Funzionalità di audit in Autonomous Database
Oracle Autonomous Database offre solide funzionalità di audit che ti consentono di tenere traccia di chi ha fatto ciò sul servizio e su database specifici. Dati di log completi ti consentono di eseguire l'audit e monitorare le azioni sulle tue risorse, il che ti aiuta a soddisfare i requisiti di audit riducendo al contempo i rischi operativi e di sicurezza.
Argomenti correlati
Audit delle attività a livello di servizio
Tutte le azioni che gli utenti di Oracle Cloud eseguono sulle risorse che compongono la distribuzione di Oracle Autonomous Database su un'infrastruttura dedicata vengono registrate dal servizio di audit, indipendentemente dall'interfaccia utilizzata: console di Oracle Cloud Infrastructure, API REST, interfaccia della riga di comando (CLI), kit di sviluppo software (SDK) e così via.
È possibile utilizzare il servizio di controllo per eseguire operazioni di diagnostica, tenere traccia dell'uso delle risorse, monitorare la conformità e raccogliere eventi correlati alla sicurezza. Per ulteriori informazioni sul servizio di audit, vedere Panoramica dell'audit nella Documentazione di Oracle Cloud Infrastructure.
Inoltre, quando Oracle Autonomous Database esegue operazioni sulle risorse, invia eventi al servizio Eventi. Il servizio Eventi consente di creare regole per acquisire questi eventi ed eseguire azioni quali l'invio di e-mail mediante il servizio Notifiche.
Per ulteriori informazioni sul funzionamento del servizio Eventi e su come impostare le regole e le azioni utilizzate, vedere Panoramica degli eventi. Per la lista delle operazioni di Autonomous Database che generano eventi, consulta la sezione relativa agli eventi per Autonomous Database sull'infrastruttura Exadata dedicata.
Suggerimento
Per provare a utilizzare i servizi Eventi e Notifiche per creare le notifiche, è possibile accedere a Lab11: OCI Notification Service in Oracle Autonomous Database Dedicated for Fleet Administrators.Audit delle attività del database
Oracle Autonomous Database configura i database autonomi creati per utilizzare la funzione di auditing unificato di Oracle Database.
Questa funzione acquisisce i record di audit dalle origini seguenti e li raccoglie in un unico audit trail in un formato uniforme:
- Record di audit (inclusi i record di audit
SYS) da criteri di audit unificati e impostazioniAUDIT - Record di audit con filtro dal package PL/SQL
DBMS_FGA - Record di audit di Oracle Database Real Application Security
- Record di audit di Oracle Recovery Manager
- Record di audit di Oracle Database Vault
- Record di audit di Oracle Label Security
- Record Oracle Data Mining
- Oracle Data Pump
- Caricamento diretto Oracle SQL*Loader
Pertanto, è possibile utilizzare l'audit trail unificato per eseguire una vasta gamma di attività di diagnostica e analisi della sicurezza nel database.
Per evitare che l'audit trail unificato cresca in modo troppo grande, i database autonomi creati includono un job Oracle Scheduler denominato MAINTAIN_UNIAUD_TRAIL che viene eseguito quotidianamente per rimuovere i record di audit unificati più vecchi di 90 giorni. In qualità di utente del database ADMIN, è possibile modificare le caratteristiche di questo job.
AUDIT_UNIFIED_CONTEXTSAUDIT_UNIFIED_ENABLED_POLICIESAUDIT_UNIFIED_POLICIESAUDIT_UNIFIED_POLICY_COMMENTS
Solo un utente ADMIN può concedere i ruoli AUDIT_VIEWER o AUDIT_ADMIN a un altro utente. La presenza del ruolo PDB_DBA non consente di concedere AUDIT_VIEWER o AUDIT_ADMIN ad altri utenti.
Per ulteriori informazioni sul funzionamento dell'audit unificato e su come utilizzarlo, vedere What Is Unified Auditing? nella Oracle Database 19c Security Guide o nella Oracle Database 23ai Security Guide.
Inoltre, se registri il tuo database autonomo con Oracle Data Safe, puoi utilizzare le sue estese funzioni di audit delle attività e avvisi basati sulle attività.
Per informazioni su queste funzioni di Data Safe, vedere Audit attività in Uso di Oracle Data Safe. Per informazioni sulla registrazione del database con Data Safe, vedere Registrare o annullare la registrazione di un database dedicato con Data Safe.
Audit delle attività di Autonomous VM
Gli agenti di raccolta in esecuzione sui server del piano di controllo di Autonomous Database raccolgono e inviano i log di audit del sistema operativo per tutte le virtual machine e gli hypervisor in esecuzione sull'host fisico, oltre ai log per il software antivirus e di rilevamento delle intrusioni dell'host. Questi log vengono inviati a un servizio SIEM (System Information and Event Management) centrale in OCI. Centinaia di regole di avviso sulla scansione SIEM per le modifiche alla configurazione, potenziali intrusioni e tentativi di accesso non autorizzato, tra gli altri.
Un team dedicato di analisti della sicurezza del DART (Security Incident Detection and Response Team) è responsabile della gestione dei dashboard degli eventi di sicurezza 24/7 e dell'elaborazione degli avvisi per filtrare i veri positivi. Se viene rilevato un vero positivo, viene avviata una risposta appropriata in base alla gravità e all'impatto dell'evento. Ciò può includere ulteriori analisi, una valutazione della causa principale e una correzione con i team di assistenza e la comunicazione con i clienti.
Inoltre, il software di scansione delle vulnerabilità invia i risultati a OCI Security Central, che genera automaticamente ticket per i team di servizio per risolvere i risultati entro un periodo di tempo a seconda del punteggio CVSS. Inoltre, gli eventi di audit per le azioni operative vengono inviati al servizio di log e a un syslog fornito dal cliente per i sistemi iscritti al servizio di controllo dell'accesso operatore.
Oracle conserva i log riportati di seguito per le VM Autonomous su Exadata Cloud@Customer X8M e hardware successivo:
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
Oracle conserva i log di audit dell'infrastruttura riportati di seguito per Exadata Cloud@Customer X8M e hardware successivo:
- ILOM ( Integrated Lights-Out Management)
- Syslog ILOM reindirizzato al syslog del componente dell'infrastruttura fisica
- syslog
- Database server Exadata fisico
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
- Exadata Storage Server
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
Audit delle attività degli operatori Oracle
Suggerimento
Per istruzioni dettagliate su come creare e gestire l'accesso del controllo operatore alle risorse del cluster VM Exadata e Autonomous Exadata, vedere Lab 15: Operator Access Control in Oracle Autonomous Database Dedicated for Fleet Administrators Workshop.
- Il cliente è responsabile dei dati e dell'applicazione del database.
- Oracle è responsabile dei componenti dell'infrastruttura: alimentazione, sistema operativo bare metal, hypervisor, Exadata Storage Servers e altri aspetti dell'ambiente dell'infrastruttura.
- Oracle è responsabile del software DBMS e dello stato generale del database.
In questo modello, Oracle ha accesso illimitato ai componenti di cui è responsabile. Questo può essere un problema se si dispone di requisiti normativi per l'audit e il controllo di tutti gli aspetti della gestione del sistema.
Oracle Operator Access Control è un sistema di audit della conformità che consente di gestire la gestione della chiusura e gli audit trail di tutte le azioni che un operatore Oracle esegue sull'infrastruttura Exadata, sull'infrastruttura Exadata che ospita un cluster VM Autonomous Database e Autonomous Exadata (virtual machine client distribuite su Oracle Autonomous Database) amministrato da Oracle. Inoltre, i clienti possono controllare e limitare l'accesso dell'operatore a un Autonomous Container Database (ACD) specifico approvato dal cliente.
- Controllare chi può accedere al sistema, quando è possibile accedervi e per quanto tempo il personale Oracle può accedere al sistema.
- Limitare l'accesso, inclusa la limitazione delle azioni che un operatore Oracle può eseguire sul sistema.
- Revoca l'accesso, incluso l'accesso pianificato in precedenza concesso.
- Visualizzare e salvare un report quasi in tempo reale di tutte le azioni eseguite da un operatore Oracle sul sistema.
- Controllare ed eseguire l'audit di tutte le azioni eseguite da qualsiasi operatore o software di sistema sulle seguenti risorse di Autonomous Database:
- Infrastruttura Exadata
- Cluster VM Autonomous Exadata (AVMC)
- Autonomous Container Database (ACD)
- Fornire controlli per le virtual machine client distribuite su Oracle Autonomous Database. Analogamente al controllo dell'accesso operatore per l'infrastruttura Exadata Cloud@Customer, i clienti possono imporre i controlli dell'accesso operatore Oracle sui cluster Autonomous Virtual Machine distribuiti su Exadata Cloud@Customer o Oracle Public Cloud. Per ulteriori informazioni, vedere Operator Access Control Actions: Autonomous VM Cluster.
- Mantenere lo stesso livello di controlli e controllo dell'accesso ai sistemi. Per ulteriori informazioni, vedere How Operator Access is Audited.
- Fornire i record di audit necessari per gli audit normativi interni o esterni nei sistemi. Per ulteriori dettagli, vedere Gestione e ricerca dei log con il controllo dell'accesso operatore.
Durante la creazione di un controllo operatore, è possibile scegliere Infrastruttura Exadata o Cluster VM Autonomous Exadata a seconda della risorsa di cui si desidera eseguire l'audit per l'accesso degli operatori. Per ulteriori dettagli, vedere Crea controllo operatore.