数据库审计是腾讯云自主研发的一款专业、高效、全面、实时监控数据库安全的审计产品,数据库审计能够实时记录腾讯云数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警。
TDSQL-C MySQL 版提供数据库审计能力,记录对数据库的访问及 SQL 语句执行情况,帮助企业进行风险控制,提高数据安全等级,同时支持自定义高低频存储,可大幅降低数据库审计的使用成本。
数据库审计功能支持事后告警,支持配置高、中、低三个风险等级的事件告警策略,命中策略的审计日志可发送告警通知给绑定的用户,同时也可在腾讯云可观测平台中,查看告警历史、进行告警策略管理(告警开关)及告警屏蔽,帮助企业及时获取相关告警通知,准确定位触发问题的审计日志。
应用场景
助力企业顺利通过等保合规审计,提供等保三级及其他行业合规审计依据。
帮助企业记录、分析、追查技术人员误操作等数据库安全相关事件。
基于数据库审计数据,提升性能优化、故障定位等场景的效率和精准度。
产品计费
按照审计日志的存储量进行按量计费。每小时为一个计费周期,不足一小时的按一小时计费。
具体产品定价请参见 数据库审计计费说明。 支持版本
TDSQL-C MySQL 版数据库审计目前支持的兼容版本为 MySQL 5.7、8.0。
优势
TDSQL-C MySQL 版数据库审计提供全审计、规则审计、高低频存储、长期保存审计日志等功能特性,具备以下几点优势:
数据采集完整性
TDSQL-C MySQL 版数据库审计基于 MySQL 的内核插件实现,每一条 SQL 语句的执行都会经过连接、解析、分析、重写、优化、执行、返回、审计、释放的完整过程。开通数据库审计,连接到 TDSQL-C MySQL 服务器后,每条 SQL 语句在执行过程中都会被审计,若审计未成功,则代表 SQL 语句没有执行成功,若 SQL 语句执行成功,则一定会被审计。审计完成后,SQL 的请求连接才能被释放,确保了审计采集数据的完整性。
采集数据可靠性
TDSQL-C MySQL 版数据库审计是基于 MySQL 自身执行层同步抓取数据,而不是通过旁路异步抓取数据,因此审计的 SQL 会与 TDSQL-C MySQL 版执行的 SQL 实时同步且一致,保障数据不会抓取错误,确保了审计采集数据的可靠性。
数据防篡改
审计管控系统具备行为监测机制,当有人利用漏洞进行攻击时,漏洞扫描可以实时捕获到相关会话信息并发送告警,实时监控入侵行为;当有人对审计数据进行操作时,访问日志会被全量记录,可以确定哪些用户何时从哪个源 IP 地址进行了数据访问,及时发现高风险访问操作记录;对于操作人员,具有权限管控功能,通过账号及角色鉴权,可实现不同角色的人员,对数据具备不同的读写权限,进而规避账号共享问题,当有人进行高危操作时,会触发实时篡改告警,及时发现高风险操作并进行分析追踪和阻止。
数据传输完整性
审计数据采集后,在传输链路层的处理过程中,审计数据会通过 CRC(循环冗余校验码)循环冗余校验、全局唯一消息 ID、链路 MQ 冗余、Flink 流处理等步骤,多维度多角度来进行校验,以确保在传输过程中数据的完整性。
数据存储完整性
在数据存储端,数据库审计系统对审计日志文件进行了加密存储,以确保审计数据安全性,只有具备加密证书访问权的用户才能查看审计日志,能够有效防止明文存储引起的数据内部泄密、高权限用户的数据窃取,从根源上防止审计数据泄漏,保证数据存储的完整性。