Oracle Audit Vault and Database Firewall 20 概要

Transcript

1. Oracle Audit Vault and Database Firewall 20 機能概要 日本オラクル株式会社 2025年6月

2. The following is intended to outline our general product direction.

   It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, timing, and pricing of any features or functionality described for Oracle’s products may change and remains at the sole discretion of Oracle Corporation.

3. Oracle Audit Vault and Database Firewall Oracle Databaseや他社データベースのSQLアクセスログを 収集しセキュアかつ安全に一元管理 OSやディレクトリのログにも対応

   SQLアクセスログを取得する方式 • ネットワーク・トラフィック + Database Firewall • ネットワーク・トラフィック + ホストモニター • データベース監査ログ + エージェント コンプライアンス要件に対応する定義済みレポート 不正なアクティビテイを早期検知するアラート機能 Oracle Databaseの暗号化、特権管理などのセキュリティ 機能をフル活用したログの改ざん防止やアクセス制御 ソフトウェア・アプライアンスとして、OSとソフトウェアが パッケージングされて提供 OCIでは、マーケットプレイスからデプロイ可能 (※要ライセンス) 3 Copyright © 2025, Oracle and/or its affiliates Oracle Database, MySQL, MS SQL Server, IBM Db2, SAP Sybase, PostgreSQL, MongoDB Databases Users Applications Database Firewall Audit Vault Server Alerts Reports Policies Linux, Windows, AIX, Solaris, Active Directory Operating systems & Directories Network events Audit data, event logs

4. Oracle Audit Vault and Database Firewall 4 Copyright © 2025,

   Oracle and/or its affiliates データベースのアクセスログの収集方式 Users App Database Server Switch (Mirror Port) Audit Vault Server Database Firewall アウトオブバンド方式 (Database Firewall) Network Traffic エージェント方式 (Audit Vault) ※20,9からは エージェントレスも可能 Users Database Server + Audit Vault Agent App Audit Vault Server ホストモニター方式 (Database Firewall + Audit Vault) Users App Audit Vault Server Database Firewall Database Server + Audit Vault Agent + Host Monitor Monitor Monitor Network Traffic Database Firewallがスイッチのミラーポートからデータベースのトラフィックを受信するアウトオブバンド方式 データベースまたはOSの監査機能で出力されたログをエージェントが収集するエージェント方式 データベースサーバーのNICから直接パケットキャプチャするホストモニター方式

5. Oracle Audit Vault and Database Firewall スイッチからネットワーク・トラフィックを受信し、ポリシーに応じたモニタリングを行うネットワーク・サーバ ネットワーク・キャプチャからデータベース通信のトラフィックを抽出・解析する Firewallポリシーに従って記録すべきSQLアクセスログをAudit Vault

   Serverに転送する Switchを経由しないアクセスは取得できないので、データベース監査と併用するのが推奨 インストール要件: • Oracle Linux 8.5 UEK6をサポートするX86-64ハードウェア (AVDF 20.9以降) • 最小要件: メモリ 8GB, ディスク領域 220GB, NICポート 2以上 (管理ポートとして1ポート、パケット受信用に1ポート) • NICポートを増設することで、複数のスイッチと接続が可能 インストールメディアからOS含めた必要なコンポートネントが自動構成されるシンプルなインストール 最小限のパッケージインストール、セキュアに最適化されたOS 5 Copyright © 2025, Oracle and/or its affiliates Database Firewall Server Mirror Packets FWポリシー Database Firewall Audit Vault Network Switch

6. Oracle Audit Vault and Database Firewall Database Firewall, Audit Vault

   Agentから転送されるログを集約するリポジトリ・サーバ Oracle Database + Database Securityを最大限活用したセキュアなデータベースに すべての監査ログが保存され、ログの改ざん・削除はできない プリセットされた定型レポートによるモニタリングやアラート機能 Oracle Database In-Memoryによるログ・データ参照の高速化 ターゲットとなるOracle Databaseの監査設定を一括管理 Syslog、外部SIEM製品へリポジトリデータの連携 NFSサーバーへのアーカイブ、リストア機能 インストール要件: • Oracle Linux 8.5 UEK6をサポートするX86-64ハードウェア (AVDF 20.9以降) • 最小要件: メモリ 8GB, ディスク領域 370GB, NICポート 1以上 OS含めた必要なコンポートネントが自動構成されるシンプルなインストール 最小限のパッケージインストール、セキュアに最適化されたOS 6 Copyright © 2025, Oracle and/or its affiliates Audit Vault Server Oracle Database ASM TDE Database Vault Audit Vault

