View
370
Download
8
Embed Size (px)
Citation preview
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault and Database Firewall 12.2
日本オラクル株式会社クラウド・テクノロジー事業統括データベースエンジニアリング本部
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. | 2
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。
オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。
Oracleは、米国オラクル・コーポレーション及びその子会社、関連会社の米国及びその他の国における登録商標または商標です。他社名又は製品名は、それぞれ各社の商標である場合があります。
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault and Database Firewall 12.2
3
Databaseや OSの監査ログを一括集約してモニタリング迅速なセキュリティ対策を可能にするソフトウェア・アプライ
アンス
Audit Vault Server
SecurityManager
Reports
!Alerts
Database Firewall Server
Fire
wal
l Ev
ents
DB Audit Data
Custom Server
OS, Directory & Custom Audit Logs
Auditor
Policies
ネットワークアクセスを監視
データベースOSの監査ログを収集
Users AllowLogAlertSubstituteBlock
Applications
自動化されたモニタリング
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2つのモニタリング方式を提供
4
Database Firewall Server
アウトオブバンド方式(Database Firewall)
Network Switch
(Mirror Port)
NetworkTraffic
Database Server
User
Audit Vault Server
エージェント方式(Audit Vault)
Database Server , OS等
User
Audit Vault Server Audit Vault Agent
• スイッチのミラーポートから SQLパケットを DBFW Serverが受信するオーバヘッドのないアウトオブバンド方式
• Databaseだけでなく、 OS操作のユーザ独自のアプリなど幅広い監査ログの取得を実現するエージェント方式
• お客様のシステムや監査対象に応じて最適な方式を選択、また、組み合わせたハイブリッド方式も可能
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle AVDFの各コンポーネント
5
• Oracle Database Firewall Server• ネットワークトラフィックを受信し、ポリシーに応じたブロッキング・モニタリングを行うネットワーク・サーバ• 配置方式は、 AP~ DB間に配置するインライン方式、ミラーポートを利用したアウトオブバンド方式、プロキシ方式の3種類
• Oracle Audit Vault Server• Database Firewall, Audit Vault Agentから転送されるログを集約するリポジトリ・サーバ• すべての DBFW Server, Audit Vault Agentの管理・監視を一元的に管理し、ログの分析やアラート、レポーティングを行う
• Audit Vault Agent• 監査対象上で動作する JAVAアプリケーション。監査対象が出力した監査ログを収集し、定期的に Audit Vault Serveへ送信する
ApplicationAudit VaultServer
Audit Vault Agent
Database Firewall Server 監査対象
- Database - OS - Directory - File System - Custom APP
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Database Firewall Server
6
OSと一体化したソフトウェア・アプライアンス
• OS: Oracle Linux 6 Update 6 (64bit)• DVD 1枚ですべて自動構成されるシンプルなインストール• 最小限のパッケージインストール、セキュアに最適化された
OS• 1台で複数のスイッチと接続することが可能
– 例えば、搭載するポートが 10ポートあれば、管理用に 1ポート、残り 9ポート = 9台のスイッチのミラーポート接続することができる
• ネットワークポートは最低 2つ必要– AV Serverとの通信用に管理ポートとして 1ポート必要– 管理ポート以外はミラーポート接続用として使用– 10GbEまで対応 (Infibandは非対応 )
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Audit Vault Server
7
OSと一体化したソフトウェア・アプライアンス
• OS: Oracle Linux 6 Update 6 (64bit)• DVD 2枚ですべて自動構成されるシンプルなインストール• 最小限のパッケージインストール、セキュアに最適化された OS• リポジトリ DB: Oracle Database Enterprise Edition 12.1.0.2.0• ネットワークポートは、 Database Firewallとの通信用に 1ポートのみ
• すべての DBFW Serverと Audit Vault Agentを一元管理• Audit Vault Agentと通信し、監査ポリシーのプロビジョニング• CSV、 HTML、 PDF、 Excel 形式での監査ログ・レポーティング• Syslog連携、 SNMPによる S/W, H/W監査の監視• Enterprise Manager Plug-in対応• Active -Standbyモードでの二重化
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
すべてのログは Audit Vault Serverに一元化
8
取得したログはセキュアに転送され、安全&効率的に保管
Audit Vault Server
Users
ApplicationsBlock
LogAllow
AlertSubstitute
Database Firewall
Fire
wal
l Ev
ents
DB Audit Data
Custom Server
OS, Directory & Custom Audit Log
レンジ&リスト・パーティショニング OLTP表圧縮 TDEによる監査ログの暗号化 Database Vaultによる特権管理 In-Memoryによる高速レポート検索 ASMによるストライピング
Agent
Agent
Oracle Database EE 12.1.0.2.0
SSLによる暗号化通信
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Database Firewall Policy & Database Audit Policy
9
Anomalyなログを取得するアプローチ
Anomalyな監査ログ
DCL
DDLDMLユーザ要件 : すべてのログ取得
10000TPS ≈ 4TB/day必要 ??
