Preguntas frecuentes sobre Oracle Audit Vault and Database Firewall

Preguntas generales

¿Cuál es la última versión de Audit Vault y Database Firewall?

La última versión de Oracle Audit Vault and Database Firewall (AVDF) es la versión 10 (AVDF 20.10). Para obtener más detalles, lee el blog y la nota de la versión del anuncio.

¿Qué hay de nuevo en Oracle Audit Vault and Database Firewall?

Oracle Audit Vault and Database Firewall ahora se expande más allá de la monitorización de actividad de bases de datos para administrar la postura de seguridad de tu base de datos Oracle, mejorando las capacidades líderes en la industria de monitorización de actividades con visibilidad en la configuración de seguridad, los derechos de usuario y los procedimientos almacenados. Ofrece una interfaz de usuario moderna con navegación simplificada para flujos de trabajo comunes y una recopilación de auditoría ampliada para muchos tipos de objetivos populares. AVDF audita bases de datos y supervisa actividades SQL basadas en la red para ayudar a administrar la postura de seguridad de las bases de datos de Oracle y no Oracle alojadas on-premises o en la nube. Consulta las Notas de la versión de AVDF para obtener una lista completa de las funciones.

¿Cómo están relacionados Audit Vault y Database Firewall? ¿Necesito ambos?

AVDF admite la recopilación de auditorías nativas y la supervisión del tráfico SQL basado en la red. Todos los eventos de auditoría se almacenan en Oracle Audit Vault Server. Esto te permite correlacionar los datos de actividad y crear informes. Oracle recomienda un enfoque integral y soporta la auditoría de bases de datos y la supervisión del tráfico SQL basado en red. Puedes comenzar con una de las capacidades y expandir la arquitectura para incluir ambas, si es necesario.

¿Qué tipos de objetivos y versiones son compatibles con AVDF?

AVDF es compatible con Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB y registros de sistemas operativos de Linux, Windows, Solaris y AIX. AVDF también admite trazas de auditoría escritas en archivos en formato XML, CSV y JSON. Puedes usar recolectores personalizados para recopilar los registros de auditoría y enviarlos al servidor para todos los demás objetivos, donde las trazas de auditoría se escriben en tablas de bases de datos. Consulta la Matriz de compatibilidad de plataformas en la guía de instalación de AVDF para más información.

¿Cómo AVDF consolida los datos de auditoría de otras fuentes, como las aplicaciones?

AVDF puede recopilar datos de auditoría de tablas de aplicaciones o archivos (XML, JSON, CSV). AVDF asigna los datos a un formato estandarizado y los almacena en el repositorio de AVDF. Los datos recopilados están disponibles para informes, generación de alertas y análisis. Debido a que el formato está estandarizado en todas las fuentes, es posible consolidar información de todos los tipos de fuentes en un solo informe. Para obtener detalles, consulta la Guía del desarrollador de AVDF.

¿Cuál es la diferencia entre auditoría y supervisión de red? ¿Necesito ambos?

La auditoría captura normalmente información detallada después de un evento específico, ya sea directamente desde una declaración SQL o a través de una llamada a un procedimiento almacenado. La supervisión del tráfico SQL ayuda a analizar y actuar sobre la declaración SQL antes de que llegue a la base de datos, lo que hace posible bloquear declaraciones sospechosas. En ambos casos, puedes especificar las condiciones bajo las cuales deseas recopilar las auditorías o los registros de eventos. Ambos brindan diferentes vistas del mismo evento: uno después y otro antes. Las alertas pueden activarse en ambos casos. Oracle recomienda un enfoque integral y soporta la auditoría de bases de datos y la supervisión del tráfico SQL basado en red. Puedes empezar con cualquiera de las capacidades y ampliar la arquitectura para incluir ambas.

¿Cómo aprovisiono políticas de auditoría y de Database Firewall?

