Autonomous Database 中的审计功能

Oracle Autonomous Database 提供强大的审计功能,支持您跟踪谁在服务和特定数据库上执行了哪些操作。利用全面的日志数据,您可以审计和监视对资源的操作,从而满足审计要求,同时降低安全风险和运营风险。

审计服务级别活动

审计服务会记录 Oracle Cloud 用户对在专用基础结构上部署 Oracle Autonomous Database 的资源执行的所有操作,而不管使用的接口是什么:Oracle Cloud Infrastructure 控制台、REST API、命令行界面 (Command Line Interface,CLI)、软件开发工具包 (Software Development Kits,SDK) 等。

您可以使用审计服务执行诊断、跟踪资源使用情况、监视合规性以及收集与安全相关的事件。有关审计服务的更多信息,请参阅 Oracle Cloud Infrastructure 文档中的审计概览

此外,当 Oracle Autonomous Database 对资源执行操作时,它会向事件服务发送事件。使用事件服务,您可以创建规则来捕获这些事件并执行操作,例如使用通知服务向您发送电子邮件。

有关事件服务的工作方式以及如何设置其使用的规则和操作的更多信息,请参见 Overview of Events 。有关生成事件的 Autonomous Database 操作的列表,请参阅 Events for Autonomous Database on Dedicated Exadata Infrastructure

提示:

要尝试使用事件和通知服务创建通知,您可以浏览 Oracle Autonomous Database Dedicated for Fleet Administrators 中的 Lab11:OCI Notification Service

审计数据库活动

Oracle Autonomous Database 将您创建的自治数据库配置为使用 Oracle Database 的统一审计功能。

此功能从以下源捕获审计记录,并以统一格式将其收集到单个审计线索中:

  • 统一审计策略和 AUDIT 设置中的审计记录(包括 SYS 审计记录)
  • DBMS_FGA PL/SQL 程序包中的细粒度审计记录
  • Oracle Database Real Application Security 审计记录
  • Oracle Recovery Manager 审计记录
  • Oracle Database Vault 审计记录
  • Oracle Label Security 审计记录
  • Oracle Data Mining 记录
  • Oracle 数据泵
  • Oracle SQL*Loader 直接加载

因此,您可以使用统一审计线索对数据库执行各种诊断和安全分析活动。

为了防止统一审计线索变得过大,您创建的自治数据库包括一个名为 MAINTAIN_UNIAUD_TRAIL 的 Oracle Scheduler 作业,该作业每天运行,以删除超过 90 天的统一审计记录。作为 ADMIN 数据库用户,您可以更改此作业的特征。

作为具有 AUDIT_ADMIN 角色的用户,您可以创建或修改审计策略。作为具有 AUDIT_VIEWER 角色的用户,可以通过查询以下视图来查看统一审计数据:
  • AUDIT_UNIFIED_CONTEXTS
  • AUDIT_UNIFIED_ENABLED_POLICIES
  • AUDIT_UNIFIED_POLICIES
  • AUDIT_UNIFIED_POLICY_COMMENTS

只有 ADMIN 用户可以将 AUDIT_VIEWER 或 AUDIT_ADMIN 角色授予其他用户。具有 PDB_DBA 角色不允许您将 AUDIT_VIEWER 或 AUDIT_ADMIN 授予其他用户。

有关统一审计如何工作以及如何使用它的更多信息,请参阅 Oracle Database 19c Security GuideOracle Database 23ai Security Guide 中的 What Is Unified Auditing?

此外,如果您在 Oracle Data Safe 中注册自治数据库,您可以使用其广泛的活动审计和基于活动的预警功能。

For information about these Data Safe features, see Activity Auditing in Using Oracle Data Safe. For information about registering your database with Data Safe, see Register or Deregister a Dedicated Database with Data Safe.

