Tony Petrossian  Azure SQL 数据库部门项目经理

客户吐露的心声,我们始终在聆听:备受期待的 Azure SQL 数据库审核功能现已提供。这一关键的安全性增强功能为希望在云中管理其数据库的企业扫除了障碍。

Azure SQL 数据库引入了审核功能,这将提高组织的深入了解数据库中所发生事件与更改(包括对数据的更新和查询)的能力。利用非常简单直观的配置界面,数分钟内,您就可在数据库上设置并运行审核功能。请观看Channel 9 视频中的演示,了解有关审核益处的详细信息;Eyal Carmel 和 Scott Klein 在视频中生动而详实地讨论了此项新功能。

审核功能可用于所有基本、标准和高级级别的数据库,通过新的 Azure 预览版门户或标准 API 即可进行配置。

为何需要审核?

在数据库上启用审核后,您即刻就能拥有重要数据的存储库并可将其用于多种用途。

  • 简化与合规相关的活动

审核是一项重要的工具,可用来帮助组织满足各种行业的合规要求与法规,例如 PCI-DSS、SOX 或 HIPAA。许多合规法规均要求对基础数据库的数据相关活动实施审核跟踪。

  • 深入了解数据库活动

保持审核跟踪意味着,您现在可以确切地了解数据库中何时由谁执行了什么活动。这样可以迅速提高业务能见度;这些数据能够帮助确定业务趋势或潜在的指明业务关注点。例如,数据分析可能发现位于特定地理位置的数据库的活动水平呈逐渐下降趋势,之后,企业即可着手解决。

  • 识别可疑的安全冲突

审核数据分析可以揭露整个组织中与数据相关的活动所存在的差异与异常。这有助于发现潜在的安全事件。

要重点指出的是,尽管审核以及其他安全性功能使得构建满足法规合规的应用程序变得更为容易,但它们并不能保证实现合规。组织仍需负责确保遵守企业或行业要求的安全与合规标准,实施应用程序设计和数据库实践。

审核如何跟踪我的 SQL 数据库的事件?

启用并配置审核后,审核引擎就会跟踪指定的 SQL 数据库的所有传入与传出事件。您可以配置要记录的数据库操作与事件的类别,此后,每个相关事件都将写入 Azure 存储中的审核日志。
请注意,每条审核条目中所指的“用户”(或主体)是指登录到 SQL 数据库的数据库用户,并不一定是应用程序用户。

究竟记录了什么数据?记录的数据存储在何处?

配置审核时,需指定将会向其写入审核日志的 Azure 存储帐户(请注意,这会应用 Azure 存储费率)。启用审核后,系统会在指定的存储帐户上自动创建 Azure 表,选定事件(基于您的配置)的记录将写入该表。请参见下图的审核体系结构。
写入的审核条目符合带有预定义字段的表结构;此表结构的详细规范可以从此处下载。

由于审核日志直接写入您的 Azure 存储帐户,因此您可以完全掌控对此数据的访问。要查看日志,您可以通过所选工具连接到 Azure 存储帐户,例如 Azure 存储管理器或我们预定义的 Excel 仪表盘与报表模板,后者可以使用 PowerQuery 从您的 Azure 存储帐户检索日志。所有 Office 2013 客户可以免费下载获取 Power Query for Excel 插件。

如何为我的 SQL 数据库设置审核?

您可以使用 Azure 预览版门户中直观的配置界面(如下所示),通过执行一些简单的步骤来为您的数据库配置审核。

要设置审核,需要启动基本、标准或高级级别的数据库。

Azure 预览版门户中导航到目标数据库,然后单击 Enable and Setup Auditing(启用和设置审核)以启动审核配置菜单项。选择要保存审核日志的 Azure 存储帐户并指定要记录的事件集。

审核设置配置完毕后,您需要更新连接到数据库的现有客户端应用程序,以使用启用安全性的连接字符串。如此一来,将会记录数据库上的这些应用程序的活动。启用安全性的连接字符串的格式稍有不同,并且会取代之前使用的连接字符串:

设置并运行审核后,您可以查看如下所示的审核仪表盘,这是直接来自 Azure 门户的数据库活动的快速概览图。它会显示过去 24 小时中发生的已审核数据库事件的更新计数(最多 15 分钟就会刷新)。它还会按类型显示具体事件,以便您可以快速了解数据库中所发生事件的分布情况,同时确定有无任何异常或意外的活动。

我想审核所有数据库——我能一次为多个 SQL 数据库设置审核吗?

您可以方便地为特定数据库服务器中的所有数据库定义单个审核策略。将某个策略指定为该服务器的默认策略即可。
要创建此类策略,应为该服务器上的其中一个数据库配置审核,然后单击 Save as default(另存为默认),这些相同的设置就会自动应用到数据库服务器上尚未明确定义审核配置的所有数据库。具体的配置工作流如下所示。

我们很快会提供从数据库服务器上下文中为服务器上的所有数据库创建默认设置的功能。

既然收集了有关数据库中活动的数据,我该如何对其进行分析?

您可以从 Azure 存储中将审核记录导出为 CSV 格式的文件(也可使用其他文件格式),然后使用您选择的应用程序来分析审核日志。
我们也提供了用于审核数据的预设置分析工具,即交互式的带有预定义仪表盘与报表的 Excel 模板。您可以使用 Power Query for Excel 插件,直接从 Azure 存储检索审核日志数据。报表会基于从存储帐户加载的审核日志自动进行更新,从而反映您的数据库活动。请查看说明文档中有关使用 Excel 模板的详细说明,了解如何将报表模板连接到您的审核日志存储以及如何使用内置的分析模板。
如果多个数据库接受审核(同一存储帐户下),您可以使用内置报表来比较各数据库的活动与趋势,从而发现异常。报表本身是交互式的;通过使用 Power View 和 Power Pivot 来可视化数据,您可以根据数据库、事件类型、时段·等来切分视图。报表还可自定义和扩展。如果需要,您可以创建其他报表和视图来满足您组织的需求。示例报表如下所示。

总结

通过跟踪并记录事件和数据库活动,审核为您的 Azure SQL 数据库提供了安全层。审核数据可用于深入了解数据库活动、识别潜在的安全问题并确保对任何可疑的冲突加以记录,同时还可促进和简化与合规相关的任务。

了解有关审核入门的详细信息,或花几分钟时间观看Channel 9 上的 Eyal 与 Scott 讨论审核的益处及其设置的简便性。您可以马上开始使用审核功能,不过您需要使用基本、标准或高级级别的数据库。您可以在 Azure 预览版门户中为您的数据库配置审核。

我们会仔细倾听反馈,欢迎您试用并让我们知道您的想法!

本文翻译自:

http://azure.microsoft.com/blog/2014/08/25/a-boost-in-security-for-azure-sql-database-auditing/