oracle audit vault & database vault

Download Oracle Audit Vault & Database Vault

Post on 13-Jul-2015

1.059 views

Category:

Technology

10 download

Embed Size (px)

TRANSCRIPT

  • 1

  • Oracle Veritaban Gvenlii zmleri Oracle Audit Vault ve Oracle Database Vault

    Orhan Eripek, Senior Oracle DBA, Aksigorta

    http://orhaneripek.com/

    http://www.youtube.com/user/BilisimSohbetleri

    https://www.facebook.com/groups/BilisimSohbetleri

  • 3

    Audit (Denetim)

    irketler;

    Denetim kapsamna alacaklar en nemli ve kritik grdkleri tablolarn belirlemelidir, bu listeyi zaman zaman gncellemelidir,

    Veritabanlarnda kullanc aktivitelerini denetlemeli, loglarn tutmaldr, loglarn gnlk, aylk, yllk periyotlarda byme hzlarn izlemeli ve buna gre gerekli kaynak (Disk, RAM, vs) artna gitmelidir,

    Bu loglarn backuplarn almaldr,

    Anlk kritik ilemler hakknda Alert mailler ile haberdar olmaldr,

    Tm bu aktiviteleri raporlayabilmelidir.

  • 4

    Veritaban Gvenlii iin Kullanlan Uygulamalar

    Veritaban Gvenliini, d kaynakl felaketlerden ve kt niyetli kullanclardan korumak iin salarz.

    Biz bu sunumda kt niyetli kullanclardan veritabanmz, dolaysyla tablespace, tablo, index, package, procedure, function, vs tm objelerimizi nasl korumaya alrz, bunlar zerinde yaplan aktiviteleri (transaction) nasl izleriz, nasl loglarz ve nasl raporlarz, bunlar inceleyeceiz,

    Kt niyetli kullanc neler yapabilir? En nemli tablo ve veritaban objelerini silebilir, erimesi yasak olan tablolarda ilem yapabilir, baka kullanclara gizli yetkiler verebilir, Audit loglarn silebilir, gizli bilgilere eriebilir

  • 5

    En ok bilinen Veritaban Gvenlii Uygulamalar;

  • 6

    Oracle Audit Vault 10.3

    zet olarak aklamak gerekirse, veritaban denetim ayarlarn yapabileceimiz ve kullanclarn tm veritaban aktivitelerini raporlayabileceimiz uygulamadr.

  • 7

    Oracle Database Vault 10.3

    zet olarak aklamak gerekirse, DBA veya kullanclarn irket uygulamalarna dorudan eriimlerinin OS user ve IP baznda kstlanabilecei, veritaban seviyesinde baz yetki kurallarn tanmlayarak gvenlii salayabileceimiz uygulamadr.

  • 8

    Oracle Audit Vault and Database Firewall 12.1.1 Bu son versiyon ile yaplan temel deiiklikler; Agentlarn alma mant deitirildi, artk Collector+Agent deil de sadece Agent ynetiliyor, raporlama ekranlar daha kullanl ve yeni Database Firewall zelliinin eklenmesi.

  • 9

    Oracle Audit Vault 12.1.1 ile beraber gelen Database Firewall uygulamas network zerinde yetkisiz SQL trafiini databasee ulamadan nce izler ve bloke eder. fwadmin (Firewall Admin) en yetkili kullanc olarak tm gerekli sistem ayarlarn yapabilir.

  • 10

    Oracle Audit Vault Mimarisi

  • 11

    Oracle Audit Vault

    Kaynak veritaban(lar)ndaki aktiviteleri izler (monitoring), loglar (logging), raporlar (reporting) ve uyarr (alerting),

    AVADMIN ynetir, AVAUDITOR raporlar.

    CRM Data

    ERP Data

    Databases

    HR Data

    Audit Data

    Policies

    Built-in Reports

    Alerts

    Custom Reports

    !

    Auditor

  • 12

    AUDIT_TRAIL (Denetim zi):

    None: Denetime Kapal

    DB: Kaytlar SYS.AUD$ tablosunda tutulur

    DB, EXTENDED: Kaytlar SYS.AUD$ tablosunda SQL bind ve SQL text kolon bilgileri ile birlikte tutulur

    OS: *.aud uzantl audit dosyalar Operating sistemde audit_file_dest dizininde tutulur

    XML: Kaytlar Operating sistemde XML formatnda tutulur

    XML, EXTENDED: Kaytlar Operating sistemde XML formatnda SQL bind ve SQL text kolon bilgileri ile birlikte tutulur

    show parameter audit; veya

    SQL> select name, value from v$parameter where lower(name) like 'audit%';

    audit_file_dest string /oracle/db/admin//adump

    audit_syslog_level string

    audit_sys_operations boolean TRUE

    audit_trail string OS

    ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE;

  • 13

    Alert Mekanizmas

    stenmeyen durumlarn bildirimlerini almak iin Alert mekanizmas oluturabiliriz. Belli periyotlarda grafiksel olarak Alertlerin istatistiini grebiliriz.

  • 14

  • 15

  • 16

    Mailimize raporun linki gnderildii gibi raporun kendisi de attach edilmi olarak pdf formatnda gnderilebilmektedir, mail hesabmzn kotasnn raporlardan dolay bymemesi iin raporun linkinin gnderilmesi de tercih edilebilir.

