Das neueste Release von Oracle Audit Vault und Database Firewall (AVDF) ist Release Update 11 (AVDF 20.11). Weitere Informationen finden Sie im Blog und in den Versionshinweisen.
Oracle Audit Vault and Database Firewall geht jetzt über die Überwachung der Datenbankaktivität hinaus, um den Sicherheitsstatus Ihrer Oracle Database zu verwalten, und die erstklassigen Aktivitätsüberwachungsfunktionen durch Einblick in Sicherheitskonfiguration, Benutzerberechtigungen und gespeicherte Prozeduren zu verbessern. Die Lösung bietet eine moderne Benutzeroberfläche mit vereinfachter Navigation für gängige Workflows und einer erweiterten Auditerfassung für viele gängige Zieltypen. AVDF prüft Datenbanken und überwacht netzwerkbasierte SQL-Aktivitäten, um die Sicherheitslage von Oracle Databases und Datenbanken von Fremdanbietern zu verwalten, die in der Cloud oder On-Premises gehostet werden. Eine vollständige Funktionsliste finden Sie in den Versionshinweisen zu AVDF.
AVDF unterstützt die native Auditerfassung und die netzwerkbasierte SQL-Traffic-Überwachung. Alle Auditereignisse werden im Oracle Audit Vault Server gespeichert. Dadurch können Sie die Aktivitätsdaten zuordnen und Berichte erstellen. Oracle empfiehlt einen ganzheitlichen Ansatz und unterstützt das Datenbank-Auditing und die netzwerkbasierte SQL-Traffic-Überwachung. Sie können mit einer der beiden Funktionen beginnen und Ihre Architektur bei Bedarf erweitern, um beide zu nutzen.
AVDF unterstützt Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB und Betriebssystemprotokolle für Linux, Windows, Solaris und AIX. Darüber hinaus unterstützt AVDF auch Prüfprotokolle, die in Dateien im XML-, CSV- und JSON-Format geschrieben werden. Sie können benutzerdefinierte Collectors verwenden, um die Audit-Protokolle zu erfassen und sie an den Audit Vault-Server für alle anderen Ziele zu senden, wo Audittrails in Datenbanktabellen geschrieben werden. Weitere Informationen hierzu finden Sie in der Plattform-Support-Matrix im AVDF-Installationshandbuch.
AVDF kann Auditdaten aus Anwendungstabellen oder -dateien (XML, JSON, CSV) erfassen. AVDF ordnet die Daten einem standardisierten Format zu und speichert sie im AVDF-Repository. Die erfassten Daten stehen für Reporting, Alertgenerierung und Analyse zur Verfügung. Da das Format für alle Quellen standardisiert ist, ist es möglich, Informationen aus allen Arten von Quellen in einem einzigen Bericht zu konsolidieren. Weitere Informationen hierzu finden Sie im AVDF-Entwicklerhandbuch.
Beim Auditing werden in der Regel detaillierte Informationen nach einem bestimmten Ereignis erfasst, sei es direkt aus einer SQL-Anweisung oder über einen Aufruf einer gespeicherten Prozedur. Durch die Überwachung des SQL-Traffics können Sie die SQL-Anweisung analysieren und darauf reagieren, bevor sie die Datenbank erreicht. So können verdächtige Anweisungen blockiert werden. In beiden Fällen können Sie die Bedingungen angeben, unter denen Sie die Audit- oder Ereignisprotokolle erfassen möchten. Beide stellen unterschiedliche Ansichten über dasselbe Ereignis bereit: eine nachher und eine davor. Für beide können Alerts ausgelöst werden. Oracle empfiehlt einen ganzheitlichen Ansatz und unterstützt das Datenbank-Auditing und die netzwerkbasierte SQL-Traffic-Überwachung. Sie können mit einer der beiden Funktionen beginnen und Ihre Architektur bei Bedarf erweitern, um beide zu nutzen.