Database Firewall Policy 定常的なアプリケーションのログはしない
Anomalyなログを取得する
Database Audit Policyデータベース管理者や開発者の直接
アクセスのログを取得Audit Vault Server
Policies
Reports
Alerts !
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
容易なログの絞込み&分析
10
収集されたログはすぐに検索可能に
条件に応じて自由検索が可能(期間検索、クライアント情報、 SQLコマンドの検索等 )
•ログに含まれる情報 (時間、クライアント・ユーザ情報、オブジェト情報、SQL、バインド値、エラー番号、エラーメッセージ、実行時間等 )
• 検索結果は、 HTML、 CSV 形式での出力
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Databaseの監査ログ
11
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
デフォルト・レポート
• アクテビティ・レポート – すべてのアクセス詳細 ( 時間 , IPアドレス ,プログラム名 ,OS/DBユーザ名 , SQL/OSコマンド等 )– 参照 (SELECT), 更新 (UPDATE,DELETE), DDL、データベース内の変更操作のみを対象に抽出– ログイン・ログアウト、ログイン失敗履歴
• アラート・レポート– クリティカル、ワーニングのアラート履歴
• 相関レポート– SU/SUDOを実行した際の OSユーザと DB操作を関連づけて表示
• Database Firewallレポート– DB Firewallで取得した監査ログの分析専用レポート
12
プリセットされた 51種類のレポート群
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
デフォルト・レポート
13
• 権限レポート– ロール、ユーザ・アカウント、ユーザ・プロファイル、ユーザに付与さているオブジェクト権限 , システム権限
• ストアドプロシージャ・監査レポート– ストアドプロシージャの作成、削除、詳細、履歴
• 傾向チャート – 直近の監査ログの取得件数の傾向 (日付、セキュアターゲット、クライアント IP、 OSユーザごと )
• 異常レポート– 新規・休止中だったユーザのアクティビティ
• サマリー・レポート– クライアント IPと OS、 DDL、 DML、ログイン失敗のサマリー
• Oracle Database Vaultレポート
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
アクテビティ・レポート
14
ログイン失敗履歴
データアクセス(SELECT)
スキーマ変更操作
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
サマリー・レポート
15
• 直近の監査ログの取得の推移を表示
• ユーザやIPアドレス等の単位ごとのサマリを表示
その日のアクセスのサマリを表示
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
PDF, Excel 形式でのレポート出力
16
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
カスタム・レポート
17
MS Wordベースでの自由なレポート・デザイン• Oracle BI Publisher Desktop でレポートフォーマットをデザイン• RTFファイルと XMLフォーマットを作成
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Database In-Memoryによる高速レポーティング• GUIから In-Memoryに割り当てるサイズを指定するだけのシンプルな設定
• 直近の監査ログから割り当て可能な分だけ In-Memoryにキャッシュされる
• 監査ログの検索やレポーティングなどの処理を In-Memoryで処理させることで、より高速な検索やレポーティングを実現する
18
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
リアルタイム・アラート
19
アラート条件に基づいて管理者に即座に通知
Application DatabaseDatabase Firewall
管理者
Alerts
条件: イベント時間 IPアドレス , ホスト名 エラーコード ユーザ名 SQLコマンドなど
SQL
SQLSQL
SQL
管理ツール SYSLOG
• Database Firewallがブロッキング、アラート検知した場合
•アラート条件としきい値を超えた場合、指定されたメール・アドレスにアラートメールを送信
Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |