Întrebări frecvente despre Oracle Audit Vault and Database Firewall

Întrebări generale

Ce este nou în Oracle Audit Vault and Database Firewall?

Oracle Audit Vault and Database Firewall (AVDF) 20 are o interfață cu utilizatorul modernă, restructurată, cu navigare simplificată, pentru fluxurile de lucru obișnuite și colectarea extinsă a auditurilor pentru noile tipuri de destinații. Oracle Audit Vault and Database Firewall se extinde acum dincolo de monitorizarea activității bazelor de date, pentru a vă gestiona securitatea Oracle Database, sporindu-i capacitățile excelente de monitorizare a activității prin vizibilitatea asupra configurației de securitate, drepturi ale utilizatorilor și proceduri stocate. AVDF auditează bazele de date și monitorizează activitățile bazate pe rețea în vederea gestionării stării de securitate a bazelor de date Oracle și de la terți găzduite în cloud sau on-premises. Pentru lista completă a caracteristicilor, consultați Notele de versiune AVDF 20.

Care este legătura dintre Audit Vault și Database Firewall? Am nevoie de amândouă?

AVDF acceptă colectarea de audit nativ și monitorizarea traficului SQL bazat pe rețea. Datele de audit și evenimentele de rețea din Database Firewall sunt stocate pe serverul Oracle Audit Vault. Acest lucru permite corelarea datelor despre activități și crearea de rapoarte.

Oracle recomandă o abordare holistică și acceptă auditarea bazei de date și monitorizarea traficului SQL bazat pe rețea. Puteți să începeți cu oricare dintre aceste capacități și apoi să vă extindeți arhitectura pentru a le include pe ambele, dacă doriți.

Ce tipuri și versiuni de destinații sunt acceptate de AVDF?

AVDF 20 acceptă Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB și jurnalele sistemului de operare pentru Linux, Windows, Solaris și AIX. De asemenea, AVDF acceptă jurnalele de audit scrise în fișiere în format XML, CSV și JSON. Puteți utiliza colectoare personalizate pentru a colecta jurnalele de audit și a le trimite către serverul Audit Vault pentru toate celelalte destinații în care sunt scrise jurnalele de audit din tabelele bazei de date. Pentru detalii, consultați Platform Support Matrix din Ghidul de instalare AVDF 20.

Cum consolidează AVDF datele de audit din alte surse, cum ar fi aplicațiile?

AVDF poate să colecteze date de audit din tabele de aplicații sau fișiere (XML, JSON, CSV), să le mapeze la formatul standard și să le includă într-un singur raport din toate sursele. Pentru detalii, consultați Ghidul dezvoltatorului AVDF.

Care este diferența dintre audit și monitorizarea rețelei? Am nevoie de amândouă?

De obicei, auditarea captează informații detaliate după un anumit eveniment, fie direct dintr-o instrucțiune SQL, fie printr-un apel de procedură stocat. Monitorizarea traficului SQL vă ajută să analizați instrucțiunea SQL și să acționați asupra acesteia înainte de a ajunge în baza de date, făcând posibilă blocarea instrucțiunilor suspecte. În ambele cazuri, puteți specifica în ce condiții doriți să fie colectate jurnalele de audit sau de evenimente. Ambele oferă imagini diferite ale aceluiași eveniment: una după și una înainte. Se pot genera alerte pentru ambele.

Oracle recomandă o abordare holistică și acceptă auditarea bazei de date și monitorizarea traficului SQL bazat pe rețea. Clienții pot să înceapă cu oricare dintre aceste capacități și apoi să extindă arhitectura pentru a le include pe ambele.

Cum aloc politici pentru audit și pentru Database Firewall?

AVDF oferă o interfață prin intermediul căreia puteți să vizualizați politicile de audit Oracle și, cu un singur clic, să le alocați bazei de date vizate. În cazul politicii pentru Database Firewall, dacă pentru destinație este configurat un punct de monitorizare al firewallului bazei de date, se aplică automat politica implicită. Această politică implicită este configurată pentru toate destinațiile monitorizate de firewallul bazei de date. Aceasta jurnalizează toate conectările și deconectările și instrucțiunile DDL și DCL din toate sesiunile, pentru toate tabelele și vizualizările. Politicile Database Firewall stabilite de utilizator pot fi configurate și din UI, pentru a permite, jurnaliza, alerta, înlocui sau bloca SQL. În plus, politicile de firewall pot fi configurate pentru Oracle Database, în scopul captării numărului de rânduri returnat dintr-o instrucțiune SQL SELECT și utilizării datelor respective pentru monitorizare și pentru a vă alerta în privința încercărilor de extragere a datelor. Pentru mai multe informații, consultați Ghidul auditorului.

