Domande frequenti su Oracle Audit Vault and Database Firewall

Domande generali

Qual è la release più recente di Audit Vault and Database Firewall?

L'ultima release di Oracle Audit Vault and Database Firewall (AVDF) è la release Update 11 (AVDF 20.11). Per maggiori dettagli, leggi il blog e le note di rilascio dell'annuncio.

Novità di Oracle Audit Vault and Database Firewall

Oracle Audit Vault and Database Firewall ora si espande oltre il monitoraggio delle attività del database per gestire le impostazioni di sicurezza di Oracle Database, migliorando le funzionalità di monitoraggio delle attività più avanzate con visibilità sulla configurazione di sicurezza, sulle abilitazioni degli utenti e sulle procedure archiviate. Offre un'interfaccia utente moderna con navigazione semplificata per i flussi di lavoro comuni e una raccolta di audit estesa per molti dei tipi di destinazione più diffusi. AVDF esegue l'audit dei database e monitora le attività SQL basate sulla rete per facilitare la gestione del livello di sicurezza dei database Oracle e non Oracle ospitati nel cloud oppure on-premise. Per un elenco completo delle funzionalità, consultare le note di rilascio di AVDF.

In che modo sono correlati Audit Vault e Database Firewall? Ho bisogno di entrambi?

AVDF supporta la raccolta nativa di audit e il monitoraggio del traffico SQL basato sulla rete. Tutti gli eventi di audit vengono memorizzati in Oracle Audit Vault Server. Ciò consente di correlare i dati dell'attività e creare report. Oracle consiglia un approccio olistico e supporta l'audit del database e il monitoraggio del traffico SQL basato sulla rete. Puoi iniziare con una delle due funzionalità ed espandere la tua architettura per includerli entrambi, se necessario.

Quali tipi e versioni target sono supportati da AVDF?

AVDF supporta Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB e i log del sistema operativo per Linux, Windows, Solaris e AIX. AVDF supporta anche gli audit trail scritti nei file in formato XML, CSV e JSON. È possibile utilizzare i collector personalizzati per raccogliere i log di audit e inviarli al server del vault di audit per tutte le altre destinazioni in cui gli audit trail vengono scritti nelle tabelle di database. Per ulteriori informazioni, vedere la Matrice di supporto della piattaforma nel manuale per l'installazione di AVDF .

In che modo AVDF consolida i dati di audit provenienti da altre origini, ad esempio le applicazioni?

AVDF può raccogliere dati di audit da tabelle o file dell'applicazione (XML, JSON, CSV). AVDF mappa i dati in un formato standardizzato e li memorizza nel repository AVDF. I dati raccolti sono disponibili per la generazione di report, avvisi e analisi. Poiché il formato è standardizzato in tutte le origini, è possibile consolidare le informazioni provenienti da tutti i tipi di origini in un unico report. Per informazioni dettagliate, consultare la Guida per gli sviluppatori di AVDF.

Qual è la differenza tra auditing e monitoraggio di rete? Ho bisogno di entrambi?

L'audit in genere acquisisce informazioni dettagliate dopo un determinato evento, direttamente da un'istruzione SQL o tramite la chiamata di una procedura archiviata. Il monitoraggio del traffico SQL consente di analizzare e agire sull'istruzione SQL prima che raggiunga il database, consentendo di bloccare le istruzioni sospette. In entrambi i casi, è possibile specificare le condizioni in base alle quali si desidera raccogliere i log di audit o eventi. Entrambi danno opinioni diverse sullo stesso evento: uno dopo e uno prima. Gli avvisi possono essere generati su entrambi. Oracle consiglia un approccio olistico e supporta l'audit del database e il monitoraggio del traffico SQL basato sulla rete. È possibile iniziare con entrambe le funzionalità ed espandere la propria architettura per includerle entrambe.

Come faccio a eseguire il provisioning dei criteri di audit e firewall del database?

