UIS怎么对接数据库审计
- 0关注
- 0收藏,57浏览
在华三UIS(超融合)环境中对接数据库审计设备,核心思路是将数据库访问流量“引流”给审计设备进行分析。针对你“服务器A(数据库)和B(访问方)都虚拟化”的场景,关键挑战在于如何在虚拟化网络环境中捕获东西向流量。
这里有几种主流的部署方案,你可以根据环境特点和技术能力选择最合适的一种。
方案一:UIS平台原生集成(云安全管理)
如果你的UIS平台集成了“云安全”或“安全服务链”功能,这可能是最简单高效的方法。
操作路径:在UIS管理平台,进入
[服务管理]->[虚拟数据中心拓扑],通过拖拽图标创建数据库审计系统,并按向导配置名称、网络、镜像等参数。适用场景:最适合使用H3C官方SecPath D2000系列虚拟审计系统的场景。
方案二:部署虚拟审计探针
如果UIS平台不支持原生集成,可以在虚拟化层内部署一个审计“探针”,来解决虚拟网络内部流量的捕获问题。
部署方式:在虚拟化平台中直接导入并运行虚拟数据库审计系统(如H3C SecPath D2000-V100),或以无代理方式部署流量采集虚拟机,专门捕获同一宿主机内虚拟机的互访流量。
适用场景:UIS平台不支持原生集成,且虚拟化内部东西向流量审计需求强烈的场景。
方案三:外部物理设备旁路监听
这是最常见的数据库审计方案,核心是“抓取”经过物理交换机的流量,但对纯虚拟化环境内的流量可能“看不见”。
部署前提
服务器B到服务器A的流量必须经过一台可配置端口镜像的物理交换机(即两台虚拟机所在的物理主机不在同一台,流量必须出物理网卡)。
配置步骤(以H3C交换机为例)
配置物理交换机端口镜像:在交换机上配置端口镜像,将连接服务器A或B的物理端口流量复制到审计设备。
system-view # 创建本地镜像组 mirroring-group 1 local # 配置源端口(连接数据库服务器的端口,镜像双向流量) mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both # 配置目的端口(连接审计设备的端口) mirroring-group 1 monitor-port GigabitEthernet 1/0/2# 进入系统视图配置数据库审计设备:登录审计系统(默认https://IP:8441,用户名/密码
admin/admin),将接收镜像流量的网口设置为旁路监听模式(“镜像口”),并添加数据库服务器资产。
方案四:SDN流量引流
如果UIS平台底层采用了SDN(软件定义网络)架构,可以通过SDN控制器定义流策略,将指定流量(如B到A的流量)复制或重定向到审计设备,无需依赖物理交换机端口镜像。
总结与建议
优先选择方案一,如果UIS平台支持原生集成,这是最简单高效的方法。
如果东西向流量是审计重点,且环境不支持方案一,方案二(部署虚拟探针)是最佳选择。
如果架构简单,且流量经过物理交换机,方案三(物理旁路)是成熟且主流的做法。
关键注意事项
性能影响:确保审计设备性能足够处理峰值流量,避免丢包影响审计准确性。
加密流量审计困难:如果数据库连接使用了SSL/TLS加密,审计设备需配置证书才能解密审计。
授权合规:请提前确认UIS平台和审计设备是否具备相关授权,尤其是虚拟化部署方式。
1. 先确认审计部署模式:
物理审计旁挂UIS上联交换机:走物理端口镜像
审计为UIS内虚机:走分布式虚拟交换机(DVS)内部镜像
2. 物理镜像配置(H3C上联交换机):
mirroring-group 1 local #创建本地镜像组
mirroring-group 1 mirroring-port <UIS业务上联口、服务器B物理接入口> both #源端口采集双向流量
mirroring-group 1 monitor-port <接审计设备的端口> #绑定镜像目的口
3. UIS内部镜像配置:
登录UIS云平台→网络→分布式虚拟交换机→选业务DVS→端口镜像→新增:源端口选数据库虚机A的业务网卡(双向),目的端口选审计虚机的采集网卡/对接物理审计的UIS物理上联口。
4. 审计侧配置:开启对应采集口的数据库协议解析,匹配3306/1521等业务端口即可。
注意
生产环境操作前备份交换机/UIS配置,确认端口带宽冗余,避免影响业务。