  • 17

    Otomatik Alert Mail

    Audit Vault Tablespace Size durumu iin Alert Mail:

    Audit Vault tablespace doluluk oran belli bir eik deeri (rnek olmas asndan aadaki rnekte %60 limiti verildi, biz kullanmda %90 limitini vereceiz) atnda otomatik Alert mailini alabiliriz.

  • 18

    Audit Vault Uygulamas iin Alert Mail:

    Audit Vault uygulamalarnn data toplayc kollektorlar (Collectors) herhangi bir sebepten dolay duracak olursa otomatik mail ile Alert durumu renebiliriz.

  • 19

    Triger ile Denetleme

    ok nemli grdmz 2-3 tablo iin trigger yapsyla old value , new value deerlerini loglayabiliriz, ORHAN_TRIGGER_DENEME isminde oluturduum trigern demosunu inceleyelim;

    -- RNEK TABLO YARATILIYOR

    CREATE TABLE ORHAN_DENEME

    (

    OWNER VARCHAR2(30 BYTE),

    OBJECT_NAME VARCHAR2(128 BYTE),

    SUBOBJECT_NAME VARCHAR2(30 BYTE),

    OBJECT_ID NUMBER,

    DATA_OBJECT_ID NUMBER,

    OBJECT_TYPE VARCHAR2(19 BYTE),

    CREATED DATE,

    LAST_DDL_TIME DATE,

    TIMESTAMP VARCHAR2(19 BYTE),

    STATUS VARCHAR2(7 BYTE),

    TEMPORARY VARCHAR2(1 BYTE),

    GENERATED VARCHAR2(1 BYTE),

    SECONDARY VARCHAR2(1 BYTE),

    NAMESPACE NUMBER,

    EDITION_NAME VARCHAR2(30 BYTE)

    )

    -- AUDIT KAYITLARINI TUTACAK BIR TABLO OLUSTURULUR

    CREATE TABLE ORHAN_AUDIT_TABLE (

    OWNER VARCHAR2(30),

    TABLE_NAME VARCHAR2(30),

    MODIFYING_USER VARCHAR2(30),

    MODIFY_TIME DATE DEFAULT SYSDATE,

    COLUMN_NAME varchar2(30),

    BEFORE_VALUE varchar2(30),

    AFTER_VALUE varchar2(30));

    CREATE OR REPLACE TRIGGER ORHAN_TRIGGER_DENEME

    AFTER UPDATE ON ORHAN_DENEME

    FOR EACH ROW

    DECLARE

    v_username varchar2(10);

    BEGIN

    SELECT user INTO v_username FROM dual;

    INSERT INTO ORHAN_AUDIT_TABLE ( OWNER, TABLE_NAME,

    MODIFYING_USER, MODIFY_TIME, COLUMN_NAME, BEFORE_VALUE, AFTER_VALUE )

    VALUES ( 'AV_SRV', 'ORHAN_AUDIT_TABLE', v_username, SYSDATE,

    'OBJECT_NAME', :OLD.OBJECT_NAME, :NEW.OBJECT_NAME );

    END;

    1 2

    3

  • 20

    -- ORNEK OLMASI ACISINDAN BRKA KAYIT GIRILIYOR

    Insert into ORHAN_DENEME

    (OWNER, OBJECT_NAME, OBJECT_ID, DATA_OBJECT_ID, OBJECT_TYPE,

    CREATED, LAST_DDL_TIME, TIMESTAMP, STATUS, TEMPORARY,

    GENERATED, SECONDARY, NAMESPACE)

    Values

    ('SYS', 'C_OBJ#', 2, 2, 'CLUSTER',

    TO_DATE('10/21/2011 03:16:47', 'MM/DD/YYYY HH24:MI:SS'), TO_DATE('10/21/2011 03:16:47', 'MM/DD/YYYY

    HH24:MI:SS'), '2011-10-21:03:16:47', 'VALID', 'N',

    'N', 'N', 5);

    4

  • 21

    FGA (Fine Grained) Audit Detayl Denetim

    steimiz tablolarn isteimiz kolonlarn seerek veya istediimiz kolonlar iin filtreleme koyarak denetim salayabiliriz, denetim kaytlar sys.fga_log$ viewinde tutulur.

    rnein orhan usernn orhan_deneme ismindeki tablosunu FGA denetimine alalm ve raporunu Audit Vault konsolundan ekelim;

    select * from orhan_deneme;

    insert into orhan_deneme (id, adi, per_no) values (12,'ahmet', 76);

    insert into orhan_deneme (id, adi, per_no) values (:t1,:t2, :t3);

    update orhan_deneme set per_no=38 where id=22;

    delete orhan_deneme where id=12;

    commit;

    Declare

    c number;

    begin

    for rec in 1..100 loop

    c:=rec;

    insert into orhan_deneme values(c,'orhan'||c,rec+10);

    end loop;

    commit;

    end;

    create table orhan_deneme (id number, adi varchar2(20), per_no number);

    BEGIN

    DBMS_FGA.ADD_POLICY

    (object_schema => '"ORHAN"',

    object_name => 'ORHAN_DENEME"',

    policy_name => 'ORHAN_DENEME_IUD"',

    statement_types => 'DELETE,INSERT,UPDATE',

    audit_trail => DBMS_FGA.DB,

    audit_column_opts => DBMS_FGA.any_columns);

    END;

    select POLICY_NAME from dba_audit_policies where OBJECT_NAME=ORHAN_DENEME';

  • 22

    rnek Rapor-1

  • 23

    rnek Rapor-2

  • 24

    rnek Rapor-3

  • 25

  • 26

    Teekkrler

Recommended

View more >