Database Activity Monitoring: как устроен аудит запросов к СУБД

Что такое DAM и какую задачу он решает

Database Activity Monitoring — это независимый контур наблюдения за обращениями к СУБД. В отличие от штатного аудита базы, DAM выносит сбор и анализ событий за пределы самого сервера данных, поэтому его сложнее «обойти» или отключить тому, у кого есть права администратора БД. Это и есть главная ценность для безопасности и комплаенса: контроль привилегированных пользователей и фиксация доступа к чувствительным данным.

DAM закрывает три типовые задачи. Первая — безопасность: выявить аномальный или вредоносный доступ (массовая выгрузка таблиц, обращение к данным в нерабочее время, SQL-инъекции, доступ DBA к платёжным данным). Вторая — комплаенс: вести неизменяемый журнал доступа к персональным данным и подтверждать выполнение требований регуляторов и внутренних политик. Третья — расследования: дать аналитику восстановить полную картину «кто что делал» при разборе инцидента.

Как DAM перехватывает запросы: четыре способа съёма

Способ съёма активности — фундаментальная развилка архитектуры DAM. От него зависит, что именно увидит система: только сетевой трафик или ещё и локальные подключения, весь SQL или его часть, и какой ценой по производительности. На практике способы комбинируют, чтобы закрыть слепые зоны.

- **Локальный агент (sensor) на сервере СУБД.** Перехватывает обращения на уровне межпроцессного взаимодействия, разделяемой памяти или системных вызовов. Видит и сетевые, и локальные подключения (включая консольный доступ DBA), но требует установки ПО на сервер базы и потребляет его ресурсы. - **Сетевой прокси (inline).** Весь трафик к СУБД идёт через DAM как через шлюз. Позволяет не только наблюдать, но и блокировать запрос «на лету», однако становится точкой в разрыве канала: добавляет задержку и требует отказоустойчивости. - **Зеркалирование трафика (SPAN/TAP, out-of-band).** Коммутатор зеркалирует копию трафика на DAM. Нулевое влияние на путь запроса и на производительность СУБД, но не видит локальных подключений и шифрованных сессий без расшифровки, и не умеет блокировать. - **Встроенный аудит СУБД (native audit / триггеры).** DAM забирает события из штатных механизмов аудита базы. Простое подключение без агентов, но нагружает саму СУБД и зависит от того, что администратор базы не отключил аудит.

Разбор SQL, политики и алертинг

Перехватить запрос — половина дела. Дальше DAM должен понять, что именно произошло, и решить, как реагировать. Поток обработки укрупнённо проходит несколько стадий: захват запроса, его нормализация и разбор, применение политик, генерация алерта и сохранение в неизменяемый журнал.

- **Разбор (parsing) SQL.** Запрос раскладывается на составляющие: тип операции (SELECT/INSERT/UPDATE/DELETE/DDL), затронутые объекты (таблицы, представления, столбцы), условия и предполагаемый объём выборки, учётная запись, источник подключения и приложение. Это превращает «строку SQL» в структурированное событие, к которому можно применить правила. - **Политики.** На разобранные события навешиваются правила: белые и чёрные списки объектов и операций, доступ к чувствительным таблицам, ограничения по ролям, времени и адресам, пороги на объём выгрузки, сигнатуры SQL-инъекций и поведенческие аномалии. - **Алертинг и реакция.** При срабатывании политики DAM фиксирует событие, поднимает алерт (в консоль, SIEM, по почте), а в inline-режиме может заблокировать или прервать сессию. Всё это пишется в защищённый от изменения журнал для комплаенса и расследований.

Важная развилка — мониторинг против блокировки. Большинство внедрений начинают в режиме наблюдения (out-of-band), накапливают базовую линию нормального поведения и только потом точечно включают блокировку на критичных политиках, чтобы не остановить легитимные бизнес-операции ложным срабатыванием.

Влияние на производительность: чем платят за мониторинг

Влияние на производительность — главный практический вопрос при внедрении DAM, особенно для нагруженных OLTP-баз и систем дистанционного банковского обслуживания. Цена мониторинга напрямую зависит от выбранного способа съёма.

- **Зеркалирование (out-of-band)** практически не влияет на СУБД: копия трафика обрабатывается на стороне DAM, путь запроса не меняется. - **Локальный агент** потребляет CPU и память на сервере базы; грамотная реализация держит накладные расходы умеренными, но их обязательно нужно замерять под боевым профилем. - **Сетевой прокси (inline)** добавляет задержку в каждый запрос и становится узлом, чьё падение влияет на доступность БД, — поэтому требует кластеризации и отказоустойчивости. - **Встроенный аудит** перекладывает нагрузку на саму СУБД: расширенный аудит способен ощутимо просаживать производительность базы, и это нужно тестировать.

Вывод простой: универсального ответа нет, поэтому полноту перехвата и просадку производительности измеряют на пилоте под реальным трафиком, а не по паспортным цифрам.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики DAM сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом защиты баз данных и DAM](/rating/database-security-db-activity-monitoring): здесь — как устроена технология и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались, как устроен DAM, — переходите к сравнению поставщиков: **[рейтинг защиты баз данных и DAM →](/rating/database-security-db-activity-monitoring)**. Полезно прочитать рядом: [рейтинг российских DAM-систем](/research/reyting-dam-sistem-rossiya), [чем заменить Imperva и IBM Guardium](/research/zamena-imperva-guardium-dam) и [защита баз данных в банке](/research/zashchita-baz-dannyh-bank).