以前做dba的时候,周期性让我头大的就是每半年做一次的审计。内审外审一套组合拳下来,比加班做迁移还累。诸如oracle这种审计功能很完备的商业数据库还好,如果赶上个别重要系统跑在国产数据库或者开源数据库上时,怎么提交审计信息或者材料就成了重大问题。有时候不得不借用第三方的安全审计平台帮忙收集相关信息。
但是从另一个层面,审计也是驱动提高我们数据库管理的一个有效手段。做过审计的朋友都知道,技术、制度、观念,必须都到位,整个数据库审计才能有条不紊,否则就会遇到或多或少的麻烦。能把审计平滑做完,说明数据库管理基础的要求都到达标了。三个维度,那哪个出现短板都要费很大力气去补课。
维度一:技术
从技术的角度,数据库审计功能或者审计平台需要告诉审计人员,谁在什么时候做了什么事情,这件事情是否合规。
“谁”用了哪台机器,既要包含数据库账号,又要确定是来自哪个内部sso账号。
“什么时候”具体到什么时间点登录什么时间点登出。
“什么事情”包含的操作越详细越好。尤其一些敏感数据表的操作。
粒度越细越好,经验告诉我,无论dba或运维人员觉得自己多么细致,审计人员总能在里面找到不曾覆盖的地方。其实这也好理解,毕竟dba不是专业的审计人员,总会有或多或少的点疏忽或者遗漏。但是技术上需要能提供手段把遗漏的内容补上。
市面上提供的数据库审计工具其实已经比较完备了,技术上反而是我这些年做数据库审计遇到的障碍里最少的一个环节。
维度二:制度
往往在审计时,制度上的不足才是最要命的,而且还有个尴尬的点,技术不足dba和it部门比较容易推动,但是制度上的不足很多时候it部门能做的事情比较有限。制度是为了确保所有的dba数据库行为都合规,这不仅仅是为了保护dba,同时也是在对数据库的保护,确保每一次数据库的变更和高权限登录都有迹可循,流程合规。
在实际工作中,数据库审计,审计人员最关注的几个点在于账号和权限的变更、登录日志的细节、配置信息的变更。看似内容不多,但是需要我们能够对每一项内容都有对应的流程。登录前的审批,登录后的记录,都要有复核确认。有时候我们为了效率或者突发情况,流程上总会有疏忽的地方,在这种情况下,一定要事后补一个流程,以便于以后审计或者出现各种不确定的纠纷。
维度三:观念
如果说技术和制度,dba能够尽量推动,那么观念上就难了很多很多。
我们很多时候会发现,制度已经确立了,技术也都到位了,但是大家实际工作中都不太在意。归根结底还是观念的问题。说来也有趣,安全生产和不同行业真有着直接关系。金融对风控的把关堪称细致到变态,地产对项目安全的意式也相对较好,我在这两个行业做dba和同事谈安全生产,谈流程把控的时候,大家不会有什么异议。但是一些效率压倒一起的行业,流程有时候反而是dba自己都反感的。每年到了外审的时候,手忙脚乱地补材料甚至伪造材料。一个从外审离职到内审的同事和我说,很多时候审计人员不是没看出来,只不过是没触及底线,睁一只眼闭一只眼罢了。
在面对审计人员时,谨言慎行也是一件很难的事情。从我个人经历来看,真的有同事在访谈时信口开河。明明不确定的东西,却斩铁截铁地向审计人员说。无论每次我如何强调,不确定的内容不要说,总是无法完全预防。实际上这就是观念不到位。
说完三个维度,我们来聊聊,作为dba平时培养什么样的习惯,避免出现审计时的各种问题。
习惯一:工作日志
这是我在入行之后就养成的习惯,每次登录到某个生产库,登录时间、工作内容、重要节点截图等等,都保存下来,需要追溯的时候直接找到对应的文件夹去读取。
重大事故的时候,写一个事故复盘,前有后果尤其是处理问题的过程有一个记录。如何未来规避,一旦不可控地再现时,这些复盘记录很可能会救你一命。
各类演练的文档,每年进行迭代更新,遇到的问题按照功能拆分成变更,逐个实施,留存好之前的配置信息。
这些东西都有了,在审计的时候,大部分都不再需要重新准备,只需要从里面找到自己想要的内容,甚至个别变更频次很低的系统,直接可以全盘使用。
习惯二:谨言慎行
每一个生产环境的变更,无论系统的重要性,无论变更影响的范围,无论当时的紧迫程度,都要在公司内部有一个对应的流程,可能是一个oa申请,可能是一个邮件确认,甚至可能是事后的紧急工单等等。没有对应流程的变更,对于dba来说,就如同一个催命符,不仅仅在审计中,可能在以后的工作中成为爆点。在外审眼里,有流程但是不够严谨和没有流程是有本质区别的。不够严谨的流程通过各种方式,是可以被审计人员认可的,但是没有流程就意味着这是一个完全不合规的行为。
此外要记住,在公司内部大家平时怎么吐槽怎么抱怨也就罢了,在面对审计人员的时候,每一句话都可能影响公司的审计结果,严重的结果不是dba自己能承担得起的。不确定的东西就说不确定,需要去复核确认。无论审计人员如何诱导,都不要松口。逞一时之快,大概率不会让你成为英雄,更可能成为一个猪队友。
习惯三:用好材料
审计材料不仅仅是为了给内审外审使用的,同时也是部门内部不断完善的参考。如果审计是每年或者每半年的考试,考完试并不是就圆满结束了。
仔细看看哪些审计材料没有被日常覆盖到,需要花费大量人力物力,就要去思考如何完善。哪些流程被审计人员质疑挑战,甚至否定,就要去思考如何改善这些流程。审计材料和审计结果里,哪些地方还存在的问题,在以后的工作中就要去着手解决。
来年审计的时候,看看和去年相比,有哪些地方得到了改善,哪些材料不再需要费力准备。如果每年面对审计都如此狼狈,那就真的要思考一下自己的工作到底有没有做到实质的提升了。
这篇文章断断续续写了半个月,每每写到某个点,我甚至还能回想起当年面对外审人员时的紧张。不再做dba了,这些头大的事,也慢慢离我渐行渐远,只希望以后,大家都不再为审计而头大。