7. Oracle Audit Vault and Database Firewall ターゲットのデータベースで動作するJAVAアプリケーション データベースの機能で出力された監査ログを収集し、Audit Vault Serverへ送信する

   収集対象となる監査ログは、表、ファイル、SYSLOG、Windowのイベント・ログ AVDF 20.9以降はエージェントレスの構成が可能 • Audit Vault Serverから直接Oracle Databaseの監査表に対してアクセスして収集する • Oracle Database、SQL Serverのみ インストール要件: • Oracle Linux 6.0 – 9.x, Red Hat Linux 6.7 – 9.x , RHEL on IBM Z, Linux for Arm Windows Server 2012- 2022, Solaris 11.3-11.4 , AIX 7.1 – 7.3, HP-UX 11.31 • JRE 1.8.0_45以降、11.0.3、17.02、21.0.2 • Audit Vault Serverと通信が可能であること 7 Copyright © 2025, Oracle and/or its affiliates Audit Vault Agent Audit Vault Agent ログの転送 エージェント レス Audit Vault 監査ログ

8. Oracle Audit Vault and Database Firewall データベースのNICから直接SQLトラフィックをキャプチャし、Database Firewallに送信 Database Firewallはキャプチャ・ファイルからデータベース通信のトラフィックを抽出・解析する

   Firewallポリシーに従って記録すべきSQLアクセスログをAudit Vault Serverに転送する 主にアウトオブバンド構成ができないOCI(クラウド)向け SELECTの結果件数を記録可能 ループバックやBequeathのようなローカル接続もキャプチャ可能 (20.13～) インストール要件: • Oracle Linux 6.0 – 9.x, Red Hat 6.7 – 9.x , Windows Server 2012- 2022, Solaris 11.3-11.4 , AIX 7.1 – 7.3, • Audit Vault Agentが実行済み • make, Libcap(Linuxホストのみ)、LibPcap、OpenSSLのインストールが必要 • Database Firewall側のネットワーク・インバウンド通信ポート 2050 -5200を許可 8 Copyright © 2025, Oracle and/or its affiliates ホストモニター Host Monitor pcap Audit Vault Agent

9. Oracle Audit Vault and Database Firewall 9 Copyright © 2025,

   Oracle and/or its affiliates サポート対象となる監視ターゲット Target Version DBFW Agent Oracle Database Enterprise Edition, Standard Edition, RAC 11.2, 12c ～ 23ai 〇 〇 Exadata 11.2, 12c ～ 23ai 〇 〇 Cloud: Oracle Autonomous Database Serverless/Dedicated 最新 × 〇 Cloud: BaseDB, ExaDB-D 19c ～ 23ai △※1 〇 IBM Db2: LUW, AIX 10.5, 11.1, 11.5 〇 〇 Microsoft SQL Server 2012 ～ 2022 〇 〇 SAP Sybase ASE 15.7, 16 〇 〇 MySQL 5.6, 5.7, 8.0 〇 〇 PostgreSQL 9.6～11.8, 12～15 〇 〇 MongoDB (QuickJSONテンプレート経由) 3.6.18 ～ 5.0 × 〇 Oracle Solaris 11.3, 11.4 × 〇 Oracle Linux 5.8～9.0 × 〇 Red Hat Enterprise Linux 6.7～9.0 × 〇 Microsoft Windows Server 2012R, 2016,2019 × 〇 IBM AIX Power Systems 7.1, 7.2, 7.3 × 〇 ※ ホストモニターは使用可能

10. Oracle Audit Vault and Database Firewall DBFWの監査ポリシーは、以下の要素で構成される • セッション・コンテキスト •

    SQL文 • データベース・オブジェクト • デフォルト・ルール 監査ポリシーの実行は、右図のフローに沿って順に実行 監査ポリシーの作成例 • 特定のIPアドレスもしくは以外からのアクセス • 特定のプログラムや特定テーブルに対するアクセス • アプリケーションからのSQLを除いた管理者アクセス • どれにも当てはまらない場合のデフォルトルール 上記の条件を組み合わせたポリシーを作成し、ログ取得する・しない 対象を選別する 10 Copyright © 2025, Oracle and/or its affiliates Database Firewallの監査ポリシー Session context SQL SQL Statement Default rule Database objects SQL statement type DB user IP address OS user SQL Cluster Set DB Client

