Fonctions de vérification dans une base de données autonome avec intelligence artificielle

Oracle Autonomous AI Database sur une infrastructure Exadata dédiée fournit des capacités de vérification robustes qui vous permettent de suivre qui a fait quoi sur le service et sur des bases de données spécifiques. Grâce aux données de journalisation complètes, vous pouvez vérifier et surveiller les actions effectuées sur vos ressources, ce qui vous permet de respecter les exigences de vérification tout en réduisant les risques liés à la sécurité et à l'exploitation.

Vérification des activités de niveau de service

Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources qui composent votre déploiement d'Oracle Autonomous AI Database sur une infrastructure Exadata dédiée sur une infrastructure dédiée sont enregistrées par le service de vérification, quelle que soit l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, trousses SDK, etc.

Vous pouvez utiliser le service de vérification pour exécuter des diagnostics, effectuer le suivi de l'utilisation des ressources, surveiller la conformité et collecter les événements liés à la sécurité. Pour plus d'informations sur le service de vérification, voir Aperçu du service de vérification dans la documentation sur Oracle Cloud Infrastructure.

De plus, lorsqu'Oracle Autonomous AI Database sur une infrastructure Exadata dédiée effectue des opérations sur des ressources, il envoie des événements au service d'événements. À l'aide du service d'événements, vous pouvez créer des règles pour saisir ces événements et exécuter des actions, par exemple envoyer des courriels à l'aide du service d'avis.

Pour plus d'informations sur le fonctionnement du service d'événements et sur la configuration des règles et des actions qu'il utilise, voir Aperçu du service d'événements. Pour les fiches descriptives des opérations de base de données d'IA autonome qui génèrent des événements, voir Événements pour une base de données d'IA autonome sur une infrastructure Exadata dédiée.

Conseil : Pour essayer d'utiliser les services d'événements et d'avis pour créer des avis, vous pouvez passer par Lab11 : Service d'avis OCI dans Oracle Autonomous AI Database Dedicated for Fleet Administrators.

Vérification des activités de base de données

Oracle Autonomous AI Database sur une infrastructure Exadata dédiée configure les bases de données d'IA autonomes que vous créez pour utiliser la fonction de vérification unifiée d'Oracle AI Database.

Cette fonction saisit les enregistrements de vérification des sources suivantes et les regroupe dans une piste de vérification unique dans un format uniforme :

Enregistrements de vérification (y compris les enregistrements de vérification SYS) des politiques de vérification unifiée et paramètres AUDIT
Enregistrements de vérification détaillés de l'ensemble PL/SQL DBMS_FGA
Enregistrements de vérification d'Oracle AI Database Real Application Security
Enregistrements de vérification d'Oracle Recovery Manager
Enregistrements d'audit d'Oracle AI Database Vault
Enregistrements de vérification d'Oracle Label Security
Enregistrement d'Oracle Data Mining
Oracle Data Pump
Oracle SQL*Loader Direct Load

Par conséquent, vous pouvez utiliser la piste de vérification unifiée pour effectuer une grande variété d'activités de diagnostic et d'analyse de la sécurité sur votre base de données.

Pour éviter que la piste de vérification unifiée ne devienne trop volumineuse, les bases de données d'intelligence artificielle autonomes que vous créez incluent une tâche Oracle Scheduler nommée MAINTAIN_UNIAUD_TRAIL qui s'exécute quotidiennement pour supprimer les enregistrements de vérification unifiés datant de plus de 90 jours. En tant qu'utilisateur de base de données ADMIN, vous pouvez modifier les caractéristiques de cette tâche.

En tant qu'utilisateur doté du rôle AUDIT_ADMIN, vous pouvez créer ou modifier les politiques de vérification. En tant qu'utilisateur doté du rôle AUDIT_VIEWER, vous pouvez afficher les données d'audit unifiées en interrogeant les vues suivantes :

AUDIT_UNIFIED_CONTEXTS
AUDIT_UNIFIED_ENABLED_POLICIES
AUDIT_UNIFIED_POLICIES
AUDIT_UNIFIED_POLICY_COMMENTS

Seul un utilisateur ADMIN peut accorder les rôles AUDIT_VIEWER ou AUDIT_ADMIN à un autre utilisateur. Le rôle PDB_DBA ne vous permet pas d'accorder AUDIT_VIEWER ou AUDIT_ADMIN à d'autres utilisateurs.

Pour plus d'informations sur le fonctionnement de la vérification unifiée et son utilisation, voir Qu'est-ce que la vérification unifiée? dans le guide de sécurité d'Oracle Database 19c ou le guide de sécurité d'Oracle Database 26ai.

En outre, si vous enregistrez votre base de données autonome avec Oracle Data Safe, vous pouvez utiliser ses fonctions étendues de vérification des activités et d'alertes basées sur les activités.

Pour plus d'informations sur ces fonctions du service de sécurité des données, voir Vérification des activités dans Utilisation d'Oracle Data Safe. Pour des informations sur l'inscription de votre base de données auprès du service de sécurité des données, voir Inscrire une base de données d'IA dédiée auprès du service de sécurité des données ou la désinscrire.

Vérification des activités de machine virtuelle autonome

Les agents de collecte s'exécutant sur les serveurs de plan de contrôle de Autonomous AI Database collectent et envoient des journaux de vérification du système d'exploitation pour toutes les machines virtuelles et hyperviseurs s'exécutant sur l'hôte physique, en plus des journaux pour les logiciels de détection d'intrusion antivirus et hôte. Ces journaux sont envoyés à un service SIEM (System Information and Event Management) central dans OCI. Des centaines de règles d'alerte sur l'analyse SIEM pour les modifications de configuration, les intrusions potentielles et les tentatives d'accès non autorisé, entre autres.

Une équipe dédiée d'analystes de la sécurité de l'équipe de détection et de réponse aux incidents de sécurité (DART) est responsable de la gestion des tableaux de bord des événements de sécurité 24 / 7 et du traitement des alertes pour filtrer les vrais positifs. Si un vrai positif est détecté, une réponse appropriée est lancée en fonction de la gravité et de l'impact de l'événement. Cela peut inclure une analyse plus approfondie, une évaluation des causes fondamentales et une correction des problèmes avec les équipes de service et la communication avec les clients.

En outre, le logiciel d'analyse de vulnérabilité envoie ses résultats à OCI Security Central, qui génère automatiquement des tickets pour que les équipes de service résolvent les résultats dans un délai en fonction de la note CVSS. En outre, les événements de vérification pour les actions d'opération sont envoyés au service de journalisation et à un syslog fourni par le client pour les systèmes inscrits au service de contrôle de l'accès des opérateurs.

Oracle conserve les journaux suivants pour les machines virtuelles autonomes sur Exadata Cloud@Customer X8M et le matériel ultérieur :

/var/log/messages
/var/log/secure
/var/log/audit/audit.log
/var/log/clamav/clamav.log
/var/log/aide/aide.log

Oracle conserve les journaux de vérification d'infrastructure suivants pour Exadata Cloud@Customer X8M et le matériel ultérieur :

Gestion intégrée des lumières éteintes (ILOM)
- syslog ILOM redirigé vers le syslog du composant d'infrastructure physique
- syslog
Serveur de base de données Exadata physique
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
Serveur de stockage Exadata
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log

Vérification des activités des opérateurs Oracle

Oracle Autonomous AI Database sur une infrastructure Exadata dédiée fournit des capacités de vérification robustes qui étendent les capacités de vérification existantes pour inclure les activités effectuées par les opérateurs Oracle, en mettant l'accent sur l'activation des exigences réglementaires pour le contrôle et la vérification de tous les aspects de la gestion du système.