În ce moduri se monitorizează traficul bazei de date?

Puteți configura Database Firewall pentru monitorizare și blocare sau doar pentru monitorizare. Pentru a implementa monitorizarea și blocarea, trebuie să configurați firewallul în modul proxy, astfel încât tot traficul bazei de date să fie dirijat prin firewallul bazei de date. Pentru a implementa monitorizarea traficului SQL bazat pe rețea, puteți alege ca portul SPAN al switch-urilor de rețea să trimită traficul către Database Firewall sau puteți configura monitorul gazdă pe mașinile bazei de date pentru a redirecționa traficul SQL către Database Firewall. Pentru detalii, consultați Ghidul administratorului.

Pot obține un raport unificat, care să conțină atât datele de audit, cât și jurnalele de rețea?

Serverul Audit Vault consolidează datele de audit și traficul SQL de rețea pentru a oferi o vizualizare unificată a tuturor activităților bazei de date din jurnalele de audit sau din traficul SQL captat. Alertele și rapoartele sunt create din datele consolidate.

Pot corela activitatea sistemului de operare cu activitățile bazei de date pentru a obține imaginea completă?

Da, AVDF oferă un raport care afișează detaliile evenimentelor din baza de date corelate cu utilizatorul inițial al sistemului de operare Linux, înainte de tranziția SU sau SUDO.

Principalele cazuri de utilizare

AVDF poate evalua starea de securitate a bazelor de date?

AVDF 20.9 introduce o soluție centralizată de evaluare a securității la nivel de flotă pentru companii, prin integrarea popularului instrument Database Security Assessment Tool (DBSAT) for Oracle Databases. Evaluarea completă, cu mapări și recomandări de conformitate, va ajuta organizațiile să afle exact care este situația de securitate a tuturor bazelor lor de date Oracle, dintr-un singur loc central. Citiți mai multe despre aceasta aici.

AVDF poate descoperi datele confidențiale?

Începând cu AVDF 20.9, utilizatorii pot descoperi date confidențiale și utilizatori privilegiați ai bazelor de date Oracle Database. AVDF 20 extinde capacitatea drepturilor utilizatorilor și DBSAT și identifică utilizatorii privilegiați și obiectele confidențiale pentru Oracle Database. Acest lucru este activat prin rularea și programarea drepturilor utilizatorilor și a joburilor de descoperire a obiectelor confidențiale. După descoperirea utilizatorilor privilegiați și a obiectelor confidențiale, este posibilă adăugarea lor la seturile de utilizatori privilegiați sau, respectiv, de obiecte confidențiale. Aceste seturi sunt globale și pot fi utilizate în mai multe politici de firewall pentru baze de date.

Cum contribuie AVDF la îndeplinirea cerințelor de raportare a conformității?

AVDF oferă rapoarte de conformitate prestabilite pentru RGPD, PCI, GLBA, HIPAA, IRS 1075, SOX și UK DPA. De exemplu, conform RGPD, oferim rapoarte despre cine are acces la datele dvs. confidențiale și cine accesează datele respective. Puteți personaliza rapoartele conform obiectivelor dvs. specifice sau cerințelor de conformitate specifice domeniului/regiunii dvs. La schema Audit Vault se pot conecta și instrumente de raportare de la terți, pentru analize și rapoarte.

Poate AVDF să auditeze și să urmărească activitățile utilizatorilor privilegiați?

Puteți activa politicile de audit pentru activitatea de administrare și pentru utilizatorii de nume. AVDF are rapoarte prestabilite, inclusiv despre utilizatorii privilegiați, care afișează toate activitățile auditate de utilizatorii privilegiați.

Cum contribuie AVDF la investigarea accesării abuzive sau neautorizate?