AVDF proporciona una interfaz para ver tus políticas de auditoría de Oracle y, con un solo clic, aprovisionarlas en la base de datos objetivo. Para la política de Database Firewall, cuando se configura un punto de monitoreo de firewall de base de datos para el objetivo, la política predeterminada se aplica automáticamente. Esta política predeterminada está configurada para todos los objetivos monitoreados por Database Firewall. Registra todos los inicios, cierres de sesión y las declaraciones DDL y DCL únicas entre sesiones para todas las tablas y vistas. También se pueden configurar políticas personalizadas de Database Firewall en la interfaz de usuario para permitir, registrar, alertar, sustituir o bloquear el SQL. Además, se pueden configurar políticas de firewall para bases de datos de Oracle con el fin de capturar el número de filas devuelto por una declaración SQL SELECT, y utilizar esos datos para monitorear y alertar sobre intentos de extracción de datos. Para obtener más información, consulta la guía del auditor.

¿Cuáles son las diferentes formas de supervisar el tráfico de la base de datos?

Puedes configurar Database Firewall para supervisar y bloquear o solo para supervisar. Para implementar la supervisión y el bloqueo, debes configurar el firewall en modo proxy, donde todo el tráfico de la base de datos se enruta a través de Database Firewall. Para implementar la supervisión del tráfico SQL basado en la red, puedes hacer que el puerto span de los switches de red envíe el tráfico al firewall de base de datos o puedes configurar el monitor del host en las máquinas de la base de datos para que reenvíe el tráfico SQL a Database Firewall. Para más detalles, consulta la guía del administrador.

¿Puedo obtener un informe unificado con datos de auditoría y registros de red?

Sí. El servidor Audit Vault consolida los datos de auditoría y el tráfico SQL de la red para proporcionar una vista unificada de toda la actividad de la base de datos a partir de los registros de auditoría o del tráfico SQL capturado. Las alertas e informes se crean a partir de la información consolidada.

¿Puedo correlacionar la actividad del sistema operativo con las actividades de la base de datos para obtener la imagen completa?

Sí. Sí, AVDF proporciona un informe que muestra detalles de los eventos de la base de datos correlacionados con el usuario original del sistema operativo Linux antes de la transición SU o SUDO.

Principales casos de uso

¿AVDF puede evaluar la postura de seguridad de las bases de datos?

AVDF 20.9 introduce una solución de evaluación de la seguridad centralizada y para toda la flota de empresas mediante la integración de la popular herramienta Database Security Assessment Tool (DBSAT) para bases de datos Oracle. La evaluación completa con asignaciones de cumplimiento y recomendaciones ayuda a las organizaciones a comprender claramente su postura de seguridad para todas sus bases de datos de Oracle en un lugar centralizado. También se puede definir una línea base de evaluación y determinar la desviación de esa línea base visualizando informes de cambios de evaluación de seguridad. Recibe más información aquí.

¿Puede AVDF detectar datos confidenciales y usuarios con privilegios?

A partir de AVDF 20.9, los usuarios pueden descubrir datos sensibles y usuarios con privilegios para bases de datos Oracle. AVDF amplía la capacidad de los derechos de usuario y el DBSAT e identifica usuarios con privilegios y objetos sensibles de Oracle Database. Esto se habilita ejecutando y programando trabajos de descubrimiento de derechos de usuario y objetos sensibles. Una vez que se hayan descubierto los usuarios privilegiados y los objetos sensibles, se pueden agregar a los conjuntos de usuarios privilegiados y objetos sensibles, respectivamente. Estos conjuntos son globales y se pueden utilizar en múltiples políticas de Database Firewall. Los conjuntos globales también pueden incluir información de contexto de sesión, como dirección IP, usuario del sistema operativo, programa de cliente y usuario de base de datos, lo que simplifica aún más la gestión de políticas de Database Firewall.

¿Cómo ayuda AVDF a cumplir con los requisitos de informes de cumplimiento?

AVDF proporciona informes predefinidos de cumplimiento para GDPR, PCI, GLBA, HIPAA, IRS 1075, SOX y UK DPA. Por ejemplo, en el cumplimiento de GDPR, proporcionamos informes sobre quién tiene acceso a tus datos sensibles y quién está accediendo a ellos. Puedes personalizar los informes para cumplir con tus objetivos específicos o requisitos de cumplimiento específicos de la industria/región. Las herramientas de informes de terceros también pueden conectarse al esquema de Audit Vault para análisis e informes.

