Qu'est-ce que l'audit de base de données

Outils d'audit de bases de données et leurs applications

Il existe quatre plates-formes de base qui peuvent être utilisées pour créer, collecter et analyser des audits de bases de données : la plate-forme de base de données locale, la gestion des informations/événements du système et sa gestion des journaux, la surveillance de l'activité de la base de données et plateforme d'audit de base de données.

1. Audit local : fait référence à l'utilisation d'une base de données locale pour l'acquisition de données, mais à l'utilisation du système de base de données lui-même pour stocker, classer, filtrer et signaler les événements. IBM, Microsoft, Oracle et Sybase proposent tous des solutions différentes à cette situation, mais cherchent essentiellement tous à obtenir les mêmes informations. Bien que les données soient généralement stockées dans une base de données, elles peuvent être exportées vers des fichiers texte brut ou fournies sous forme de données XML à d'autres applications. L'utilisation de fonctionnalités natives permet d'économiser les coûts associés à l'acquisition, au déploiement et à la gestion d'outils d'audit dédiés, mais elle impose une surcharge de performances supplémentaire sur la base de données, offre une gestion limitée de la collecte et du stockage de base et nécessite une gestion manuelle. L'audit local s'effectue à l'échelle de la base de données et ne s'applique qu'à l'analyse des bases de données hébergées dans une seule installation.

2. SIEM et gestion des journaux : la gestion des informations et des événements de sécurité (SIEM) et les outils similaires de gestion des journaux ont la capacité de collecter des fichiers d'audit, mais ils fournissent plus de fonctions que les outils de base de données locales. Gardez à l’esprit que ces outils allègent une grande partie de la charge de la base de données en n’entraînant pas la surcharge de l’audit local, qui nécessite un serveur dédié pour le stocker et le traiter. En plus des journaux d'audit de base de données, ces outils collectent des informations sur les périphériques réseau, les systèmes d'exploitation, les pare-feu et les applications. Le SIEM et la gestion des journaux peuvent fournir des capacités complètes de reporting, de collecte de données, de prise en charge de bases de données hétérogènes, d'agrégation et de compression de données, qui sont des avantages que l'audit de bases de données locales n'a pas. Les systèmes de gestion des journaux lancés par des sociétés telles que LogLogic et Splunk sont spécialement conçus pour gérer de grandes quantités de données et sont davantage axés sur la gestion et le reporting. SIEM, lancé par des fournisseurs tels qu'ArcSight et RSA, la division de sécurité d'EMC, est conçu pour être plus adapté à la surveillance en temps quasi réel des dispositifs de sécurité réseau, permettant une analyse plus approfondie des corrélations entre les événements, les alarmes de sécurité et d'autres informations. Cependant, la distinction entre SIEM et gestion des journaux peut devenir floue dans la mesure où la plupart des fournisseurs proposent les deux plates-formes, même si les deux ne sont pas entièrement intégrées.

3. DAM : la plate-forme de surveillance de l'activité des bases de données est conçue pour surveiller les menaces liées à l'activité des bases de données et appliquer des contrôles de conformité aux règles. Des fournisseurs tels que Application Security, Fortinet, IBM, Netezza et Oracle proposent la récupération d'événements à partir de bases de données hétérogènes. La plupart des fournisseurs proposent plusieurs moyens d'obtenir des informations, notamment la collecte d'informations auprès de plusieurs parties telles que le réseau, le système d'exploitation sur lequel se trouve la base de données et les journaux d'audit de la base de données. Les outils DAM sont conçus pour la récupération de données à grande vitesse et l'application des politiques en temps réel. À l'instar des outils SIEM, les outils DAM peuvent collecter des données à partir de bases de données hétérogènes et de plusieurs sources de données et sont conçus pour l'analyse et l'alerte. Contrairement au SIEM, le DAM n'est pas conçu spécifiquement pour les bases de données. Il se concentre davantage sur l'analyse des bases de données au niveau de l'application plutôt qu'au niveau du réseau ou du système. En plus de l'analyse forensique des opérations de base de données, DAM fournit également des fonctions avancées telles que le blocage actif, l'application de correctifs virtuels, le filtrage et l'évaluation.

4. Plateforme d'audit de bases de données : certains fournisseurs de bases de données proposent des bases de données spécialisées, très similaires aux serveurs de gestion de journaux. Ces bases de données consistent en une plate-forme dédiée qui stocke les fichiers journaux obtenus à partir des audits de bases de données locales et collecte les fichiers journaux de plusieurs bases de données dans un emplacement central. Certaines de ces plates-formes fournissent également des collecteurs de fichiers journaux de bases de données hétérogènes. Le reporting, l'analyse médico-légale, l'agrégation de fichiers journaux dans un format commun et le stockage sécurisé sont autant d'avantages qu'une telle plateforme peut apporter. Bien que ces plates-formes ne fournissent pas plusieurs sources de données ou n'effectuent pas d'analyses détaillées comme le DAM, elles ne disposent pas des capacités de corrélation et d'analyse comme le SIEM et ne sont pas aussi simples et faciles à utiliser que la gestion des journaux, mais pour les opérations informatiques qui se concentrent sur les bases de données. audit, il s'agit d'un moyen rentable de générer des rapports de sécurité et de stocker des données de sécurité médico-légales.