AVDF bietet eine Schnittstelle zum Anzeigen Ihrer Oracle Audit-Policys, und Sie können sie mit einem einzigen Klick in der Zieldatenbank bereitstellen. Wenn für die Database Firewall-Policy ein Database Firewall-Überwachungspunkt für das Ziel konfiguriert ist, wird die Standard-Policy automatisch angewendet. Diese Standard-Policy wird für alle von der Database Firewall überwachten Ziele konfiguriert. Es erfasst alle An- und Abmeldungen sowie eindeutige DDL- und DCL-Anweisungen für alle Tabellen und Ansichten über Sessions hinweg. Benutzerdefinierte Database Firewall-Policys können auch konfiguriert werden. So können SQL-Anweisungen zugelassen, protokolliert, ersetzt und blockiert werden. Firewall-Policys können für Oracle Databases konfiguriert werden, um die von einer SQL-SELECT-Anweisung zurückgegebene Anzahl von Zeilen zu erfassen und diese Daten zur Überwachung und Warnung bei Datenexfiltrationsversuchen zu verwenden. Weitere Informationen finden Sie im Auditorhandbuch.
Sie können die Database Firewall für die Überwachung und Blockierung oder auch nur für die Überwachung konfigurieren. Um die Überwachung und Blockierung zu implementieren, müssen Sie die Firewall im Proxy-Modus konfigurieren, in dem der Datenbankverkehr über die Database Firewall geleitet wird. Um eine netzwerkbasierte SQL-Traffic-Überwachung zu implementieren, können Sie festlegen, dass der Span-Port von Netzwerk-Switches den Datenverkehr an die Database Firewall sendet. Jedoch können Sie auch den Host-Monitor auf den Datenbankrechnern so einrichten, dass er den SQL-Datenverkehr an die Database Firewall weiterleitet. Weitere Informationen hierzu finden Sie im Administratorhandbuch.
Ja. Der Audit Vault-Server führt Audit-Daten und Netzwerk-SQL-Traffic zusammen, um eine einheitliche Ansicht aller Datenbankaktivitäten aus den Auditprotokollen oder dem erfassten SQL-Traffic bereitzustellen. Aus den zusammengeführten Daten werden dann Alerts und Berichte erzeugt.
Ja. AVDF stellt einen Bericht bereit, der Details zu Datenbankereignissen anzeigt, die dem ursprünglichen Linux-Betriebssystembenutzer vor dem SU- oder SUDO-Übergang zugeordnet sind.
AVDF 20.9 führt für Unternehmen eine flottenweite zentralisierte Lösung für die Sicherheitsbewertung ein, indem das beliebte Database Security Assessment Tool (DBSAT) für Oracle Databases integriert wird. Durch die umfassende Bewertung mit Compliance-Mappings und -Empfehlungen können Unternehmen ihren Sicherheitsstatus für alle Oracle Databases an einer zentralen Stelle klar nachvollziehen. Außerdem können Sie eine Bewertungsbasislinie definieren und Abweichungen von dieser Basislinie ermitteln, indem Sie Abweichungsberichte zur Sicherheitsbewertung anzeigen. Weitere Informationen dazu finden Sie hier.
Ab AVDF 20.9 können Sie jetzt vertrauliche Daten und privilegierte Benutzer für Oracle Database erkennen. Außerdem erweitert AVDF die Möglichkeiten von Benutzerberechtigungen und DBSAT und identifiziert privilegierte Benutzer sowie sensible Objekte für Oracle Database. Dies wird durch die Ausführung und Planung der Benutzerberechtigungen und der Erkennung sensibler Objekte ermöglicht. Sobald die privilegierten Benutzer und sensiblen Objekte erkannt wurden, können sie den Sets für privilegierte Benutzer bzw. sensible Objekte hinzugefügt werden. Diese Sets sind global und können in mehreren Database Firewall-Policys verwendet werden. Globale Sätze können auch Kontextinformationen zur Sitzung wie IP-Adresse, Betriebssystembenutzer, Clientprogramm und Datenbankbenutzer enthalten, wodurch die Database Firewall-Policy noch weiter vereinfacht wird.