审计自治 VM 活动

Autonomous Database 的控制层服务器上运行的收集代理收集和发送物理主机上运行的所有虚拟机和虚拟机管理程序的操作系统审计日志,以及用于防病毒和主机入侵检测软件的日志。这些日志将发送到 OCI 中的中央系统信息和事件管理 (System Information and Event Management,SIEM) 服务。SIEM 扫描中有数百个预警规则,用于监视配置更改、潜在入侵和未经授权的访问尝试等。

安全事件检测和响应团队 (DART) 的一个专门的安全分析师团队负责管理安全事件仪表板 24 / 7,并处理警报以过滤真正的积极因素。如果检测到真正的正,则根据事件的严重性和影响启动适当的响应。这可能包括进一步分析、根本原因评估以及与服务团队和客户沟通的修复。

此外,漏洞扫描软件会将其结果发送到 OCI Security Central,该中心会自动为服务团队生成票证,以便根据 CVSS 评分在某个时间段内解决结果。此外,对于已注册操作员访问控制服务的系统,还会将操作操作的审计事件发送到日志记录服务和客户提供的系统日志。

Oracle 保留 Exadata Cloud@Customer X8M 及更高版本硬件上的自治 VM 的以下日志:

  • /var/log/messages
  • /var/log/secure
  • /var/log/audit/audit.log
  • /var/log/clamav/clamav.log
  • /var/log/aide/aide.log

Oracle 保留 Exadata Cloud@Customer X8M 及更高版本硬件的以下基础设施审计日志:

  • Integrated Lights-Out Management (ILOM)
    • ILOM 系统日志重定向到物理基础结构组件的系统日志
    • Syslog
  • 物理 Exadata 数据库服务器
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log
    • /var/log/clamav/clamav.log
    • /var/log/aide/aide.log
  • Exadata Storage Server
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log

审计 Oracle Operator 活动

Oracle Autonomous Database 提供强大的审计功能,可扩展现有审计功能,包括 Oracle 运营商执行的审计活动,主要侧重于满足监管要求,以控制和审计系统管理的所有方面。

提示:

有关如何创建和管理操作员控制对 Exadata 基础结构和自治 Exadata VM 集群资源的访问,请参阅 Oracle Autonomous Database Dedicated for Fleet Administrators Workshop 中的 Lab 15:Operator Access Control

Autonomous Database on Dedicated Exadata Infrastructure 采用共享责任模式,其中:
  • 您负责数据与数据库应用程序。
  • Oracle 负责基础设施组件:电源、裸金属操作系统、虚拟机管理程序、Exadata Storage Servers 和基础设施环境的其他方面。
  • Oracle 负责 DBMS 软件和数据库的整体健康状况。

在此模型中,Oracle 可以不受限制地访问其负责的组件。如果您有审计和控制系统管理的各个方面的法规要求,则这可能是一个问题。

Oracle Operator Access Control 是一个合规性审计系统,可用于维护 Oracle 操作员在 Exadata 基础结构、托管 Autonomous Database 的 Exadata 基础结构以及 Oracle 管理的自治 Exadata VM 集群(部署在 Oracle Autonomous Database 上的客户端虚拟机)上执行的所有操作的关闭管理和审计跟踪。此外,客户还可以控制和限制操作员对特定客户批准的自治容器数据库 (Autonomous Container Database,ACD) 的访问。

通过 Oracle Operator Access Control,您可以:
  • 控制谁可以访问系统、何时可以访问系统以及 Oracle 人员可以访问系统的时间。
  • 限制访问,包括限制 Oracle 操作员可以对系统执行的操作。
  • 撤消访问权限,包括您授予的先前计划的访问权限。
  • 查看并保存 Oracle 操作员对系统执行的所有操作的近乎实时的报告。
您可以使用 Oracle Operator Access Control 执行以下操作:
  • 控制和审计任何操作员或系统软件对以下 Autonomous Database 资源执行的所有操作:
    • Exadata 基础结构
    • 自治 Exadata VM 集群 (AVMC)
    • Autonomous Container Database (ACD)
    有关对 Oracle 操作员可以在您的环境中执行的操作实施控制的详细信息,请参阅在操作员访问控制中实施操作
  • 为部署在 Oracle Autonomous Database 上的客户端虚拟机提供控制。与 Exadata Cloud@Customer 基础设施的运营商访问控制一样,客户可以对部署在 Exadata Cloud@CustomerOracle Public Cloud 上的自治虚拟机集群实施 Oracle 操作员访问控制。有关详细信息,请参见 Operator Access Control Actions:Autonomous VM Cluster
  • 对系统保持相同级别的审计和访问控制。有关更多信息,请参见 How Operator Access is Audited
  • 提供跨系统的内部或外部监管审计所需的审计记录。有关更多详细信息,请参见 Managing and Searching Logs with Operator Access Control

创建操作员控制时,您可以选择 Exadata 基础结构自治 Exadata VM 集群,具体取决于要审计的操作员访问的资源。有关更多详细信息,请参见 Create Operator Control