Utilizatorii AVDF pot utiliza rapoartele privind toate activitățile pentru a analiza obiectele care au fost accesate. AVDF poate să filtreze după utilizator, obiect, dată și altele și să analizeze datele rezultate pentru a afla dacă obiectele au fost accesate de utilizatori neautorizați. În plus, pentru bazele de date Oracle Database, utilizatorii pot utiliza rândurile returnate din instrucțiunile SQL SELECT pentru a investiga încercările de extragere a datelor.

Poate ajuta AVDF la urmărirea modificărilor aduse utilizatorilor, rolurilor, privilegiilor și drepturilor?

AVDF poate fi configurat pentru a verifica drepturile pentru bazele de date Oracle Database conform unei programări și pentru a oferi rapoarte diferențiate privind modificările aduse de la ultimul raport. AVDF identifică modificările aduse utilizatorilor, rolurilor și privilegiilor.

Cum ajută raportarea valorilor anterioare/ulterioare securitatea și conformitatea?

Politicile și reglementările de securitate corporative, cum ar fi HIPAA, impun ca modificările aduse datelor confidențiale să fie auditate și ca valorile anterioare și ulterioare ale înregistrărilor să fie captate. AVDF captează valorile anterioare/ulterioare utilizând procesul de extragere integrat Oracle GoldenGate (licență restricționată inclusă) și le pune la dispoziție pentru analiză în rapoartele AVDF. Pentru detalii, consultați Ghidul administratorului și Ghidul auditorului AVDF.

Cum ajută AVDF la monitorizarea activității bazelor de date (DAM) și inițiativele SIM/SIEM din organizația mea?

AVDF este o soluție DAM care oferă colectarea de date de audit native și monitorizarea traficului SQL bazat pe rețea. AVDF acceptă alerte, rapoarte și arhivarea datelor de audit. AVDF poate trimite evenimente la syslog, pentru integrarea cu sistemele SIEM. Schema depozitului AVDF este documentată și poate fi interogată de un SIEM sau de un agregator de jurnale, permițând integrarea ușoară cu majoritatea produselor SIEM/log de analizare terțe.

Securitate

Oracle Database Firewall monitorizează traficul criptat către destinații?

Oracle Database Firewall monitorizează traficul către și de la Oracle Database dacă se utilizează criptarea rețelei native Oracle sau criptarea rețelei TLS. În cazul bazelor de date oferite de terți care utilizează criptarea rețelei TLS, Database Firewall nu poate interpreta acest trafic SQL. Puteți utiliza soluțiile de deconectare SSL sau TLS pentru a întrerupe traficul SQL chiar înainte ca acesta să ajungă la Database Firewall, astfel încât acesta să poată interpreta traficul SQL și impune politicile.

Cum sunt securizate datele stocate în AVDF?

AVDF criptează datele colectate utilizând criptarea transparentă a datelor și criptează traficul de rețea de la destinații. AVDF oferă o separare a responsabilităților între administrator și auditor și utilizează Database Vault pentru a restricționa accesul la date. Pentru detalii, consultați secțiunea Instrucțiuni de securitate generale din Ghidul administratorului AVDF.

Poate AVDF să funcționeze cu Microsoft Active Directory pentru autentificare?

AVDF 20 acceptă integrarea Microsoft Active Directory pentru autentificarea utilizatorilor. De asemenea, puteți crea administratori/auditori AVDF ca utilizatori ai Microsoft Active Directory. Pentru detalii, consultați Ghidul administratorului AVDF.

Capacități pentru companii

Cum scalează AVDF cu destinații sau cu un volum mare de date de audit/jurnale?

Dacă este configurat conform instrucțiunilor de dimensionare, un server Audit Vault poate accepta colectarea de date despre evenimentele AVDF din până la 1.000 de jurnale de audit, iar fiecare agent poate accepta până la 20 de jurnale de audit. Pentru îndrumări privind dimensionarea, consultați „Practici recomandate și calculator de dimensionare pentru Audit Vault and Database Firewall” (Notă MOS: 2092683.1) din Ghidul de instalare. Puteți dimensiona procesorul, memoria și discul necesare pentru serverul Audit Vault, agent și Database Firewall în funcție de mediul dvs. Pentru a genera îndrumările privind dimensionarea, trebuie să furnizați numărul destinațiilor, cantitatea medie a datelor de audit generate zilnic, perioada de păstrare, numărul de destinații pentru firewall și alte informații.

