Oracle Audit Vault and Database Firewall 常见问题解答

常见问题

Audit Vault and Database Firewall 的最新版本是哪一个?

Oracle Audit Vault and Database Firewall (AVDF) 的最新版本为 Release Update 10 (AVDF 20.10)。有关详细信息,请阅读公告博客版本说明

Oracle Audit Vault and Database Firewall 的最新特性有哪些?

如今,Oracle Audit Vault and Database Firewall 利用安全配置、用户权利和存储过程可见性增强了自己同类优秀的活动监视功能,超越了传统的数据库活动监视,可以有效管理 Oracle Database 的安全态势。它提供现代用户界面,简化了常见工作流的导航,并扩展了许多常见目标类型的审计集合。AVDF 可以审计数据库,监视基于网络的 SQL 活动,全面管理所有本地和云端的 Oracle 和非 Oracle 数据库的安全态势。请参阅 AVDF 发行说明,获取完整功能列表。

Audit Vault 和 Database Firewall 是什么关系?我需要同时使用它们吗?

AVDF 同时支持本地审计数据收集和基于网络的 SQL 流量监视。所有审计事件都存储在 Oracle Audit Vault Server 中。支持您关联活动数据,创建报告。Oracle 建议采用一种整体方法来执行数据库审计和基于网络的 SQL 流量监视。使用 AVDF,您可以从您需要的功能起步,然后按需扩展。

AVDF 支持哪些目标类型和版本?

AVDF 支持 Oracle Database、Microsoft SQL Server、MySQL、IBM Db2、PostgreSQL、SAP Sybase、MongoDB,以及 Linux、Windows、Solaris 和 AIX 操作系统日志。此外,AVDF 还支持将审计迹写入 XML、CSV 和 JSON 格式的文件。您可以使用自定义收集器来收集审计日志,然后将审计日志发送到面向所有其它目标的 Oracle Audit Vault 服务器 — 在服务器中,审计迹将被写入数据库表。请参阅《AVDF 安装指南》中的平台支持矩阵章节,了解更多信息。

AVDF 如何整合其它来源(例如应用)的审计数据?

AVDF 可以从应用表或文件(XML、JSON、CSV)收集审计数据。AVDF 将数据映射到标准化格式并将其存储在 AVDF 信息库中。收集的数据可用于报告、警报生成和分析。由于所有数据源中都对格式进行了标准化,因此可以在单个报告中整合所有类型源的信息。请参阅 AVDF 开发人员指南,了解更多信息。

审计和网络监视有何区别?我需要同时进行审计和网络监视吗?

审计通常来说可在一个特定事件发生后,直接从 SQL 语句或通过存储过程调用来捕获详细信息。SQL 流量监视则可以帮助您分析 SQL 语句并在 SQL 语句到达数据库前采取相应行动,从而阻止可疑语句。审计和 SQL 流量监视都支持您指定在何种条件下收集审计和事件日志,均可针对一个事件提供两种视图(分别是事件前和事件后),均可在适当时候发出警报。Oracle 建议采用一种整体方法来执行数据库审计和基于网络的 SQL 流量监视。您可以首先部署和使用两者中的任一功能,然后按需扩展。

如何供应审计和 Database Firewall 策略?

AVDF 提供了一个界面,您可以在这个界面中查看 Oracle 审计策略。然后,您只需点击一下,就能将策略供应到目标数据库。对于 Database Firewall 策略,当为目标配置了一个数据库防火墙监视点后,默认策略将自动启用。该默认策略适用于 Database Firewall 可监视的所有目标,可跨所有表和视图的所有会话,捕获所有登录和登出以及唯一 DDL 和 DCL 语句。对于自定义 Database Firewall 策略,您也可以进行配置,以允许、记录、警报、替换或阻止 SQL。此外,您可以为 Oracle Database 配置防火墙策略,捕获一个 SQL SELECT 语句返回的行数,然后使用该数据监视数据渗漏企图并适时报警。请参阅审计员指南,了解更多信息。

数据库流量监视方法有哪些?