AVDF fornisce un'interfaccia per visualizzare i criteri di audit Oracle e, con un solo clic, eseguirne il provisioning nel database di destinazione. Per il criterio firewall database, quando per la destinazione è configurato un punto di monitoraggio firewall database, viene applicato automaticamente il criterio predefinito. Questo criterio predefinito viene configurato per tutte le destinazioni monitorate dal firewall del database. Registra tutti i login e i logout e le istruzioni DDL e DCL univoche nelle varie sessioni per tutte le tabelle e viste. I criteri firewall del database definiti dall'utente possono anche essere configurati per consentire, registrare, avvisare, sostituire o bloccare l'istruzione SQL. Inoltre, è possibile configurare i criteri firewall per i database Oracle in modo da acquisire il numero di righe restituito da un'istruzione SQL SELECT e utilizzare tali dati per monitorare e avvisare l'utente in caso di tentativi di estrazione dei dati. Per ulteriori informazioni, consulta la Guida per l'auditor.

Quali sono i diversi modi per monitorare il traffico del database?

È possibile configurare il firewall del database per il monitoraggio e il blocco oppure solo per il monitoraggio. Per implementare il monitoraggio e il blocco, è necessario configurare il firewall in modalità proxy, in cui tutto il traffico del database viene instradato tramite il firewall del database. Per implementare il monitoraggio del traffico SQL basato sulla rete, è possibile disporre della porta di intervallo degli switch di rete per inviare il traffico al firewall del database oppure impostare il monitoraggio host nei computer del database per inoltrare il traffico SQL al firewall del database. Per informazioni dettagliate, consulta la Guida dell'amministratore.

Posso ottenere un report unificato con i dati di audit e i log di rete?

Sì. Il server di Audit Vault consolida i dati di audit e il traffico SQL di rete per fornire una vista unificata di tutte le attività del database dai log di audit o dal traffico SQL acquisito. Gli avvisi e i report vengono creati a partire dai dati consolidati.

Posso correlare l'attività del sistema operativo con le attività del database per ottenere un quadro completo?

Sì. AVDF fornisce un report che visualizza i dettagli degli eventi del database correlati all'utente del sistema operativo Linux originale prima della transizione SU o SUDO.

Casi d'uso chiave

AVDF può valutare il livello di sicurezza dei database?

AVDF 20.9 introduce una soluzione di valutazione della sicurezza centralizzata a livello di flotta per le aziende integrando il noto strumento di valutazione della sicurezza del database (DBSAT) per i database Oracle. La valutazione completa dei mapping e dei suggerimenti sulla conformità aiuterà le organizzazioni a comprendere chiaramente il proprio livello di sicurezza per tutti i database Oracle in un'unica posizione centrale. È inoltre possibile definire una baseline di valutazione e determinare la deviazione da tale baseline visualizzando i report di deviazione della valutazione della sicurezza. Per saperne di più, leggi qui.

AVDF può rilevare dati sensibili e utenti privilegiati?

A partire da AVDF 20.9, gli utenti possono ora trovare dati riservati e utenti con privilegi per i database Oracle. AVDF estende la capacità delle abilitazioni utente e DBSAT e identifica gli utenti con privilegi e gli oggetti riservati per Oracle Database. Questa opzione è abilitata eseguendo e pianificando le abilitazioni utente e i processi di ricerca automatica degli oggetti riservati. Una volta trovati, gli utenti privilegiati e gli oggetti riservati possono essere aggiunti rispettivamente all'utente con privilegi e ai set di oggetti riservati. Questi set sono globali e possono essere utilizzati in più criteri firewall del database. I set globali possono inoltre includere informazioni sul contesto della sessione, ad esempio Indirizzo IP, Utente del sistema operativo, Programma client e Utente database, semplificando ulteriormente la gestione dei criteri di Database Firewall.

In che modo AVDF aiuta a soddisfare i requisiti di reporting sulla compliance?

AVDF fornisce report di compliance predefiniti per GDPR, PCI, GLBA, HIPAA, IRS 1075, SOX e UK DPA. Ad esempio, in conformità al GDPR, forniamo report su chi ha accesso ai tuoi dati sensibili e su chi sta accedendo ai tuoi dati sensibili. È possibile personalizzare i report per soddisfare obiettivi specifici o requisiti di conformità specifici di settore/regione. Gli strumenti di reporting di terze parti possono anche connettersi allo schema di Audit Vault per l'analisi e i report.

AVDF può controllare e tenere traccia delle attività degli utenti con privilegi?

Sì. È possibile abilitare i criteri di audit per gli utenti dell'attività di amministrazione e dei nomi. AVDF dispone di report predefiniti, inclusi report utente con privilegi, che mostrano tutte le attività sottoposte ad audit da parte di utenti con privilegi.

In che modo AVDF aiuta a indagare sull'uso improprio o sull'accesso non autorizzato?

Utilizza il report Tutte le attività per analizzare gli oggetti a cui hai avuto accesso. AVDF può filtrare per utente, oggetto, date e altro ancora e analizzare i dati risultanti per vedere se gli utenti non autorizzati hanno avuto accesso agli oggetti. Inoltre, per i database Oracle, è possibile utilizzare il conteggio delle righe restituite dalle istruzioni SQL SELECT per identificare potenziali tentativi di estrazione dei dati.

AVDF può aiutare a tenere traccia delle modifiche apportate a utenti, ruoli, privilegi e abilitazioni?

Sì. AVDF può essere configurato per controllare le abilitazioni per i database Oracle su base pianificata e fornire report differenziali sulle modifiche apportate dall'ultimo report. AVDF identifica le modifiche apportate a utenti, ruoli e privilegi.

In che modo il reporting prima/dopo i valori aiuta la sicurezza e la conformità?

Le politiche e le normative di sicurezza aziendali, come HIPAA, richiedono l'audit delle modifiche apportate ai dati sensibili e l'acquisizione dei valori precedenti e successivi del record. AVDF acquisisce i valori precedenti/successivi utilizzando il processo di estrazione integrato di Oracle GoldenGate (licenza limitata inclusa) e li rende disponibili nei report AVDF. Questa funzionalità è disponibile per i database Oracle e MS SQL Server. Per informazioni dettagliate, consulta la Guida dell'amministratore e la Guida dell'auditor di AVDF.

In che modo AVDF aiuta le iniziative DAM (Database Activity Monitoring) e SIM/SIEM nella mia organizzazione?

AVDF è una soluzione DAM che fornisce la raccolta nativa dei dati di audit e il monitoraggio del traffico SQL basato sulla rete. AVDF supporta avvisi, report e archiviazione dei dati di audit. AVDF può inviare eventi a syslog per l'integrazione con i sistemi SIEM. Lo schema del repository AVDF è documentato e può essere interrogato da un SIEM o da un aggregatore di log, consentendo una facile integrazione con la maggior parte dei prodotti SIEM/log analyzer di terze parti.

Sicurezza

Oracle Database Firewall monitora il traffico crittografato verso i target?

Oracle Database Firewall monitora il traffico verso e da un Oracle Database quando viene utilizzata la crittografia di rete nativa Oracle o la crittografia di rete TLS. Per i database non Oracle che utilizzano la crittografia di rete TLS, Database Firewall non è in grado di interpretare questo traffico SQL. È possibile utilizzare le soluzioni di interruzione SSL o TLS per arrestare il traffico SQL poco prima che raggiunga il firewall del database in modo che possa interpretare il traffico SQL e applicare i criteri.

Come vengono protetti i dati memorizzati in AVDF?

AVDF esegue la crittografia dei dati raccolti utilizzando la Transparent Data Encryption ed esegue la crittografia del traffico di rete dai target. AVDF fornisce una separazione dei compiti tra l'amministratore e l'auditor e utilizza Database Vault per limitare l'accesso ai dati. Per informazioni dettagliate, consultare le linee guida generali sulla sicurezza nel manuale Guida per l'amministratore di AVDF.

AVDF può utilizzare Microsoft Active Directory per l'autenticazione?

Sì. AVDF supporta l'integrazione di Microsoft Active Directory per l'autenticazione degli utenti. È inoltre possibile creare amministratori/auditor AVDF come utenti di Microsoft Active Directory. Per informazioni dettagliate, consultare la Guida per amministratori di AVDF.

Funzionalità aziendali

Come si ridimensiona AVDF con tanti target elevati o con un volume elevato di dati di audit/log?