¿Puede AVDF auditar y rastrear las actividades de los usuarios privilegiados?

Sí. Puedes habilitar políticas de auditoría para la actividad de administración y nombrar usuarios. AVDF tiene informes predefinidos, incluidos informes de usuarios privilegiados, que muestran toda la actividad auditada por ellos.

¿Cómo ayuda AVDF en la investigación de uso indebido o acceso no autorizado?

Los usuarios de AVDF pueden usar el informe de toda la actividad para analizar a qué objetos se accedió. AVDF puede filtrar por usuario, objeto, fechas y más, y analizar los datos resultantes para ver si usuarios no autorizados han accedido a los objetos. Además, en el caso de las bases de datos Oracle, se puede utilizar el recuento de filas devueltas por sentencias SQL SELECT para identificar posibles intentos de filtración de datos.

¿Puede AVDF ayudar a rastrear los cambios en usuarios, roles, privilegios y derechos?

Sí. AVDF se puede configurar para verificar los derechos de usuario de bases de datos de Oracle de manera programada y proporcionar informes diferenciales sobre lo que ha cambiado desde el último informe. AVDF identifica cambios en usuarios, roles y privilegios.

¿Cómo ayuda el informe de valores antes/después a la seguridad y el cumplimiento?

Las políticas de seguridad corporativas y regulaciones, como HIPAA, requieren que los cambios realizados en datos sensibles se auditen y que se capturen los valores antes y después del registro. AVDF captura los valores antes/después utilizando el proceso de extracción integrado de Oracle GoldenGate (licencia restringida incluida) y los pone a disposición en los informes de AVDF para su análisis. Esta función está disponible para bases de datos Oracle y MS SQL Server. Consulta la Guía del administrador de AVDF y la Guía del auditor de AVDF para obtener más detalles.

¿Cómo ayuda AVDF con la supervisión de la actividad de la base de datos (DAM) y las iniciativas SIM/SIEM en mi organización?

AVDF es una solución DAM que proporciona la recolección nativa de datos de auditoría y la supervisión del tráfico de SQL basado en la red. AVDF admite alertas, informes y archivo de datos de auditoría. AVDF puede enviar eventos a syslog para la integración con sistemas SIEM. El esquema del repositorio de AVDF está documentado y puede ser consultado por un SIEM o un agregador de registros, lo que permite una integración sencilla con la mayoría de los productos SIEM/análisis de registros de terceros.

Seguridad

¿Monitorea Oracle Database Firewall el tráfico encriptado hacia los destinos?

Oracle Database Firewall monitorea el tráfico hacia y desde Oracle Database cuando se utiliza el cifrado de red nativo de Oracle o el cifrado de red TLS. Para bases de datos no de Oracle que utilizan el cifrado de red TLS, Database Firewall no puede interpretar este tráfico SQL. Puedes usar soluciones de terminación SSL o TLS para finalizar el tráfico SQL justo antes de que llegue Database Firewall para que pueda interpretar el tráfico SQL y aplicar las políticas.

¿Cómo se asegura la información almacenada en AVDF?

AVDF encripta los datos recopilados utilizando el cifrado transparente de datos y cifra el tráfico de red desde los destinos. AVDF proporciona una separación de funciones entre el administrador y el auditor y utiliza Database Vault para restringir el acceso a los datos. Consulta las directrices de seguridad generales en la Guía del administrador de AVDF para obtener más detalles.

¿Puede AVDF funcionar con Microsoft Active Directory para la autenticación?

Sí. AVDF admite la integración de Microsoft Active Directory para la autenticación de usuarios. También puedes crear administradores/auditores de AVDF como usuarios de Microsoft Active Directory. Para más detalles, consulta la Guía del administrador de AVDF.

Capacidades empresariales

¿Cómo escala AVDF con muchos objetivos o un alto volumen de datos de auditoría/registro?