Processus de sélection d'audit de base de données

Pour faciliter le processus de sélection d'audit de base de données, vous devez prendre en compte les caractéristiques suivantes de chaque type de plate-forme, ainsi que les solutions de chaque fournisseur. Par ordre d'importance, ils sont les suivants :

Source de données : la principale source des informations décrites dans cet article est le journal d'audit de la base de données, qui est créé par le moteur de base de données. Cependant, les journaux d'audit varient d'une base de données à l'autre et, dans certains cas, diverses informations peuvent entrer dans la catégorie des journaux d'audit. De plus, certaines plates-formes peuvent créer des journaux d'activité des opérations de base de données d'un utilisateur. Bien que ce journal ne soit pas aussi précis que celui créé par la plate-forme native, il contient toutes les instructions SELECT et offre de meilleures performances de démarrage. Vous devez examiner attentivement les données disponibles à partir de différentes sources de données et voir si les informations sont suffisantes pour répondre à vos exigences de sécurité, opérationnelles et de conformité.

Conformité à la réglementation : étant donné que la conformité aux réglementations industrielles et gouvernementales est le principal facteur d'adoption d'une solution d'audit de base de données, vous devez examiner les politiques et les rapports sur les produits fournis par le fournisseur. Ces rapports peuvent vous aider à répondre rapidement aux exigences de conformité et à réduire les coûts de personnalisation.

Déploiement : Le reproche des utilisateurs concernant toutes les descriptions de solutions*** est qu'il existe de nombreuses difficultés à affronter lors du déploiement. Installation, configuration, gestion des politiques, réduction des faux positifs, reporting personnalisé ou gestion des données, ce sont aussi des problématiques que les utilisateurs doivent résoudre. C’est pour cette raison que vous devez concentrer vos ressources sur la réalisation de comparaisons sur le terrain pour évaluer les forces et les faiblesses des outils. De plus, les tests sur un déploiement d'une ou deux bases de données ne suffisent pas, vous devez planifier des tests d'évolutivité sur plusieurs bases de données pour simuler des scénarios du monde réel. Bien sûr, cela alourdit le processus de validation de principe, mais cela en vaut la peine à long terme, car les problèmes d'interface utilisateur des fournisseurs, la gestion des politiques et les choix d'architecture déraisonnables ne seront testés que dans le monde réel. apparaîtra au milieu.

Performance : elle n'est pas très liée à la plate-forme du fournisseur, mais plus étroitement aux options d'audit des données de la base de données elle-même. Il existe plusieurs versions et options, et les performances de l'audit local changent rapidement, vous souhaiterez donc exécuter quelques tests. Vous devrez peut-être également équilibrer les données que vous souhaitez collecter avec celles dont vous avez besoin et chercher des moyens de mettre en place le moins de politiques possible pour répondre aux besoins, car plus de politiques signifie plus d'argent dépensé sur tous les systèmes.

Intégration : Vous devez vérifier l'intégration des fournisseurs partenaires dans les produits de gestion des flux de travail, des tickets d'incident, des systèmes et des politiques.

Les journaux d'audit contiennent de nombreuses informations utiles aux auditeurs, aux experts en sécurité et aux administrateurs de bases de données, mais ils peuvent avoir un impact sur les performances. Pour toute nouveauté que l’audit de bases de données peut apporter, vous devez comprendre le fardeau qu’il peut ajouter. L'audit entraîne certaines pénalités de performance, et selon la manière dont vous les mettez en œuvre, les pénalités peuvent être sévères. Toutefois, ces problèmes peuvent être atténués et, pour certains problèmes commerciaux, la journalisation d'audit de la base de données est essentielle pour l'analyse de la conformité et de la sécurité.

À l'exception de l'audit de base de données locale (qui repose sur les ressources de base de données), tous les outils que nous décrivons sont déployés en tant qu'appliance ou logiciel autonome. Tous les audits de bases de données fournissent des capacités centrales de gestion des politiques et des données, de création de rapports et d’agrégation de données. Les fournisseurs de SIEM (Security Information and Event Management), de gestion des journaux et de surveillance de l'activité des bases de données proposent un modèle de déploiement à plusieurs niveaux pour l'évolutivité, dans lequel plusieurs serveurs ou appareils sont répartis dans une grande organisation informatique pour améliorer l'expérience utilisateur en matière de traitement et de stockage.

Les données agrégées facilitent la gestion et la création de rapports sur les énormes quantités de données collectées. De plus, la collecte d'informations est placée sur un serveur central pour protéger les journaux de transactions contre toute falsification.

La méthode qui vous convient le mieux dépend de vos besoins, du problème commercial que vous devez résoudre et du temps et de l'argent que vous êtes prêt à investir dans la résolution du problème. La bonne nouvelle est que vous disposez d'un certain nombre d'options, comme demander à votre administrateur de base de données d'effectuer des audits locaux de la base de données pour obtenir des informations de base, ou agréger les données sur des milliers d'appareils.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!