More Related Content
Similar to Oracle Audit Vault and Database Vault のご紹介 (20)
More from オラクルエンジニア通信 (20)
Oracle Audit Vault and Database Vault のご紹介
- 1. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault
and Database Firewall 12.2
日本オラクル株式会社
クラウド・テクノロジー事業統括
データベースエンジニアリング本部
- 2. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また
、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできませ
ん。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)する
ものではないため、購買決定を行う際の判断材料になさらないで下さい。
オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊
社の裁量により決定されます。
Oracleは、米国オラクル・コーポレーション及びその子会社、関連会社の米国及びその他の国における登録商標または商標です。
他社名又は製品名は、それぞれ各社の商標である場合があります。
2
- 3. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Audit Vault and Database Firewall 12.2
3
DatabaseやOSの監査ログを一括集約してモニタリング
迅速なセキュリティ対策を可能にするソフトウェア・アプライアンス
Audit Vault Server
Security
Manager
Reports
!Alerts
Database Firewall Server
Firewall
Events
Custom Server
OS, Directory & Custom
Audit Logs
Auditor
Policies
ネットワークアクセスを監視
データベース
OSの監査ログを収集
Users Allow
Log
Alert
Substitute
Block
Applications
自動化されたモニタリング
- 4. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
2つのモニタリング方式を提供
4
Database Firewall
Server
アウトオブバンド方式
(Database Firewall)
Network
Switch
(Mirror Port)
Network
Traffic
Database Server
User
Audit Vault Server
エージェント方式
(Audit Vault)
Database Server , OS等
User
Audit Vault Server Audit Vault
Agent
• スイッチのミラーポートからSQLパケットをDBFW Serverが受信するオーバヘッドのないアウトオブバンド方式
• Databaseだけでなく、OS操作のユーザ独自のアプリなど幅広い監査ログの取得を実現するエージェント方式
• お客様のシステムや監査対象に応じて最適な方式を選択、また、組み合わせたハイブリッド方式も可能
- 5. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle AVDFの各コンポーネント
5
• Oracle Database Firewall Server
• ネットワークトラフィックを受信し、ポリシーに応じたブロッキング・モニタリングを行うネットワーク・サーバ
• 配置方式は、AP~DB間に配置するインライン方式、ミラーポートを利用したアウトオブバンド方式、プロキシ方式の3種類
• Oracle Audit Vault Server
• Database Firewall, Audit Vault Agentから転送されるログを集約するリポジトリ・サーバ
• すべてのDBFW Server, Audit Vault Agentの管理・監視を一元的に管理し、ログの分析やアラート、レポーティングを行う
• Audit Vault Agent
• 監査対象上で動作するJAVAアプリケーション。監査対象が出力した監査ログを収集し、定期的にAudit Vault Serveへ送信する
Application
Audit Vault
Server
Audit Vault
Agent
Database
Firewall Server 監査対象
- Database
- OS
- Directory
- File System
- Custom APP
- 6. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Database Firewall Server
6
OSと一体化したソフトウェア・アプライアンス
• OS: Oracle Linux 6 Update 6 (64bit)
• DVD 1枚ですべて自動構成されるシンプルなインストール
• 最小限のパッケージインストール、セキュアに最適化されたOS
• 1台で複数のスイッチと接続することが可能
– 例えば、搭載するポートが10ポートあれば、管理用に1ポート、
残り9ポート= 9台のスイッチのミラーポート接続することができる
• ネットワークポートは最低2つ必要
– AV Serverとの通信用に管理ポートとして1ポート必要
– 管理ポート以外はミラーポート接続用として使用
– 10GbEまで対応 (Infibandは非対応)
- 7. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Audit Vault Server
7
OSと一体化したソフトウェア・アプライアンス
• OS: Oracle Linux 6 Update 6 (64bit)
• DVD 2枚ですべて自動構成されるシンプルなインストール
• 最小限のパッケージインストール、セキュアに最適化されたOS
• リポジトリDB: Oracle Database Enterprise Edition 12.1.0.2.0
• ネットワークポートは、Database Firewallとの通信用に1ポートのみ
• すべてのDBFW ServerとAudit Vault Agentを一元管理
• Audit Vault Agentと通信し、監査ポリシーのプロビジョニング
• CSV、HTML、PDF、Excel形式での監査ログ・レポーティング
• Syslog連携、SNMPによるS/W, H/W監査の監視
• Enterprise Manager Plug-in対応
• Active -Standbyモードでの二重化
- 8. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
すべてのログはAudit Vault Serverに一元化
8
取得したログはセキュアに転送され、安全&効率的に保管
Audit Vault Server
Users
Applications
Block
Log
Allow
Alert
Substitute
Database Firewall
Firewall
Events
Custom Server
OS, Directory & Custom
Audit Log
レンジ&リスト・パーティショニング
OLTP表圧縮
TDEによる監査ログの暗号化
Database Vaultによる特権管理
In-Memoryによる高速レポート検索
ASMによるストライピング
Agent
Agent
Oracle Database EE 12.1.0.2.0
SSLによる暗号化通信
- 9. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Database Firewall Policy & Database Audit Policy
9
Anomalyなログを取得するアプローチ
Anomalyな
監査ログ
DCL
DDL
DMLユーザ要件: すべてのログ取得
10000TPS ≈ 4TB/day必要??
