板,其中提供了Azure门户的数据库活动快速查看视图。这里显示了过去 24 小时内发生的审计数据库事件(更新频率最高可达 15 分钟)最新计数。另外,还会按类型显示事件分类,以便快速了解数据库的事件分布,同时识别任何异常或者无法预料的活动。

audit p3

我要对所有数据库进行审计--能否一次为多个SQL DB设置审计?

用户可以为特定数据库服务器中的所有数据库轻松定义单一审计策略。只需将策略指定为服务器的“默认策略”即可实现。
为创建此策略,需首先为在该服务器上的一个数据库配置审计,然后单击Save as default为 DB 服务器上尚未定义审计配置的所有数据库自动应用相同的设置。这项特定的配置工作流程如下所示。

audit p4

此外,DB 服务器很快将会提供为服务器上的所有数据库创建默认设置的功能。

我正在收集数据库活动数据,如何分析数据呢?

您可以从Azure存储将审计记录导出为 CSV 格式的文件(同时还提供其他文件格式),使用您喜欢的应用程序分析审计日志。
另外,我们还以交互式Excel 模板(带有预定义仪表板和报告)的形式提供了预置审计数据分析工具。您可以使用Power Query for Excel外接程序直接从Azure存储检索审计日志数据。报告将自动更新,从而根据存储帐户中加载的审计日志反映数据库活动。请参见详细说明,了解如何将报告模板附加至审计日志存储,以及如何结合使用说明文档中提供的内置分析模板与Excel 模板
当同时审计同一存储帐户的多个数据库时,可以使用内置报告对数据库间的活动和趋势进行比较并发现异常。报告本身彼此交互,通过使用Power View 和 Power Pivot实现数据可视化,即可根据数据库、事件类型、时间范围等分割视图。您还可以对报告进行自定义和扩展。也可以根据组织的需求创建其他报告和视图。示例报告如下所示。

 audit p5

audit p6

 

小结

审计功能通过跟踪记录事件和数据库活动,为您的Azure SQL Database设置了一道安全屏障。审计数据可用于深入剖析数据库活动、识别潜在的安全隐患,以及确保记录现有的任何可疑违规情况,从而促进并简化合规相关任务。

了解有关审计入门的详细信息,或者观看Eyal 与 Scott 在 Channel 9 演示的课程,其中对审计功能的好处进行了介绍,并展现其设置过程究竟有多么轻松!您可以立即开始使用审计功能,但需要使用Basic、Standard 或 Premium数据库(注册新服务层的预览版本,如果尚未注册的话),然后注册Auditing Preview。您可以在Azure Preview 门户中为数据库配置审计功能。

我们将密切关注您的反馈意见,欢迎试用,让我们了解您的想法!