AVDF bietet vordefinierte Compliance-Berichte für DSGVO, PCI, GLBA, HIPAA, IRS 1075, SOX und UK DPA. Im Rahmen der DSGVO-Konformität stellen wir beispielsweise Berichte darüber zur Verfügung, wer Zugriff auf Ihre vertraulichen Daten hat und wer auf sie zugreift. Sie können die Berichte an Ihre spezifischen Ziele oder branchen-/regionsspezifischen Compliance-Anforderungen anpassen. Berichtstools von Drittanbietern können für Analysen und Berichte auch eine Verbindung zum Audit Vault-Schema herstellen.
Ja. Sie können Audit-Policys für Administratoraktivitäten aktivieren und Benutzer benennen. AVDF verfügt über vordefinierte Berichte, einschließlich Berichten über privilegierte Benutzer, die alle überwachten Aktivitäten privilegierter Benutzer anzeigen.
Verwenden Sie den Bericht „Alle Aktivitäten“, um zu analysieren, auf welche Objekte zugegriffen wurde. Außerdem kann AVDF nach Benutzer, Objekt, Datum und mehr filtern und die resultierenden Daten analysieren. So kann festgestellt werden, ob unbefugte Benutzer auf die Objekte zugegriffen haben. Darüber hinaus können Sie für Oracle Databases die Anzahl der zurückgegebenen Zeilen von SQL SELECT-Anweisungen verwenden, um potenzielle Datenexfiltrationsversuche zu identifizieren.
Ja. AVDF kann so konfiguriert werden, dass die Berechtigungen für Oracle Databases regelmäßig überprüft werden und ein differenzierter Bericht darüber erstellt wird, was sich seit dem letzten Bericht geändert hat. AVDF identifiziert Änderungen an Benutzern, Rollen und Berechtigungen.
Sicherheitsrichtlinien und -vorschriften für Unternehmen wie HIPAA verlangen, dass an vertraulichen Daten vorgenommene Änderungen geprüft und die Vorher- und Nachher-Werte des Datensatzes erfasst werden. AVDF erfasst die Vorher-/Nachher-Werte mithilfe des integrierten Extraktionsprozesses von Oracle GoldenGate (eingeschränkte Lizenz im Lieferumfang enthalten) und stellt diese in AVDF-Berichten zur Verfügung. Diese Funktion ist für Oracle und MS SQL Server-Datenbanken verfügbar. Weitere Informationen finden Sie im Administratorhandbuch und im Auditorhandbuch von AVDF.
AVDF ist eine DAM-Lösung, die eine native Erfassung von Auditdaten und eine netzwerkbasierte SQL-Traffic-Überwachung bietet. AVDF unterstützt Alerts, Berichte und die Archivierung von Auditdaten. Außerdem kann AVDF Ereignisse zur Integration in SIEM-Systeme an Syslog senden. Das AVDF-Repository-Schema wird dokumentiert und kann von einem SIEM oder Protokollaggregator abgefragt werden. Dies ermöglicht eine einfache Integration mit den meisten SIEM-/Protokollanalyseprodukten von Drittanbietern.
Oracle Database Firewall überwacht den Datenverkehr zu und von einer Oracle Database, wenn die native Netzwerkverschlüsselung von Oracle oder die TLS-Netzwerkverschlüsselung verwendet wird. Bei Datenbanken, die nicht von Oracle stammen und die TLS-Netzwerkverschlüsselung verwenden, kann die Database Firewall diesen SQL-Traffic nicht interpretieren. Sie können SSL- oder TLS-Beendigungslösungen verwenden, um den SQL-Traffic zu beenden, kurz bevor er die Database Firewall erreicht. Dadurch kann der SQL-Traffic interpretiert und die Policys durchgesetzt werden.