Cuando se configura según las recomendaciones de tamaño, un servidor de Audit Vault puede admitir la recolección de datos de eventos de AVDF hasta 1000 rutas de auditoría, y cada agente puede admitir hasta 20 rutas de auditoría. Para obtener orientación sobre tamaño, consulta las mejores prácticas de Audit Vault y Database Firewall y la calculadora de tamaño (Nota de MOS: 2092683.1) en la Guía de instalación. Puedes ajustar el tamaño de la CPU, la memoria y el disco necesarios para el servidor de Audit Vault, el agente y Database Firewall en función de tu entorno. Debes proporcionar el número de destinos, el promedio de datos de auditoría generados por día, el periodo de retención, el número de destinos de firewall e información adicional para generar la orientación sobre el tamaño.

¿AVDF puede manejar la alta carga de Oracle Exadata y otras bases de datos en cluster?

Sí. AVDF puede escalarse para admitir la recolección de datos de auditoría de Oracle Exadata y otras bases de datos en cluster. Puedes configurar el número de agentes en función de los destinos totales y la tasa de ingreso de auditoría esperada. En AVDF 20.5 (y versiones posteriores), los agentes de Audit Vault eligen automáticamente la mejor configuración posible para mejorar la tasa de recolección de auditoría. Esta funcionalidad de recolección dinámica y multihilo utiliza eficazmente los recursos del servidor y del agente de Audit Vault. Para obtener detalles, consulta registro de destinos en la guía del administrador.

¿AVDF admite destinos en la nube además de destinos locales?

Sí. AVDF puede monitorear objetivos implementados en las instalaciones y en la nube, incluidos los servicios de Oracle Autonomous Database El servidor Audit Vault recopila datos para registros de auditoría tradicionales, auditorías más detalladas, auditorías de Database Vault y auditorías unificadas de registros de auditoría en bases de datos on-premises o en la nube. Consulta Oracle Audit Vault and Database Firewall Hybrid Cloud Deployment en la Guía del administrador para obtener más información.

¿Admite AVDF la alta disponibilidad para la tolerancia a fallos?

AVDF admite la configuración de alta disponibilidad para todos sus componentes, incluido el servidor de Audit Vault, Database Firewall y el agente Audit Vault. Consulta la Guía del administrador para más detalles.

¿Puede AVDF archivar datos de auditoría/registro para cumplir con los requisitos reglamentarios de retención?

El servidor de Audit Vault admite políticas de retención de datos por objetivo, lo que permite cumplir los requisitos internos o externos de conformidad. Los datos de auditoría pueden archivarse automáticamente en un repositorio externo de bajo costo y recuperarse según la política específica del objetivo. Consulta la Guía del administrador para más detalles.

¿AVDF puede generar alertas sobre actividad anómala para minimizar el tiempo de análisis?

AVDF tiene un constructor de alertas potente que configura alertas en los datos de auditoría y firewall recopilados en función de varias condiciones. AVDF puede mostrar la alerta en el panel de control y remitirla como correo electrónico o enviarla a syslog.

¿Cómo se integra AVDF con los productos de seguridad de Oracle, como Oracle Key Vault, Oracle Database Vault y Oracle Database Security Assessment Tool (DBSAT)?

AVDF puede leer y mostrar datos de auditoría de la ruta de auditoría de Database Vault en los informes de AVDF. Oracle Key Vault se puede agregar como un destino en AVDF. AVDF recopilará datos de auditoría de Oracle Key Vault y generará todos los informes de actividad en AVDF. A partir de la Actualización 9 de AVDF, DBSAT se integra con la evaluación de seguridad y la detección de datos confidenciales de ADVF para evaluar la postura de seguridad de las bases de datos de Oracle y descubrir datos confidenciales en toda la flota.

¿Puede Oracle Enterprise Manager gestionar AVDF?

El complemento Enterprise Manager AVDF proporciona una interfaz dentro de Oracle Enterprise Manager Cloud Control para que los administradores gestionen y monitoreen los componentes de AVDF. Consulta la Guía del usuario del complemento de monitoreo del sistema para Audit Vault and Database Firewall para obtener información completa. Consulta Compatibilidad con Oracle Enterprise Manager para comprobar las versiones soportadas de Oracle Enterprise Manager con AVDF.