Conseil : Pour obtenir des conseils étape par étape sur la création et la gestion de l'accès par contrôle des opérateurs aux ressources d'infrastructure Exadata et de grappe de machines virtuelles Exadata autonome, voir Laboratoire 15 : Contrôle de l'accès des opérateurs dans Atelier Oracle Autonomous AI Database dédié aux administrateurs de parc.

La base de données autonome sur une infrastructure Exadata dédiée fonctionne dans un modèle de responsabilité partagée, où :

Vous, le client, êtes responsable des données et de l'application de base de données.
Oracle est responsable des composants de l'infrastructure : alimentation, système sans système d'exploitation, hyperviseurs, serveurs de stockage Exadata et autres aspects de l'environnement.
Oracle est responsable du logiciel du SGBD et de l'état général de la base de données.

Dans ce modèle, Oracle a un accès illimité aux composants dont il est responsable. Cela peut poser problème si vous êtes soumis à des exigences réglementaires qui imposent la vérification et le contrôle de tous les aspects de la gestion du système.

Oracle Operator Access Control est un système de vérification de la conformité qui vous permet de tenir à jour les pistes de vérification et de gestion de fermeture de toutes les actions qu'un opérateur Oracle effectue sur l'infrastructure Exadata, l'infrastructure Exadata hébergeant une base de données d'intelligence artificielle autonome et la grappe de machines virtuelles Exadata autonome (machines virtuelles clients déployées sur Oracle Autonomous AI Database) administrées par Oracle. En outre, les clients peuvent contrôler et limiter l'accès de l'opérateur à une base de données conteneur autonome (ACD) approuvée par le client.

Le contrôle de l'accès des opérateurs Oracle vous permet d'effectuer les opérations suivantes :

Déterminer qui peut accéder au système, quand le système est accessible et pendant combien de temps le personnel d'Oracle peut accéder au système.
Limiter l'accès, y compris les actions qu'un opérateur Oracle peut effectuer sur votre système.
Révoquer l'accès, y compris l'accès programmé accordé précédemment.
Consulter et enregistrer un rapport en temps quasi réel de toutes les actions exécutées par un opérateur Oracle sur votre système.

Vous pouvez utiliser le contrôle de l'accès des opérateurs Oracle pour :

Contrôler et vérifier toutes les actions effectuées par n'importe quel opérateur ou logiciel système sur les ressources de base de données Autonomous AI Database suivantes :
- Infrastructure Exadata
- Grappe de machines virtuelles Exadata autonome (AVMC)
- Base de données conteneur autonome
Voir Application des actions dans le contrôle de l'accès des opérateurs pour en savoir plus sur l'application des contrôles sur les opérations qu'un opérateur Oracle peut effectuer dans votre environnement.
Fournissez des contrôles pour les machines virtuelles clientes déployées sur Oracle Autonomous AI Database sur une infrastructure Exadata dédiée. Comme le contrôle de l'accès des opérateurs pour l'infrastructure Exadata Cloud@Customer, les clients peuvent imposer des contrôles d'accès des opérateurs Oracle sur leurs grappes de machines virtuelles autonomes déployées sur Exadata Cloud@Customer ou Oracle Public Cloud. Voir Actions de contrôle de l'accès des opérateurs : Grappe de machines virtuelles autonome pour plus d'informations.
Maintenez le même niveau d'audit et de contrôle d'accès à vos systèmes. Pour plus d'informations, voir Vérification de l'accès des opérateurs.
Fournir les enregistrements de vérification requis pour les vérifications réglementaires internes ou externes sur vos systèmes. Pour plus de détails, voir Gestion et recherche dans les journaux à l'aide du contrôle de l'accès des opérateurs.

Lors de la création d'un contrôle des opérateurs, vous pouvez choisir l'infrastructure Exadata ou la grappe de machines virtuelles Exadata autonome en fonction de la ressource à vérifier pour l'accès des opérateurs. Voir Créer un contrôle des opérateurs pour plus de détails.

Contenu connexe

Fonctions de sécurité dans la base de données dédiée de l'IA autonome