AVDF verschlüsselt erfasste Daten mithilfe einer transparenten Datenverschlüsselung sowie auch den Netzwerkverkehr von den Zielen. AVDF sorgt außerdem für eine Aufgabentrennung zwischen Administrator und Auditor, und nutzt Database Vault, um den Zugriff auf Daten einzuschränken. Weitere Einzelheiten finden Sie in den allgemeinen Sicherheitsrichtlinien im AVDF-Administratorhandbuch.
Ja. AVDF unterstützt die Microsoft Active Directory-Integration zur Benutzerauthentifizierung. Außerdem können Sie AVDF-Administratoren/Auditoren auch als Microsoft Active Directory-Benutzer erstellen. Weitere Einzelheiten finden Sie im AVDF-Administratorhandbuch.
Bei Konfiguration gemäß den Größenrichtlinien kann ein Audit Vault-Server die Erfassung von AVDF-Ereignisdaten mit bis zu 1.000 Audittrails und jeder Agent bis zu 20 Audittrails unterstützen. Hinweise zur Größenbestimmung finden Sie unter „Best Practices und Auslegungsrechner für Audit Vault and Database Firewall“ (MOS-Hinweis: 2092683.1) im Installationshandbuch. Je nach Umgebung können Sie die Größe der CPU, des Arbeitsspeichers und des Datenträgers festlegen, die für den Audit Vault-Server, den Agent und die Database Firewall erforderlich sind. Sie müssen jedoch die Anzahl der Ziele, die durchschnittlichen pro Tag generierten Auditdaten, den Aufbewahrungszeitraum, die Anzahl der Firewall-Ziele und andere Informationen angeben, um die Größenempfehlungen zu generieren.
Ja. AVDF kann skaliert werden, um die Erfassung von Auditdaten aus Oracle Exadata und anderen geclusterten Datenbanken zu unterstützen. Außerdem können Sie die Anzahl der Agents basierend auf den Gesamtzielen und der erwarteten Audit-Aufnahmerate konfigurieren. In AVDF 20.5 (und höher) wählen die Audit Vault-Agenten automatisch die bestmögliche Konfiguration zur Verbesserung der Audit-Erfassungsrate. Diese dynamische Multithreaded Collector-Funktionalität nutzt effektiv die Ressourcen des Audit Vault-Servers und des Audit Vault-Agenten. Weitere Informationen finden Sie unter Registrieren von Zielen im Administratorhandbuch.
Ja. AVDF kann On-Premises und in der Cloud bereitgestellte Ziele überwachen, einschließlich Oracle Autonomous Database-Services. Der Audit Vault-Server erfasst Daten für herkömmliche Audittrails, differenzierte Audits, Database Vault-Audits und einheitliche Audits aus Audittrails in der Cloud oder On-Premises-Datenbanken. Weitere Informationen finden Sie unter Oracle Audit Vault and Database Firewall Hybrid Cloud Deployment im Administratorhandbuch.
AVDF unterstützt die High Availability-Konfiguration für alle AVDF-Komponenten, einschließlich des Audit Vault-Servers, der Database Firewall und des Audit Vault-Agenten. Weitere Informationen finden Sie im Administratorhandbuch.
Der Audit Vault-Server unterstützt Policys bezüglich der Datenaufbewahrung pro Ziel und ermöglicht so die Erfüllung interner oder externer Compliance-Anforderungen. Auditdaten können automatisch in einem kostengünstigen externen Repository archiviert und gemäß der zielspezifischen Policy abgerufen werden. Weitere Informationen finden Sie im Administratorhandbuch.
AVDF verfügt über einen leistungsstarken Alert Builder, der Alerts für die erfassten Audit- und Firewall-Daten basierend auf verschiedenen Bedingungen konfiguriert. AVDF kann den Alert im Dashboard anzeigen und als E-Mail oder an Syslog senden.