Se configurato in base alle istruzioni di dimensionamento, un server di Audit Vault può supportare la raccolta dei dati degli eventi AVDF fino a 1.000 audit trail e ogni agente può supportare fino a 20 audit trail. Per istruzioni sul dimensionamento, fare riferimento alle best practice e al calcolatore del dimensionamento di Audit Vault and Database Firewall (nota MOS: 2092683.1) nella Guida all'installazione. È possibile ridimensionare la CPU, la memoria e il disco necessari per il server, l'agente e il firewall del database di Audit Vault in base all'ambiente in uso. Per generare la guida sul dimensionamento, dovrai fornire il numero di destinazioni, i dati di audit medi generati al giorno, il periodo di conservazione, il numero di destinazioni firewall e altre informazioni.

AVDF può gestire l'elevato carico da Oracle Exadata e da altri database in cluster?

Sì. AVDF può ridimensionarsi per supportare la raccolta dei dati di audit da Oracle Exadata e da altri database in cluster. È possibile configurare il numero di agenti in base alle destinazioni totali e alla frequenza di inclusione dell'audit prevista. In AVDF 20.5 (e versioni successive), gli agenti di Audit Vault scelgono automaticamente la migliore configurazione possibile per migliorare il tasso di raccolta dell'audit. Questa funzionalità di raccolta dinamica e multithread utilizza in modo efficace le risorse del server di Audit Vault e dell'agente di Audit Vault. Per informazioni dettagliate, vedere Registrazione dei target nella Guida per amministratori.

AVDF supporta le destinazioni cloud oltre alle destinazioni on-premise?

Sì. AVDF può monitorare le destinazioni distribuite in locale e nel cloud, inclusi i servizi Oracle Autonomous Database. Il server Audit Vault raccoglie i dati per gli audit trail tradizionali, gli audit con filtro, gli audit di Database Vault e gli audit unificati dagli audit trail nei database cloud oppure on-premise. Per i dettagli, fare riferimento a Oracle Audit Vault e Database Firewall Hybrid Cloud Deployment nella Guida per gli amministratori.

AVDF supporta l'alta disponibilità per la tolleranza agli errori?

AVDF supporta la configurazione ad alta disponibilità per tutti i componenti AVDF, inclusi il server di Audit Vault, Database Firewall e l'agente di Audit Vault. Per informazioni dettagliate, consultare la Guida per gli amministratori.

AVDF può archiviare i dati di audit/log per soddisfare i requisiti di conservazione previsti dalle normative?

Il server di Audit Vault supporta i criteri di conservazione dei dati in base alla destinazione, consentendo di soddisfare i requisiti di compliance interni o esterni. I dati di audit possono essere archiviati automaticamente in un repository esterno a basso costo e recuperati in base al criterio specifico del target. Per informazioni dettagliate, consultare la Guida per gli amministratori.

AVDF può generare avvisi sull'attività anomala per ridurre al minimo i tempi di analisi?

AVDF dispone di un potente generatore di avvisi che configura gli avvisi sui dati di audit e firewall raccolti in base a varie condizioni. AVDF può visualizzare l'avviso sul dashboard e inviarlo come e-mail o inviarlo a syslog.

In che modo AVDF è integrato con i prodotti di sicurezza Oracle, ad esempio Oracle Key Vault, Oracle Database Vault e Oracle Database Security Assessment Tool (DBSAT)?

AVDF può leggere e visualizzare i dati di audit dall'audit trail di Database Vault nei report AVDF. È possibile aggiungere Oracle Key Vault come destinazione in AVDF. AVDF raccoglierà i dati di audit da Oracle Key Vault e genererà tutti i report di attività in AVDF. A partire da AVDF Release Update 9, DBSAT è integrato con la valutazione della sicurezza AVDF e la ricerca automatica dei dati riservati per valutare il livello di sicurezza dei database Oracle e trovare i dati riservati in tutti i database Oracle.

Un Oracle Enterprise Manager può gestire AVDF?

Il plugin AVDF di Enterprise Manager fornisce un'interfaccia all'interno di Oracle Enterprise Manager Cloud Control che consente agli amministratori di gestire e monitorare i componenti AVDF. Per informazioni complete, vedi Plug-in per il monitoraggio del sistema Guida dell'utente per Audit Vault and Database Firewall. Per verificare le versioni supportate di Oracle Enterprise Manager con AVDF, fare riferimento a Compatibilità con Oracle Enterprise Manager.