您可以配置 Database Firewall 来监视和阻止数据库流量,或仅监视数据库流量。为监视和阻止数据库库流量,您必须将防火墙配置为代理模式,即通过 Database Firewall 路由数据库流量。为监视基于网络的 SQL 流量,您需要使用网络交换机的 SPAN 端口向 Database Firewall 发送流量,或在数据库机器上设置主机监视器,通过它向 Database Firewall 转发 SQL 流量。请参阅管理员指南,了解更多信息。

我是否可以获得一个包含审计数据和网络日志的统一报告?

可以。Oracle Audit Vault 服务器可整合审计数据和网络 SQL 流量,基于审计日志和捕获的 SQL 流量,提供一个关于所有数据库活动的统一视图。警报和报告将基于该整合数据创建。

可否关联 OS 活动和数据库活动,构建一个统一视图?

可以。AVDF 可提供一个报告,展示与原始 Linux OS 用户(SU 或 SUDO 切换之前)关联的数据库事件的详细信息。

主要使用场景

AVDF 可以评估数据库安全态势吗?

AVDF 20.9 集成了面向 Oracle Database 的 Database Security Assessment Tool (DBSAT),推出了一个集中式、舰队级安全性评估解决方案。这一全功能评估解决方案可提供合规映射和建议,帮助企业在一个位置清晰了解自己所有 Oracle Database 的安全态势。您还可以定义评估基线,然后通过查看安全评估偏差报告来确定与该基线的偏差。请点击这里,了解更多信息。

AVDF 是否可以发现敏感数据和特权用户?

从 AVDF 20.9 开始,您可以发现 Oracle Database 中的敏感数据和特权用户。在此之前,AVDF 扩展了用户权利功能和 DBSAT,可以识别 Oracle Database 特权用户和敏感对象。具体而言,AVDF 20 可以运行和调度用户权利和敏感对象发现作业。在发现特权用户和敏感对象后,用户可以将其分别添加到特权用户和敏感对象集中。这些集是全局集,可应用于多个数据库防火墙策略。全局集还可以包括会话上下文信息,如 IP 地址、OS 用户、客户端程序和数据库用户,从而进一步简化 Database Firewall 策略管理。

AVDF 如何满足合规报告要求?

AVDF 提供面向 GDPR、PCI、GLBA、HIPAA、IRS 1075、SOX 和 UK DPA 的预构建合规报告。例如,对于 GDPR,AVDF 提供关于哪些用户拥有访问权限和正在访问敏感数据的合规报告。您可以对报告进行自定义,满足您的独特需求或特定于您行业/地区的合规要求。另外,您还可以将第三方工具连接到 Audit Vault 方案,开展分析和报告工作。

AVDF 可以审计和跟踪特权用户活动吗?

可以。AVDF 支持您为管理活动启用审计策略并为用户命名。它还可以提供预定义报告,包括可按特权用户展示所有被审计活动的特权用户报告。

AVDF 如何侦查滥用和非授权访问?

可使用 All Activity 报告分析哪些对象被访问。AVDF 支持按用户、对象、日期等因素筛选,然后分析筛选后的数据,判断是否有非授权用户访问对象。此外,对于 Oracle Database,您可以使用 SQL SELECT 语句返回的行计数来确定潜在的数据外泄尝试次数。

AVDF 可以跟踪用户、角色、权限和权利变更吗?

可以。经过适当配置,AVDF 可以按计划检查 Oracle Database 用户权利,提供关于自上次报告以来所发生变更的差异报告。换言之,它可以识别用户、角色和权限变更。

变更前/变更后值报告将如何确保安全、合规?

企业安全策略和法规(例如 HIPAA)规定必须审计敏感数据变更且必须捕获变更前和变更后的值。对此,AVDF 可使用 Oracle GoldenGate 的集成提取流程(含限制型许可)捕获变更前/变更后值并在 AVDF 报告中提供。此功能可用于 Oracle 和 MS SQL Server 数据库。请参阅 AVDF 管理员指南审计员指南,了解更多信息。

AVDF 将如何促进数据库活动监视 (DAM) 和 SIM/SIEM 计划?