Despliegue

¿En qué tipo de hardware o máquinas virtuales (VM) puedo ejecutar AVDF? ¿Cómo determino el tamaño necesario?

Cualquier plataforma de hardware Intel x86 de 64 bits compatible con Oracle Linux Release 8 se puede utilizar para implementar los componentes de AVDF. Consulta la lista de certificación de hardware para conocer los dispositivos compatibles. Cada servidor de Audit Vault and Database Firewall debe instalarse en su propio servidor x86 de 64 bits dedicado. Consulta la matriz de compatibilidad de productos 2.2.1 en la Guía de instalación.

AVDF también se puede implementar en Oracle Cloud Infrastructure (OCI) desde el Oracle Cloud Marketplace. Con la imagen del marketplace, es posible implementar un sistema AVDF completamente funcional en pocos minutos. Oracle Cloud ofrece la flexibilidad de escalar los recursos informáticos para satisfacer los requisitos en crecimiento. La facilidad de escalar permite comenzar con una forma de VM pequeña y aumentarla según aumenta la carga de trabajo.

Para obtener orientación sobre tamaño, consulta las mejores prácticas de Audit Vault y Database Firewall y la calculadora de tamaño (Nota de MOS: 2092683.1) en la Guía de instalación. Puedes ajustar el tamaño de la CPU, la memoria y el disco necesarios para el servidor de Audit Vault, el agente y Database Firewall en función de tu entorno. Debes proporcionar el número de destinos, el promedio de datos de auditoría generados por día, el periodo de retención, el número de destinos de firewall e información adicional para generar la orientación sobre el tamaño.

Aunque AVDF se puede ejecutar en entornos virtualizados, como Oracle VM Server o VMware, recomendamos instalarlo en hardware físico.

¿Cuánto tiempo lleva instalar/implementar AVDF? ¿Es necesario contar con consultoría?

Un típico proyecto de concepto puede durar desde dos días hasta dos semanas, dependiendo del número de objetivos y políticas. Hay tres pasos clave en la implementación.

1. Instalación del servidor de Audit Vault y, opcionalmente, de Database Firewall en máquinas de tu elección: todo el proceso utilizando la imagen ISO es bastante simple y se puede realizar rápidamente en pocas horas. Si implementas AVDF desde Oracle Cloud Marketplace en un contrato OCI, el sistema se puede aprovisionar en solo unos minutos.

2. Activación o creación de las políticas de auditoría o supervisión adecuadas en el destino o en Database Firewall. AVDF ayuda a crear políticas predeterminadas con sólo unos clics. Sin embargo, dependiendo del caso de uso, esto puede llevar más tiempo.

3. Análisis de informes y alertas. AVDF proporciona decenas de informes listos para usar y puedes personalizarlos aún más para satisfacer tus requisitos de conformidad o seguridad.

Una vez realizada la prueba de concepto, configurar la copia de seguridad, el archivado, la alta disponibilidad y otras opciones de configuración en la consola AVDF suele llevar más tiempo. También puedes agregar recolectores para tus aplicaciones utilizando el marco de trabajo de recolección personalizado.

Muchos de nuestros clientes han implementado AVDF sin usar servicios de consultoría. Antes de la instalación, consulta la lista de verificación en la Guía de Instalación y utiliza la hoja de cálculo de dimensionamiento (nota MOS: 2092683.1) para determinar la configuración de hardware adecuada.

¿Cómo minimiza AVDF el tiempo de implementación y actualización?

AVDF es un dispositivo de software de pila completa que incluye el sistema operativo Oracle Linux, la Base de Datos Oracle y el software AVDF, lo que facilita la implementación y actualización de todos los componentes a la vez. Cuando se aplican parches o se actualiza el servidor de Audit Vault, los agentes se descargan y actualizan automáticamente, minimizando así el tiempo de implementación y actualización.

También puedes utilizar la funcionalidad de copia de seguridad y restauración para actualizar Oracle Audit Vault and Database Firewall a una nueva versión que proporcione un tiempo de inactividad mínimo para el monitoreo y la recolección de datos. Puedes utilizar este proceso para actualizar desde Oracle AVDF 20.3 y posteriores a la Versión 20.9 y posteriores. Lee más aquí.