11. Oracle Audit Vault and Database Firewall Oracle Databaseの監査機能 (Unified Audit)

    オブジェクト、権限、ユーザー・アクション等、監査対象をグループ化したポリシーベースの監査 必要な監査項目を包括した定義済みの監査ポリシーを提供 監査ログはAUDSYSスキーマのAUD$UNIFIED表に格納され、UNIFIED_AUDIT_TRAILビューで参照可 パフォーマンスの影響やストレージの肥大を抑制するために、監査対象をできるだけ限定するのが推奨 • 特定の操作(SELECTやINSERT等DMLやDDL)、機密表・列を対象に限定 • アプリケーションの通常アクセスは除くなど、セッション情報(IPアドレス、プログラム名等)を組み合わせて対象を限定 Recovery Manager、Data Pump、SQL*Loader等のユーティリティのログも対象 DBMS_AUDIT_MGMTパッケージでログの定期削除をスケジューリング 従来の監査機能は23aiからは非サポート CREATE AUDIT POLICY Policy1 ACTIONS UPDATE ON HR.EMP, DELETE ON HR.EMP_EXD; AUDIT POLICY Policy1; 例) 表に対するDML監査ポリシー 11 Copyright © 2025, Oracle and/or its affiliates

12. Oracle Audit Vault and Database Firewall 主にデータベース管理に関連する操作に対して設定されるデフォルトの監査ポリシー 表などのオブジェクトに対する監査設定はされていないので、ユーザー用途に応じたDML監査を追加する ALTER ANY

    TABLE CREATE ANY TABLE DROP ANY TABLE ALTER ANY PROCEDURE CREATE ANY PROCEDURE DROP ANY PROCEDURE GRANT ANY PRIVILEGE GRANT ANY OBJECT PRIVILEGE GRANT ANY ROLE CREATE USER DROP USER ALTER USER ALTER DATABASE ALTER SYSTEM AUDIT SYSTEM ALTER ANY SQL TRANSLATION PROFILE CREATE ANY SQL TRANSLATION PROFILE DROP ANY SQL TRANSLATION PROFILE CREATE ANY LIBRARY CREATE ANY JOB CREATE EXTERNAL JOB CREATE SQL TRANSLATION PROFILE CREATE PUBLIC SYNONYM DROP PUBLIC SYNONYM EXEMPT ACCESS POLICY EXEMPT REDACTION POLICY TRANSLATE ANY SQL PURGE DBA_RECYCLEBIN LOGMINING ADMINISTER KEY MANAGEMENT BECOME USER CREATE PROFILE ALTER PROFILE DROP PROFILE CREATE ROLE ALTER ROLE DROP ROLE SET ROLE CREATE DATABASE LINK ALTER DATABASE LINK DROP DATABASE LINK CREATE DIRECTORY DROP DIRECTORY EXECUTE ON DBMS_RLS ALTER DATABASE DICTIONARY CREATE PLUGGABLE DATABASE DROP PLUGGABLE DATABASE ALTER PLUGGABLE DATABASE 12 ORA_SECURECONFIGポリシー Copyright © 2025, Oracle and/or its affiliates

13. Oracle Audit Vault and Database Firewall WHEN句で、IPアドレスがNULL(ローカル接続)の場合のみの条件を 追加 CREATE AUDIT

    POLICY Policy1 ACTIONS UPDATE ON EMPLOYEES, DELETE ON EMP_EXTENDED; AUDIT POLICY Policy1 BY UserX, UserY; CREATE AUDIT POLICY Policy2 ACTIONS UPDATE ON EMPLOYEES, DELETE ON EMP_EXTENDED WHEN 'SYS_CONTEXT(''USERENV'',''IP_ADDRESS'') IS NULL’ AUDIT POLICY Policy2; 特定のユーザーのUPDATE,DELETE文のDMLを監査 Actions ALLだけれども、JDBC接続の特定のAPサーバのアクセスは除く条件を指定 CREATE AUDIT POLICY Policy3 ACTIONS ALL ON EMPLOYEES WHEN 'SYS_CONTEXT(''USERENV'',''HOST'') IN ‘’xxxxx.jp.oracle.com,xxxxx.jp.oracle.com‘’ AND SYS_CONTEXT(''USERENV'',''MODULE'') NOT IN ''JDBC Thin Client''' AUDIT POLICY Policy3; 13 条件による監査対象の絞り込み Copyright © 2025, Oracle and/or its affiliates

14. Oracle Audit Vault and Database Firewall SELECT * from EMPLOYEES;

    SELECT ID FROM EMPLOYEES; SELECT ID, SALARY FROM EMPLOYEES; EMPLOYEES SALARY列 監査アクションの対象を従来の表単位から列単位での特定が可能 CREATE AUDIT POLICY ポリシー名 ACTIONS DML(カラム名) ON テーブル名 例) EMPLOYEES表のSALARY列のSELECT, UPDATEを対象 CREATE AUDIT POLICY policy1 ACTIONS SELECT(SALARY), UPDATE(SALARY) ON HR.EMPLOYEES; AUDIT POLICY policy1; 14 表の列に限定した監査 (23ai～) Copyright © 2025, Oracle and/or its affiliates