AVDF se poate ocupa de încărcarea ridicată din Oracle Exadata și din alte baze de date clusterizate?

AVDF poate fi scalat pentru a accepta colectarea datelor de audit de la Oracle Exadata și alte baze de date clusterizate. Puteți configura numărul de agenți în funcție de numărul de destinații total și de rata de asimilare preconizată pentru audit. În AVDF 20.5 (și versiunile ulterioare), agenții Audit Vault aleg automat cea mai bună configurație posibilă pentru optimizarea ratei de colectare pentru audit. Această funcție de colector dinamic, cu mai multe fire de execuție, utilizează eficient resursele serverului Audit Vault și ale agentului Audit Vault. Pentru detalii, consultați Înregistrarea destinațiilor din Ghidul administratorului.

AVDF acceptă destinații din cloud, în afara celor on-premises?

AVDF poate monitoriza destinațiile implementate on-premises și în Oracle Cloud, inclusiv serviciile Oracle Autonomous Database. Serverul Audit Vault colectează date pentru jurnalele de audit tradiționale, audituri detaliate, audituri ale Database Vault și audituri unificate din jurnalele de audit ale bazelor de date din cloud sau on-premises. Pentru detalii, consultați „Implementarea Oracle Audit Vault and Database Firewall în cloudul hibrid” din Ghidul administratorului.

Cum acceptă AVDF o disponibilitate ridicată pentru toleranța la erori?

AVDF acceptă o configurație cu disponibilitate ridicată pentru toate componentele AVDF, inclusiv serverul Audit Vault, Database Firewall și agentul Audit Vault. Pentru detalii, consultați Ghidul administratorului.

AVDF poate arhiva datele de audit/jurnal pentru a îndeplini cerințele privind păstrarea impuse de reglementările în vigoare?

Serverul Audit Vault acceptă politicile de păstrare a datelor per destinație, făcând posibilă îndeplinirea cerințelor de conformitate interne sau externe. Datele de audit pot fi arhivate automat într-un depozit extern cu costuri reduse și preluate conform politicii specifice destinației. Pentru detalii, consultați Ghidul administratorului.

Poate AVDF să declanșeze alerte privind activitățile anormale, pentru a minimiza timpul de analiză?

AVDF are un generator de alerte puternic, care configurează alertele despre datele de audit colectate și firewall în funcție de diverse condiții. AVDF poate să afișeze fiecare alertă pe dashboard și să o trimită ca e-mail sau să o trimită către syslog.

Cum este integrat AVDF cu produsele de securitate Oracle, cum ar fi Oracle Key Vault, Oracle Database Vault și Oracle Database Security Assessment Tool?

AVDF poate citi și afișa datele de audit din jurnalul de audit Database Vault în rapoartele AVDF. Oracle Key Vault poate fi adăugat ca destinație în AVDF. AVDF va colecta date de audit din Oracle Key Vault și va genera toate rapoartele de activitate din AVDF. Începând cu versiunea AVDF 9 actualizată, DBSAT este integrată cu evaluarea securității AVDF și descoperirea datelor confidențiale, pentru evaluarea situației de securitate a bazelor de date Oracle Database și descoperirea datelor confidențiale din întreaga flotă Oracle Database.

Un Oracle Enterprise Manager poate gestiona AVDF?

Pluginul Enterprise Manager AVDF oferă o interfață în cadrul Oracle Enterprise Manager Cloud Control pentru ca administratorii să gestioneze și să monitorizeze componentele AVDF. Pentru informații complete, consultați Ghidul utilizatorului pluginului de monitorizare a sistemului pentru Audit Vault and Database Firewall. Consultați Compatibilitatea cu Oracle Enterprise Manager pentru a afla care sunt versiunile acceptate ale Oracle Enterprise Manager cu AVDF 20.

Implementare

Pe ce tip de hardware sau mașini virtuale pot să rulez AVDF? Cum le pot dimensiona?