AVDF 是一款提供本地审计数据收集和基于网络的 SQL 流量监视的 DAM 解决方案。它支持警报、报告和审计数据归档功能,可以将事件发送至系统日志,以便与 SIEM 系统集成。同时,将记录 AVDF 信息库模式以供 SIEM 或日志聚合器查询,轻松与绝大多数第三方 SIEM/日志分析产品集成。

安全

Oracle Database Firewall 可以监视指向目标的加密流量吗?

对于启用了 Oracle 本地网络加密或 TLS 网络加密的 Oracle Database,Oracle Database Firewall 可以监视数据库进出流量。对于启用了 TLS 网络加密的非 Oracle 数据库,Oracle Database Firewall 无法解析 SQL 流量。您可以使用 SSL 或 TLS 终止解决方案,在 SQL 流量到达 Oracle Database Firewall 前终止 SQL 流量,进而解析 SQL 流量,强制执行相应策略。

AVDF 如何保证存储的数据安全?

AVDF 使用透明数据加密技术加密所收集的数据,同时加密来自目标的网络流量。它支持管理员和审计员职责分离,使用 Database Vault 来限制数据访问。请参阅 AVDF 管理员指南中的“一般安全准则”,了解更多信息。

AVDF 可否与 Microsoft Active Directory 协同进行身份验证?

可以。AVDF 能够与 Microsoft Active Directory 集成来进行用户身份验证。您还可以将 Microsoft Active Directory 用户创建为 AVDF 管理员/审计员。请参阅 AVDF 管理员指南,了解更多信息。

企业级功能

AVDF 如何随着目标数量和审计/日志数据规模增长而扩展?

在按照 Oracle 的规模调整指导配置后,一个 Audit Vault 服务器支持最高 1000 个审计迹的 AVDF 事件数据收集,一个代理支持最高 20 个审计迹。有关规模调整指导,请参阅《安装指南》中的 Audit Vault and Database Firewall 优秀实践和规模调整计算器 (MOS Note: 2092683.1)。您可以按照您的环境要求,按需设置 Audit Vault 服务器、代理和 Database Firewall 的 CPU、内存和磁盘资源。这需要您基于目标数量、平均每日生成审计数据量、保留期、防火墙目标数量以及其它信息,制定您自己的规模调整指南。

AVDF 可以处理来自 Oracle Exadata 和其它集群数据库的高负载吗?

可以。AVDF 可以按需扩展,满足来自 Oracle Exadata 和其它集群数据库的审计数据收集要求。您可以基于总目标数量和预期审计数据摄取率来配置代理数量。另外,在 AVDF 20.5(及以后版本)中,Audit Vault 代理可以自动选择最优配置,优化审计数据收集率。这种动态、多线程的收集器功能可以有效利用 Audit Vault 服务器和 Audit Vault 代理资源。请参阅管理员指南中的注册目标章节,了解更多信息。

除了本地部署目标外,AVDF 支持云端目标吗?

可以。AVDF 除了监视本地部署目标外,还可以监视部署在云端的目标,包括 Oracle Autonomous Database 服务。Audit Vault 服务器可收集传统审计迹数据、细粒度审计数据、Database Vault 审计数据,以及涵盖云端和本地部署数据库的统一审计迹数据。请参阅管理员指南中的“Oracle Audit Vault and Database Firewall 混合云技术部署”章节,了解更多信息。

AVDF 是否支持高可用性,以实现容错?

AVDF 为所有组件提供高可用性配置,包括 Audit Vault 服务器、Database Firewall 和 Audit Vault 代理。请参阅管理员指南,了解更多信息。

AVDF 能否归档审计/日志数据,满足监管法规的数据保留要求?

Audit Vault 服务器支持目标级数据保留策略,可满足组织内部和外部监管要求。审计数据将自动归档到一个低成本的外部信息库中,用户可以按目标策略进行检索。请参阅管理员指南,了解更多信息。

AVDF 可以针对异常活动发出警报,尽可能缩短分析工作用时吗?

AVDF 提供了一个强大的警报构建器,支持用户按照各种条件,针对收集的审计和防火墙数据配置警报。它还可以在仪表盘上显示警报,支持通过电子邮件发送警报或将警报发送至系统日志。

AVDF 如何与 Oracle 安全产品(如 Oracle Key Vault、Oracle Database Vault 和 Oracle Database Security Assessment Tool (DBSAT))集成?