AVDF kann Auditdaten aus dem Database Vault-Audittrail lesen und in den AVDF-Berichten anzeigen. Darüber hinaus kann Oracle Key Vault als Ziel in AVDF hinzugefügt werden. AVDF erfasst Auditdaten von Oracle Key Vault und generiert alle Aktivitätsberichte in AVDF. Ab AVDF Release Update 9 ist DBSAT in die AVDF-Sicherheitsbewertung und die Erkennung vertraulicher Daten integriert. So kann der Sicherheitsstatus von Oracle Databases bewertet und vertrauliche Daten können in Oracle Databases erkannt werden.
Das Enterprise Manager AVDF-Plug-in bietet Administratoren eine Schnittstelle innerhalb von Oracle Enterprise Manager Cloud Control zum Verwalten und Überwachen von AVDF-Komponenten. Ausführliche Informationen finden Sie im Benutzerhandbuch zum Systemüberwachungs-Plug-in für Audit Vault and Database Firewall. Weitere Informationen zu den unterstützten Versionen von Oracle Enterprise Manager mit AVDF finden Sie unter Kompatibilität mit Oracle Enterprise Manager.
Für die Bereitstellung der AVDF-Komponenten kann jede von Oracle Linux Release 8 unterstützte Intel x86 64-Bit-Hardwareplattform verwendet werden. Eine vollständige Liste der zertifizierten Hardware finden Sie in der Hardware-Zertifizierungsliste. Jeder Audit Vault-Server und jede Datenbank-Firewall müssen auf ihrem dedizierten x86-64-Bit-Server installiert werden. Weitere Informationen finden Sie in der Produktkompatibilitätsmatrix 2.2.1 im Installationshandbuch.
AVDF kann auch in Oracle Cloud Infrastructure (OCI) über den Oracle Cloud Marketplace bereitgestellt werden. Mit dem Marketplace-Image kann innerhalb weniger Minuten ein voll funktionsfähiges AVDF-System bereitgestellt werden. Außerdem bietet Oracle Cloud die Flexibilität, Compute-Ressourcen entsprechend den wachsenden Anforderungen zu skalieren. Durch die einfache Skalierung haben Sie die Möglichkeit, mit einer kleinen VM-Ausprägung zu beginnen und bei steigender Workload vertikal zu skalieren.
Hinweise zur Größenbestimmung finden Sie unter „Best Practices und Auslegungsrechner für Audit Vault and Database Firewall“ (MOS-Hinweis: 2092683.1) im Installationshandbuch. Je nach Umgebung können Sie die Größe der CPU, des Arbeitsspeichers und des Datenträgers festlegen, die für den Audit Vault-Server, den Agent und die Database Firewall erforderlich sind. Sie müssen jedoch die Anzahl der Ziele, die durchschnittlichen pro Tag generierten Auditdaten, den Aufbewahrungszeitraum, die Anzahl der Firewall-Ziele und andere Informationen angeben, um die Größenempfehlungen zu generieren.
Obwohl AVDF auf virtualisierten Umgebungen wie Oracle VM Server oder VMware ausgeführt werden kann, empfehlen wir die Installation auf physischer Hardware.
Ein typischer Proof of Concept kann je nach Anzahl der Ziele und Policys zwischen zwei Tagen und zwei Wochen dauern. Das Deployment umfasst drei wichtige Schritte.
1. Installation des Audit Vault-Servers und optional der Database Firewall auf Server-Rechnern Ihrer Wahl: Der gesamte Vorgang ist mithilfe des ISO-Images recht einfach und kann schnell in wenigen Stunden durchgeführt werden. Wenn Sie AVDF vom Oracle Cloud Marketplace in einem OCI-Mandanten bereitstellen, kann das Provisioning des Systems in nur wenigen Minuten erfolgen.
2. Aktivieren oder Erstellen der entsprechenden Audit- oder Überwachungs-Policys auf dem Ziel oder in der Database Firewall. Mit AVDF können Sie mit nur wenigen Klicks Standard-Policys sehr schnell erstellen. Je nach Anwendungsfall kann dies jedoch länger dauern.
3. Analyse der Berichte und Alerts. AVDF stellt mehrere Dutzend Berichte sofort zur Verfügung. Diese Berichte können Sie weiter anpassen, sodass sie Ihren Compliance- oder Sicherheitsanforderungen entsprechen.