Pentru implementarea componentelor AVDF, poate fi utilizată orice platformă hardware Intel x86 pe 64 de biți acceptată de Oracle Linux Release 8. Pentru lista completă a hardware-ului certificat, consultați Hardware Certification List. Fiecare server Audit Vault și fiecare Database Firewall trebuie instalat pe serverul său x86 pe 64 de biți dedicat. Consultați secțiunea 2.2.1 Matricea de compatibilitate a produsului din Ghidul de instalare.

AVDF se poate implementa și în Oracle Cloud Infrastructure (OCI), din Oracle Cloud Marketplace. Cu ajutorul Marketplace, este posibil să implementați un sistem AVDF complet funcțional în doar câteva minute. Oracle Cloud oferă flexibilitatea scalării resurselor de calcul, pentru a răspunde cerințelor în număr tot mai mare. Ușurința scalării oferă opțiunea de a începe cu o configurație VM mică și apoi de a scala în sus pe măsură ce crește fluxul de lucru.

Pentru îndrumări privind dimensionarea, consultați „Practici recomandate și calculator de dimensionare pentru Audit Vault and Database Firewall” (Notă MOS: 2092683.1) din Ghidul de instalare. Puteți dimensiona procesorul, memoria și discul necesare pentru serverul Audit Vault, agent și Database Firewall în funcție de mediul dvs. Pentru a genera îndrumările privind dimensionarea, trebuie să furnizați numărul destinațiilor, cantitatea medie a datelor de audit generate zilnic, perioada de păstrare, numărul de destinații pentru firewall și alte informații.

Deși AVDF poate rula pe medii virtualizate, precum Oracle VM Server sau VMware, recomandăm instalarea sa pe hardware fizic.

Cât durează instalarea/implementarea AVDF? Este nevoie de consultanță?

O demonstrare a conceptului tipică poate dura între două zile și două săptămâni, în funcție de numărul destinațiilor și politicilor. Implementarea cuprinde trei etape principale:

1. Instalarea serverului Audit Vault și, opțional, a Database Firewall pe servere, la alegere: întregul proces care utilizează imaginea ISO este destul de simplu și poate fi realizat rapid, în câteva ore. Dacă implementați AVDF din Oracle Cloud Marketplace într-un tenancy OCI, sistemul poate fi alocat în doar câteva minute.

2. Activarea sau crearea politicilor de audit sau de monitorizare adecvate la destinație sau în Database Firewall: AVDF poate ajuta clienții să creeze politici prestabilite foarte rapid, cu doar câteva clicuri. Totuși, în funcție de cazul de utilizare, acest proces poate dura mai mult.

3. Analizarea rapoartelor și alertelor: AVDF oferă câteva zeci de rapoarte prestabilite, pe care le puteți personaliza suplimentar, pentru a răspunde cerințelor dvs. de conformitate sau securitate.

După finalizarea demonstrării conceptului, veți dedica mai mult timp configurării backupului, arhivării, disponibilității ridicate etc., utilizând consola AVDF. De asemenea, puteți adăuga colectori pentru aplicațiile dvs., utilizând frameworkul de colectori personalizat.

Mulți dintre clienții noștri au implementat AVDF fără a utiliza servicii de consultanță.

Înainte de instalare, consultați lista de verificare pentru instalare din Ghidul de instalare și utilizați foaia de calcul pentru dimensionare (Notă MOS: 2092683.1) pentru a stabili configurația de hardware adecvată.

Cum minimizează AVDF durata implementării și a upgrade-ului?

AVDF este o componentă software completă, care include sistemul de operare Oracle Linux, Oracle Database și software-ul AVDF, facilitând implementarea și upgrade-ul tuturor componentelor simultan. Când are loc aplicarea de corecții sau upgrade-ul serverului Audit Vault, agenții sunt descărcați și actualizați automat, ceea ce minimizează durata implementării și a upgrade-ului.

Puteți utiliza funcția de backup și restabilire pentru a actualiza Oracle Audit Vault and Database Firewall la o versiune nouă, care oferă o perioadă de inactivitate minimă pentru monitorizarea și colectarea datelor. Puteți utiliza acest proces pentru actualizarea de la Oracle AVDF 20.3 și versiunile ulterioare la versiunea 20.9 și versiunile ulterioare. Citiți mai multe aici.

Care este politica de asistență Oracle în cazul instalării suplimentare a unui software terț în AVDF?

Oracle Audit Vault and Database Firewall (AVDF) se livrează ca software, iar pe serverul Audit Vault nu trebuie instalat niciun software terț. Pentru detalii suplimentare, consultați Ghidul conceptelor AVDF.

Upgrade-uri

În prezent, am AVDF 12.2. De ce ar trebui să fac upgrade la AVDF 20?

Trebuie să luați în considerare upgrade-ul la AVDF 20 din motivele indicate în continuare. În primul rând, Premier Support pentru AVDF 12.2 s-a încheiat în martie 2021. Aceasta înseamnă că Oracle nu mai produce periodic corecții de securitate pentru produs. Dar, mai important, cea mai recentă versiune a AVDF oferă următoarele caracteristici și capacități noi:

  • Productivitate crescută a administratorilor/autorilor, datorită unei interfețe noi, modernizate și optimizate pentru diverse fluxuri de lucru.
  • Asistență pentru auditul unificat, un aspect important pentru clienții care doresc să treacă de la auditul tradițional la cel unificat.
  • Configurare mai simplă a setărilor pentru Database Firewall față de versiunile anterioare.
  • Noi destinații, cum ar fi PostgreSQL, MongoDB (utilizând un simplu tabel de mapare a atributelor) și bazele de date Oracle Cloud Autonomous Database.
  • Asistență extinsă pentru personalizarea colectorilor, cuprinzând și JSON, REST și CSV.
  • Colectarea valorilor înaintea/ulterior modificării înregistrărilor utilizând procesul de extragere integrat Oracle GoldenGate (licență restricționată inclusă), care acceptă configurații Oracle Database pentru mai multe entități găzduite.
  • Integrarea cu Microsoft Active Directory facilitează gestionarea centralizată a utilizatorilor AVDF.
  • Arhivarea automată a datelor despre evenimentele de audit/rețea de pe serverul Audit Vault.
  • Compatibilitate FIPS 140-2 pentru baza de date și sistemele de operare încorporate.
  • Posibilitatea de implementare a AVDF on-premises sau în Oracle Cloud. Politica de audit unificată Security Technical Implementation Guidelines (STIG), pentru alocarea la destinațiile Oracle Database.
  • Vizualizare simplificată și centralizată a evaluărilor configurației de securitate pentru toate bazele de date Oracle Database, cu gestionarea situației de securitate a acestora.
  • Lista noilor caracteristici și îmbunătățiri importante introduse în AVDF 20 și a actualizărilor ulterioare ale versiunii poate fi găsită aici. Dacă vreți să vedeți în acțiune aceste caracteristici, înregistrați-vă pentru un seminar ghidat LiveLabs aici.

De la ce versiuni ale AVDF pot face upgrade?

Puteți face upgrade la AVDF 20 de la AVDF începând cu versiunea 12.2.0.9.0. Dacă aveți o versiune anterioară 12.2 Bundle Patch 9, trebuie mai întâi să îi faceți upgrade. Pentru detalii, consultați Ghidul de instalare AVDF.

Destinațiile mele curente înregistrate, rapoartele personalizate și datele arhivate vor fi migrate după ce fac upgrade?

După upgrade, destinațiile curente înregistrate, rapoartele personalizate și datele de arhivă vor fi migrate automat la AVDF 20.

Mai multe informaţii

Cum încep să utilizez AVDF? Ce resurse sunt disponibile pentru a mă ajuta?

Ca să aflați mai multe despre produs și să consultați prezentările tehnice, fișele de date și alte materiale, accesați site-ul web Oracle Technology Network sau contactați o reprezentanță Oracle din zona dvs.

De unde pot descărca software-ul AVDF și documentația produsului?

AVDF este disponibil pentru descărcare în Oracle Software Delivery Cloud. Căutați pachetul de produse Oracle Audit Vault and Database Firewall. AVDF se poate implementa și în Oracle Cloud. Accesați Oracle Cloud Marketplace și căutați Oracle Audit Vault and Database Firewall.

Documentația produsului este disponibilă aici.

Există un forum de discuții extern?

Da, Forumul Oracle Audit Vault and Database Firewall oferă o platformă de unde puteți obține răspunsuri la întrebările despre produs de la experți din comunitatea Oracle.