AVDF 可读取并在 AVDF 报告中展示来自 Oracle Database Vault 审计迹的审计数据。用户可将 Oracle Key Vault 添加为一个 AVDF 目标。添加后,AVDF 将收集 Oracle Key Vault 审计数据,生成活动报告。从 AVDF Release Update 9 起,AVDF 在安全性评估和敏感数据发现方面集成了 DBSAT,以此来评估 Oracle Database 安全态势,发现 Oracle Database 中的敏感数据。

Oracle Enterprise Manager 可以管理 AVDF 吗?

Enterprise Manager AVDF 插件在 Oracle Enterprise Manager Cloud Control 中提供了一个接口,支持管理员管理和监视 AVDF 组件。请参阅面向 Oracle Audit Vault and Database Firewall 的系统监视插件用户指南,了解更多信息。同时,请参阅与 Oracle Enterprise Manager 的兼容性,查看 AVDF 支持哪些版本的 Oracle Enterprise Manager。

部署

AVDF 可在哪些硬件和虚拟机上运行?如何调整规模?

Oracle Linux R8 支持的所有 Intel x86 64 位硬件平台均可用于部署 AVDF 组件。请参阅“硬件认证列表”,获取完整认证硬件信息。同时,每一个 Audit Vault 服务器和 Database Firewall 都必须安装在专用 x86 64 位服务器上。请参阅安装指南中的“2.2.1 产品兼容性矩阵”章节,了解更多信息。

AVDF 还可以部署在 Oracle Cloud Infrastructure (OCI) 上 — 请前往 Oracle Cloud Marketplace 获取。利用 Oracle Cloud Marketplace 映像,您只需短短数分钟即可部署一个全功能 AVDF 系统。Oracle Cloud 的灵活性可帮助您轻松扩展计算资源,满足不断增长的需求。这意味着您可以从小型 VM 配置起步,然后随着工作负载增长而逐步扩展。

有关规模调整指导,请参阅《安装指南》中的 Audit Vault and Database Firewall 优秀实践和规模调整计算器 (MOS Note: 2092683.1)。您可以按照您的环境要求,按需设置 Audit Vault 服务器、代理和 Database Firewall 的 CPU、内存和磁盘资源。这需要您基于目标数量、平均每日生成审计数据量、保留期、防火墙目标数量以及其它信息,制定您自己的规模调整指南。

最后,尽管 AVDF 可在虚拟环境下运行(如 Oracle VM Server 和 VMware),Oracle 还是建议您在物理硬件上安装 AVDF。

安装/部署 AVDF 需要多长时间?是否需要寻求咨询服务帮助?

通常情况下,概念验证需要两天到两周的时间 — 具体取决于目标和策略的数量。AVDF 部署主要分为三个步骤。

1. 安装 Audit Vault 服务器和(可选)在服务器上安装 Database Firewall:使用 ISO 映像时,整个流程十分简单,只需数个小时即可完成。如果您通过 Oracle Cloud Marketplace,在一个 OCI 租户中部署 AVDF,您只需短短数分钟即可完成系统供应。

2. 在目标或 Database Firewall 上启用或创建适当的审计或监视策略。只需点击几下,AVDF 即可帮助您快速创建默认策略。但是,在某些使用场景下,这一步可能会耗费较长时间。

3. 分析报告和警报。AVDF 提供了数十种开箱即用的报告,您可以对报告进行自定义,满足您独特的合规和安全要求。

完成概念验证后,在 AVDF 控制台中设置备份、归档、高可用性和其它配置选项通常需要更多时间。此外,您还需要使用自定义收集器框架,为您的应用添加收集器。

在实施支持方面,Oracle 的很多客户都在未使用咨询服务的情况下完成了 AVDF 实施。在安装前,请参阅安装指南中的安装检查清单,并使用规模调整电子表格 (MOS Note: 2092683.1) 确定最佳硬件配置。

AVDF 如何尽可能缩短部署和升级工作用时?