Sobald der Proof of Concept abgeschlossen ist, nimmt das Einrichten der Backup-, Archivierungs-, High Availability- und anderen Konfigurationsoptionen in der AVDF-Konsole normalerweise mehr Zeit in Anspruch. Außerdem können Sie mithilfe des benutzerdefinierten Collector-Frameworks auch Collectors für Ihre Anwendungen hinzufügen.
Viele unserer Kunden haben AVDF ohne Beratungsservices implementiert. Sehen Sie sich vor der Installation die Installationscheckliste im Installationshandbuch an und verwenden Sie die Größentabelle (MOS-Hinweis: 2092683.1), um die geeignete Hardwarekonfiguration zu ermitteln.
AVDF ist eine Full-Stack-Software-Appliance, die das Betriebssystem Oracle Linux, Oracle Database und AVDF-Software umfasst. So wird das Deployment und Upgrade aller Komponenten auf einmal vereinfacht. Wenn der Audit Vault-Server gepatcht oder aktualisiert wird, werden die Agenten automatisch heruntergeladen und aktualisiert, wodurch die Bereitstellungs- und Aktualisierungszeit minimiert wird.
Darüber hinaus können Sie die Backup- und Wiederherstellungsfunktion verwenden, um Oracle Audit Vault and Database Firewall auf ein neues Release zu aktualisieren, das minimale Ausfallzeiten für die Überwachung und Datenerfassung bietet. Mit diesem Prozess können Sie von Oracle AVDF 20.3 und höher auf das Release 20.9 und höher aktualisieren. Weitere Informationen finden Sie hier.
Oracle Audit Vault and Database Firewall werden als Appliance geliefert. Außerdem sollte auf dem Audit Vault-Server keine Software von Drittanbietern installiert werden. Weitere Informationen finden Sie im AVDF Concepts Guide.
Sie sollten aus folgenden Gründen ein Upgrade auf AVDF 20 in Erwägung ziehen: Erstens beendete AVDF 12.2 den Premier Support im März 2021. Das bedeutet, dass Oracle keine regelmäßigen Sicherheitspatches mehr für das Produkt erstellt. Noch wichtiger ist jedoch, dass das neueste Release von AVDF die folgenden neuen Features und Funktionen bietet:
Eine Liste der wichtigen neuen Features und Verbesserungen, die in AVDF 20 und späteren Release-Updates eingeführt wurden, finden Sie hier. Registrieren Sie sich hier für einen geführten LiveLabs-Workshop, wenn Sie diese Features in Aktion sehen möchten.
Sie können von AVDF 12.2.0.9.0 und höher auf AVDF 20 upgraden. Wenn Sie eine niedrigere Version als 12.2 Bundle Patch 9 verwenden, sollten Sie diese zuerst upgraden. Weitere Informationen finden Sie im AVDF-Installationshandbuch.
Ja. Nach dem Upgrade werden Ihre aktuell registrierten Ziele, benutzerdefinierten Berichte und Archivdaten automatisch auf AVDF 20 migriert.
Besuchen Sie die Oracle Website, um mehr über das Produkt zu erfahren und auf technische Kurzbeschreibungen, Datenblätter und andere Materialien zuzugreifen, oder wenden Sie sich an einen Mitarbeiter von Oracle in Ihrer Nähe.
AVDF kann von der Oracle Software Delivery Cloud heruntergeladen werden. Suchen Sie nach dem Produktpaket Oracle Audit Vault and Database Firewall. Außerdem kann AVDF in der Oracle Cloud bereitgestellt werden. Hierzu besuchen Sie den Oracle Cloud Marketplace und suchen nach Oracle Audit Vault and Database Firewall.
Ja. Das Oracle Audit Vault and Database Firewall-Forum bietet eine Plattform, über die Sie Antworten auf Ihre Produktfragen von Experten der Oracle Community erhalten können.