暂无评论
🔍 方案总览
- 核心架构:UIS 内部署 数据库审计虚拟机(VDBA/SecPath D2000-G2),通过物理交换机镜像端口,复制服务器 A/B 交互流量。
- 适用场景:虚拟化内服务器 B 访问服务器 A 的全链路审计,满足等保与合规要求。
- 关键能力:UIS 支持一键拖拽部署审计虚拟机,配合交换机镜像实现零侵入流量采集。
🛠️ 分步配置指南
1. 前置准备
- 资源准备:获取 UIS 审计镜像(vdba)、规划审计虚拟机管理 / 业务 IP、确认数据库类型(MySQL/Oracle 等)。
- 网络规划:
- 服务器 A/B:已在 UIS 内创建虚拟机,业务网络互通。
- 镜像流量:预留物理交换机独立端口用于镜像,避免抢占业务带宽。
- 审计虚拟机:规划管理网(用于运维)、业务网(用于镜像流量接收)。
2. UIS 内部署数据库审计虚拟机
- 登录 UIS 管理界面(云平台进入 “云服务”,标准版进入 “网络服务”)。
- 进入 “虚拟数据中心拓扑”,拖拽工具栏 “数据库审计” 图标到数据中心出口。
- 配置参数:
- 名称:如 DB-Audit。
- 网络模式:基础模式(不启用 DPDK)或高性能模式(启用 DPDK,按需选择)。
- 物理主机:选择部署节点。
- 镜像:选择 vdba 镜像文件。
- 管理网络:配置 IP / 网关,用于登录审计系统。
- 业务网络:添加 1~2 个业务网(绑定虚拟交换机,配置 VLAN)。
- 点击 “新建”,完成审计虚拟机创建并启动。
3. 交换机配置端口镜像(SPAN)
system-view # 进入系统视图
mirroring-group 1 local # 创建本地镜像组
# 镜像端口:服务器A/B所在端口(双向流量),示例为 GigabitEthernet 1/0/2 和 1/0/3
mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both
mirroring-group 1 mirroring-port GigabitEthernet 1/0/3 both
# 监听端口:连接审计虚拟机业务网的物理端口,示例为 GigabitEthernet 1/0/4
mirroring-group 1 monitor-port GigabitEthernet 1/0/4
save # 保存配置
4. 审计虚拟机配置与资产添加
- 登录审计系统:浏览器访问
https://审计管理IP:8441,账号admin(默认密码需修改)。 - 配置业务网:
- 进入 “系统> 基础设置 > 网络设置”,选择业务网网卡,设置为 “镜像口”(无需配置 IP)。
- 添加审计资产:
- 进入 “资产> 资产列表”,手动添加服务器 A 的数据库信息(类型、IP、端口、账号密码)。
- 测试连通性,确认正常后开启 “保护”。
5. 验证与优化
- 流量验证:在服务器 B 上执行数据库操作(如查询、插入),审计系统进入 “审计> 检索”,查看是否捕获日志。
- 带宽优化:镜像流量占用业务端口,高负载场景建议在物理交换机上为镜像端口配置独立 QoS 策略。
- 高可用:审计虚拟机支持 UIS 内迁移,迁移后镜像规则自动生效。
⚠️ 常见问题与排查
| 问题现象 | 根因 | 解决方法 |
|---|---|---|
| 无审计日志 | 镜像端口配置错误 | 检查镜像组是否包含服务器 A/B 端口,监听端口是否连通审计机 |
| 日志不完整 | 镜像流量未双向 | 确认镜像端口为 both(入 + 出),仅单向会漏捕流量 |
| 业务卡顿 | 镜像带宽抢占 | 审计机业务网绑定独立物理端口,配置 QoS 限制镜像带宽 |
| 审计机无法登录 | 管理网配置错误 | 检查管理网 IP / 网关,确保与运维网络互通 |
📌 核心要点总结
- 首选旁路审计:通过 UIS 部署审计虚拟机 + 交换机镜像,零业务中断,覆盖全流量。
- 配置关键:镜像端口必须双向,监听端口连通审计机,资产信息配置准确。
- 合规适配:支持等保要求,日志可追溯,适配 UIS 超融合全场景。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论