AVDF 是一个全体系软件设备,由 Oracle Linux 操作系统、Oracle Database 和 AVDF 软件构成,您可以轻松,一次性部署和升级所有组件。此外,在执行 Audit Vault 服务器打补丁和升级操作后,AVDF 将自动下载并升级代理,尽可能缩短部署和升级工作用时。

您还可以使用备份和还原功能来升级 Oracle Audit Vault and Database Firewall,尽可能缩短数据监视和收集停机时间。通过这一过程,您可以从 Oracle AVDF 20.3(及以后版本)升级到 Oracle AVDF R20.9(及以后版本)。有关更多信息,请点击这里

当在 AVDF 上安装其它或第三方软件后,Oracle 的支持政策将发生什么变化?

Oracle Audit Vault and Database Firewall 以单一设备形式发货;禁止在 Audit Vault 服务器上安装任何第三方软件。请参阅 AVDF 概念指南,了解更多信息。

升级

我当前安装的是 AVDF 12.2,为何要升级到 AVDF 20?

出于以下原因,我们建议您升级到 AVDF 20。首先,Oracle 于 2021 年 3 月终止了对 AVDF 12.2 的标准支持服务。换言之,Oracle 不再为 AVDF 12.2 开发定期安全补丁。其次,更重要的是,最新 AVDF 带来了以下新特性和新功能:

  • 全新的现代化 UI 针对各种工作流进行了优化,可提高管理员/审计员效率。
  • 支持统一审计,可帮助客户从传统审计转向统一审计。
  • 简化 Database Firewall 设置配置 — 相对之前版本。
  • 新的目标,例如 PostgreSQL、MongoDB(使用简单的属性映射表)以及 Oracle Cloud Autonomous Database。
  • 更广泛的自定义收集器支持,包括 JSON、REST 和 CSV。
  • 使用 Oracle GoldenGate 集成提取流程(含限制型许可,支持 Oracle 和 Microsoft SQL Server 数据库)收集发生了变更的记录的变更前/变更后值。
  • 与 Microsoft Active Directory 集成,可更轻松地集中管理 AVDF 用户。
  • 自动归档来自 Audit Vault 服务器的审计/网络事件数据。
  • 面向嵌入式数据库和操作系统的 FIPS 140-2 兼容性。
  • 支持在本地或 Oracle Cloud 上部署 AVDF。AVDF 遵循安全技术实施准则 (STIG) 统一审计策略 — 适用于 Oracle Database 目标。
  • 简化、集中、舰队级的面向所有 Oracle Database 目标的安全配置评估视图,支持数据库安全态势管理。

点击这里,查看 AVDF 20 及后续更新带来的重要新特性和增强功能。如需了解这些特性的实际表现,请点击这里,注册观看 LiveLabs 引导式研讨会。

哪些版本的 AVDF 支持升级操作?

您可以从 AVDF 12.2.0.9.0(及以后版本)升级到 AVDF 20。如版本号低于 12.2 Bundle Patch 9,请首先升级到 12.2 Bundle Patch 9。请参阅 AVDF 安装指南,了解更多信息。

升级后,我当前注册的目标、自定义报告和归档数据将迁移到新版本吗?

可以。升级后,您当前注册的目标、自定义报告和归档数据将自动迁移到 AVDF 20。

更多信息

如何上手使用 AVDF?有哪些可用资源?

请访问 Oracle 网站,详细了解产品,并获取技术简介、产品介绍和其它资料。您还可以联系您附近的 Oracle 代表来获取帮助。

如何下载 AVDF 软件和产品文档?

请前往 Oracle Software Delivery Cloud 下载 AVDF。在那里,您可以搜索 Oracle Audit Vault and Database Firewall 产品包。同时,AVDF 可部署在 Oracle Cloud 上,请前往 Oracle Cloud Marketplace,搜索 Oracle Audit Vault and Database Firewall。

是否有 AVDF 相关的对外论坛?

可以。请前往 Oracle Audit Vault and Database Firewall 论坛,Oracle 社区专家将在这里为您解答 AVDF 产品问题。

注:为免疑义,本网页所用以下术语专指以下含义:

  1. Oracle专指Oracle境外公司而非甲骨文中国。
  2. 相关Cloud或云术语均指代Oracle境外公司提供的云技术或其解决方案。