¿Cuál es la política de soporte de Oracle cuando se instala software adicional o de terceros en AVDF?

Oracle Audit Vault y Database Firewall AVDF se suministran como un dispositivo; y no se debe instalar software de terceros en el servidor de Audit Vault. Consulta la Guía de conceptos de AVDF para obtener más detalles.

Actualización

Actualmente tengo AVDF 12.2. ¿Por qué debería actualizar a AVDF 20?

Deberías considerar actualizar a AVDF 20 por las siguientes razones. Primero, AVDF 12.2 finalizó el Soporte Principal en marzo de 2021. Eso significa que Oracle ya no produce parches de seguridad periódicos para el producto. Pero lo más importante es que la última versión de AVDF ofrece las siguientes características y capacidades nuevas:

  • Aumento de la productividad de administradores y auditores gracias a una interfaz de usuario nueva y modernizada, optimizada para distintos flujos de trabajo.
  • Compatiblidad con la auditoría unificada, importante para los clientes que desean pasar de una auditoría tradicional a una unificada.
  • Configuración simplificada de los ajustes de Database Firewall en comparación con versiones anteriores.
  • Nuevos objetivos, como PostgreSQL, MongoDB (mediante una tabla de asignación de atributos simple) y Oracle Cloud Autonomous Databases.
  • Soporte extendido para recolectores personalizados que incluye JSON, REST y CSV.
  • Recopilación de valores anteriores y posteriores de registros modificados mediante el proceso de extracción integrado de Oracle GoldenGate (incluida la licencia restringida) que admite bases de datos de Oracle y Microsoft SQL Server.
  • La integración con Microsoft Active Directory facilita la gestión centralizada de usuarios de AVDF.
  • Archivado automatizado de datos de eventos de auditoría/red desde el servidor de Audit Vault.
  • Compatibilidad con FIPS 140-2 para bases de datos y sistemas operativos integrados.
  • Capacidad para implementar AVDF on-premises o en Oracle Cloud. AVDF sigue la política de auditoría unificada de Security Technical Implementation Guidelines (STIG) para el aprovisionamiento en destinos de Oracle Database.
  • Vista simplificada y centralizada de toda la flota de evaluaciones de configuración de seguridad para todas las bases de datos de Oracle con gestión de la estrategia de seguridad de la base de datos.

Una lista de las nuevas características significativas y mejoras introducidas en AVDF 20 y en versiones posteriores se puede encontrar aquí. Si deseas ver estas características en acción, regístrate para un taller guiado de LiveLabs aquí.

¿De qué versiones de AVDF puedo hacer una actualización?

Puedes actualizar desde AVDF 12.2.0.9.0 en adelante a AVDF 20. Si estás en una versión inferior a 12.2 Bundle Patch 9, primero debes hacer la actualización. Consulta la Guía de instalación de AVDF para más detalles.

¿Se migrarán mis destinos registrados actualmente, informes personalizados y datos archivados si hago una actualización?

Sí. Después de la actualización, tus destinos registrados actualmente, informes personalizados y datos archivados se migrarán automáticamente a AVDF 20.

Más información

¿Cómo empiezo a usar AVDF? ¿Qué recursos están disponibles para ayudarme?

Visita el sitio web de Oracle para obtener más información sobre el producto y acceder a resúmenes técnicos, hojas de datos y otros materiales, o ponte en contacto con el representante de Oracle más cercano.

¿Dónde puedo descargar el software de AVDF y la documentación del producto?

AVDF está disponible para su descarga desde el Oracle Software Delivery Cloud. Busca el paquete de producto de Oracle Audit Vault and Database Firewall. AVDF también se puede implementar en Oracle Cloud. Ve a Oracle Cloud Marketplace y busca Oracle Audit Vault y Database Firewall.

¿Existe un foro de discusión externo?

Sí. El foro de Oracle Audit Vault y Database Firewall proporciona una plataforma donde puedes obtener respuestas sobre el producto por parte de expertos de la comunidad de Oracle.