Database Firewall Policy
定常的なアプリケーションのログはしない
Anomalyなログを取得する
Database Audit Policy
データベース管理者や開発者の直接
アクセスのログを取得
Audit Vault Server
Policies
Reports
Alerts !
- 10. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
容易なログの絞込み&分析
10
収集されたログはすぐに検索可能に
条件に応じて自由検索が可能
(期間検索、クライアント情報、SQLコマンドの検索等)
•ログに含まれる情報 (時間、クライアント・ユーザ情報、オブジェト情報、
SQL、バインド値、エラー番号、エラーメッセージ、実行時間等)
•検索結果は、HTML、CSV形式での出力
- 11. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Databaseの監査ログ
11
- 12. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
デフォルト・レポート
• アクテビティ・レポート
– すべてのアクセス詳細 ( 時間, IPアドレス,プログラム名,OS/DBユーザ名, SQL/OSコマンド等)
– 参照(SELECT), 更新(UPDATE,DELETE), DDL、データベース内の変更操作のみを対象に抽出
– ログイン・ログアウト、ログイン失敗履歴
• アラート・レポート
– クリティカル、ワーニングのアラート履歴
• 相関レポート
– SU/SUDOを実行した際のOSユーザとDB操作を関連づけて表示
• Database Firewallレポート
– DB Firewallで取得した監査ログの分析専用レポート
12
プリセットされた51種類のレポート群
- 13. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
デフォルト・レポート
13
• 権限レポート
– ロール、ユーザ・アカウント、ユーザ・プロファイル、ユーザに付与さているオブジェクト権限, システム権限
• ストアドプロシージャ・監査レポート
– ストアドプロシージャの作成、削除、詳細、履歴
• 傾向チャート
– 直近の監査ログの取得件数の傾向 (日付、セキュアターゲット、クライアントIP、OSユーザごと)
• 異常レポート
– 新規・休止中だったユーザのアクティビティ
• サマリー・レポート
– クライアントIPとOS、DDL、DML、ログイン失敗のサマリー
• Oracle Database Vaultレポート
- 14. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
アクテビティ・レポート
14
ログイン失敗履歴
データアクセス(SELECT)
スキーマ変更操作
- 15. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
サマリー・レポート
15
• 直近の監査ログの取得の推移を表示
• ユーザやIPアドレス等の単位ごとのサマリを表示
その日のアクセスのサマリを表示
- 16. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
PDF, Excel形式でのレポート出力
16
- 17. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
カスタム・レポート
17
MS Wordベースでの自由なレポート・デザイン
• Oracle BI Publisher Desktop でレポートフォーマットをデザイン
• RTFファイルとXMLフォーマットを作成
- 18. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
Oracle Database In-Memoryによる高速レポーティング
• GUIからIn-Memoryに割り当てるサイズを指定するだけのシンプルな設定
• 直近の監査ログから割り当て可能な分だけIn-Memoryにキャッシュされる
• 監査ログの検索やレポーティングなどの処理をIn-Memoryで処理させることで、
より高速な検索やレポーティングを実現する
- 19. Copyright © 2016 Oracle and/or its affiliates. All rights reserved. |
リアルタイム・アラート
19
アラート条件に基づいて管理者に即座に通知
Application DatabaseDatabase
Firewall
管理者
Alerts
条件:
イベント時間
IPアドレス, ホスト名
エラーコード
ユーザ名
SQLコマンドなど
管理ツール SYSLOG
E-MAIL
• Database Firewallがブロッキング、アラート検知した場合
• アラート条件としきい値を超えた場合、指定されたメール・アドレスにアラートメールを送信
Editor's Notes
- 12.2 変更点: Oracle Linux 6.6に変更
- 12.2 変更点: Oracle Linux 6.6に変更、DBが12c化