Implementazione

Su quale tipo di hardware o VM posso eseguire AVDF? Come posso dimensionarli?

Per distribuire i componenti AVDF è possibile utilizzare qualsiasi piattaforma hardware Intel x86 a 64 bit supportata da Oracle Linux Release 8. Consulta l'elenco completo delle certificazioni hardware. Ogni server e firewall del database di Audit Vault deve essere installato sul server dedicato a x86 a 64 bit. Fare riferimento alla matrice di compatibilità dei prodotti 2.2.1 nella Guida all'installazione.

AVDF può essere distribuito anche in Oracle Cloud Infrastructure (OCI) da Oracle Cloud Marketplace. Con l'immagine del marketplace, è possibile implementare un sistema AVDF completamente funzionante in pochi minuti. Oracle Cloud offre la flessibilità necessaria per ridimensionare le risorse di computazione in modo da soddisfare requisiti in continua crescita. La facilità di dimensionamento offre la possibilità di iniziare con una forma VM di piccole dimensioni ed eseguire il dimensionamento man mano che il carico di lavoro aumenta.

Per istruzioni sul dimensionamento, fare riferimento alle best practice e al calcolatore del dimensionamento di Audit Vault and Database Firewall (nota MOS: 2092683.1) nella Guida all'installazione. È possibile ridimensionare la CPU, la memoria e il disco necessari per il server, l'agente e il firewall del database di Audit Vault in base all'ambiente in uso. Per generare la guida sul dimensionamento, dovrai fornire il numero di destinazioni, i dati di audit medi generati al giorno, il periodo di conservazione, il numero di destinazioni firewall e altre informazioni.

Sebbene AVDF possa essere eseguito in ambienti virtualizzati, ad esempio Oracle VM Server o VMware, è consigliabile installarlo su hardware fisico.

Quanto tempo ci vuole per installare/distribuire AVDF? La consulenza è necessaria?

Un tipico proof of concept può variare da due giorni a due settimane, a seconda del numero di obiettivi e politiche. Sono disponibili tre passi chiave per la distribuzione.

1. Installazione del server di Audit Vault e, facoltativamente, di Database Firewall sui computer server di loro scelta: l'intero processo che utilizza l'immagine ISO è abbastanza semplice e può essere eseguito rapidamente in poche ore. Se distribuisci AVDF da Oracle Cloud Marketplace in una tenancy OCI, il provisioning del sistema può essere eseguito in pochi minuti.

2. Abilitazione o creazione dei criteri di audit o monitoraggio appropriati nella destinazione o nel Database Firewall. AVDF può aiutarti a creare criteri predefiniti molto rapidamente, con pochi clic. Tuttavia, a seconda del caso d'uso, questo può richiedere più tempo.

3. Analisi dei report e degli avvisi. AVDF fornisce diverse dozzine di report pronti all'uso ed è possibile personalizzarli ulteriormente per soddisfare i requisiti di conformità o sicurezza.

Una volta completata la verifica pratica, l'impostazione del backup, dell'archiviazione, dell'alta disponibilità e di altre opzioni di configurazione nella console AVDF richiede in genere più tempo. È inoltre possibile aggiungere collector per le applicazioni utilizzando il framework Collector personalizzato.

Molti dei nostri clienti hanno implementato AVDF senza utilizzare servizi di consulenza. Prima dell'installazione, fare riferimento alla lista di controllo dell'installazione nella Guida all'installazione e utilizzare il foglio di calcolo del dimensionamento (nota MOS: 2092683.1) per determinare la configurazione hardware appropriata.

In che modo AVDF riduce al minimo i tempi di implementazione e aggiornamento?

AVDF è un'appliance software full-stack che include il sistema operativo Oracle Linux, Oracle Database e il software AVDF, semplificando la distribuzione e l'aggiornamento di tutti i componenti contemporaneamente. Quando viene applicata o aggiornata la patch al server di Audit Vault, gli agenti vengono scaricati e aggiornati automaticamente, riducendo al minimo i tempi di distribuzione e aggiornamento.

È inoltre possibile utilizzare la funzionalità di backup e ripristino per aggiornare Oracle Audit Vault and Database Firewall a una nuova release che offre tempi di inattività minimi per il monitoraggio e la raccolta dei dati. È possibile utilizzare questo processo per eseguire l'aggiornamento da Oracle AVDF 20.3 e versioni successive alla Release 20.9 e versioni successive. Scopri di più qui.

Qual è il criterio di supporto Oracle quando su AVDF viene installato software aggiuntivo o di terze parti?

Oracle Audit Vault and Database Firewall viene spedito come appliance e non è necessario installare software di terze parti sul server Audit Vault. Per ulteriori dettagli, consultare il manuale Concepts Guide di AVDF.

Upgrade

Attualmente ho AVDF 12.2. Perché dovrei passare ad AVDF 20?

È consigliabile eseguire l'aggiornamento ad AVDF 20 per i seguenti motivi. In primo luogo, nel marzo 2021 è terminato il Premier Support di AVDF 12.2. Ciò significa che Oracle non produce più patch di sicurezza periodiche per il prodotto. Ma soprattutto, l'ultima versione di AVDF offre le seguenti nuove funzionalità:

• Maggiore produttività degli amministratori/auditor grazie a un'interfaccia utente completamente rinnovata e ottimizzata per flussi di lavoro diversi.
• Supporto per un audit unificato, importante per i clienti che desiderano passare dall'audit tradizionale a quello unificato.
• Configurazione semplificata delle impostazioni del firewall database rispetto alle release precedenti.
• Nuove destinazioni, ad esempio PostgreSQL, MongoDB (utilizzando una semplice tabella di mapping degli attributi) e Oracle Cloud Autonomous Databases.
• Supporto esteso per la raccolta personalizzata per includere JSON, REST e CSV.
• Raccolta di valori precedenti/successivi dei record modificati mediante il processo di estrazione integrato di Oracle GoldenGate (licenza limitata inclusa) che supporta Oracle e Microsoft SQL Server Database.
• L'integrazione con Microsoft Active Directory semplifica la gestione centralizzata degli utenti AVDF.
• Archiviazione automatica dei dati degli eventi di audit/rete dal server di Audit Vault.
• Compatibilità FIPS 140-2 per database e sistemi operativi integrati.
• Possibilità di distribuire AVDF on-premise o in Oracle Cloud. AVDF segue il criterio di audit unificato STIG (Security Technical Implementation Guidelines) per il provisioning nei target Oracle Database.
• Vista semplificata e centralizzata a livello di flotta delle valutazioni della configurazione di sicurezza per tutti i database Oracle con gestione delle impostazioni di sicurezza del database.

Un elenco delle nuove funzionalità e dei miglioramenti introdotti in AVDF 20 e versioni successive è disponibile qui. Se vuoi vedere queste funzionalità in azione, registrati a un workshop guidato su LiveLabs qui.

Da quali versioni AVDF è possibile eseguire l'aggiornamento?

È possibile eseguire l'aggiornamento da AVDF 12.2.0.9.0 e versioni successive ad AVDF 20. Se la versione è precedente alla 12.2 Bundle Patch 9, devi prima aggiornarla. Per informazioni dettagliate, consultare la Guida all'installazione di AVDF.

Se si esegue l'upgrade, i target attualmente registratie, i report personalizzati e i dati archiviati verranno migrati?

Sì. Dopo l'aggiornamento, i target, i report personalizzati e i dati di archiviazione attualmente registrati verranno migrati automaticamente in AVDF 20.

Ulteriori informazioni

Come posso iniziare a usare AVDF? Quali risorse sono disponibili per aiutarmi?

Visita il sito Web di Oracle per ulteriori informazioni sul prodotto e accedere a brief tecnici, schede tecniche e altri materiali oppure contatta un rappresentante Oracle nella tua zona.

Dove posso scaricare il software AVDF e la documentazione del prodotto?

AVDF è disponibile per il download in Oracle Software Delivery Cloud. Cerca il pacchetto di prodotti Oracle Audit Vault and Database Firewall. AVDF può essere distribuito anche su Oracle Cloud. Vai su Oracle Cloud Marketplace e cerca Oracle Audit Vault and Database Firewall.

Esiste un forum di discussione esterno?

Sì. Il forum di Oracle Audit Vault e Database Firewall offre una piattaforma in cui puoi ottenere risposte alle domande sui prodotti dagli esperti della community Oracle.