15. Oracle Audit Vault and Database Firewall 15 Copyright © 2025,

    Oracle and/or its affiliates すべてのログではなく、対象ログは出来る限り限定する Anomalyな 監査ログ DCL DDL DML Alerts Reports Policies ユーザ要件: すべてのアクセス・ログの取得 10000TPS ≈ 4TB/day必要?? Database Firewall 監査ポリシー 定常的なアプリケーションのSQLは取得しない 決められたIPやプログラム以外のアクセスを対象にする データベースの監査ポリシー 個人情報に関連する表や機密列のみを対象 データベース管理者や開発者の直接アクセスのログを取得

16. Oracle Audit Vault and Database Firewall ログに含まれる情報 (時間, クライアント・ユーザ情報, SQL文,

    エラー関連等) を柔軟にフィリタリング 表示結果は、HTML, CSV形式でダウンロード 16 Copyright © 2025, Oracle and/or its affiliates 柔軟なログのフィリタリング 期間やユーザー・クライアント情報、SQLコマンド内の含まれる キーワードを用いた検索などが可能

17. Oracle Audit Vault and Database Firewall アクテビティ・レポート • すべてのアクセス •

    更新や削除といったデータベースの変更操作 • ログイン・ログアウト、ログイン失敗等の認証 • ユーザー作成、権限の付与といったアカウント操作 • ストアド・プロシージャの作成・変更といったプログラム関連 サマリー・レポート • ログ件数、接続クライアントIPやユーザーといったトレンド分析 • 通常の振る舞いとは異なるアクセスに関するアノマリー コンプライアンス・レポート • SOX, PIC, GDPR, HIPAAといった各種コンプライアンス ユーザー独自のカスタムレポート 17 Copyright © 2025, Oracle and/or its affiliates プリセットされた各種レポート

18. Oracle Audit Vault and Database Firewall 18 Copyright © 2025,

    Oracle and/or its affiliates アクテビティ・レポート データアクセス(SELECT) ログイン失敗履歴 スキーマ変更操作

19. Oracle Audit Vault and Database Firewall 直近の監査ログの取得の推移を表示 ユーザやＩＰアドレス等の単位ごとのサマリを表示 19 Copyright

    © 2025, Oracle and/or its affiliates サマリー・レポート その日のアクセスのサマリを表示

20. Oracle Audit Vault and Database Firewall 収集した監査ログのデータに応じた即時アラートメール通知 しきい値と組み合わせた条件でアラート量を調整 • 1分以内にログイン失敗が10回以上

    • 定められたIPやプログラム以外からの機密表へのアクセス SYSLOGによる連携も可能 20 Copyright © 2025, Oracle and/or its affiliates リアルタイム・アラート Audit Vault E-MAIL 管理者 条件： イベント時間 IPアドレス, ホスト名 エラーコード ユーザ名 SQLコマンドなど Alerts

21. Oracle Audit Vault and Database Firewall プロセスの起動情報やポリシー違反したアクセスをSyslog転送 SyslogサーバーやSIEM製品とのアラート情報の連携 イベント情報のカスタマイズ SIEM製品から直接Audit

    Vaultサーバーに接続し、リポジトリのイベント データを参照することも可能 21 Copyright © 2025, Oracle and/or its affiliates Syslog 連携 Syslog アラート・サンプル AVDFAlert@111 name="Sensitive Data Access by DBA" severity="Critical" url=“.........." time="2020-07- 06T07:38:02.209875Z" target="hr" user="[email protected]" desc="Alert me when DBA modifies any data in sensitive tables” Audit Vault Server Syslog SIEM Product

22. Oracle Audit Vault and Database Firewall 収集したログは、オンラインとアーカイブの期間設定したリテンションポリシーで管理 オンラインは、常にWebコンソールからアクセスできるデータ 。期間を超えるとデータは自動的にアーカイブに移行 アーカイブは、データはオフラインのためすぐにアクセスできない。リストアすることで参照可能になる

    オンライン＋アーカイブ期間を超えたデータは自動的に削除される ログは手動で削除することはできず、リテンションポリシーでの削除のみ (最短 オンライン1カ月, アーカイブ0カ月) 22 Copyright © 2025, Oracle and/or its affiliates リテンション・ポリシー 2022年 Jan Feb Mar Apr May June July Aug Sept Oct Nov Dec 2023年 Jan Feb Mar Apr May June July 2024年 Online Archive オンライン+アーカイブ 期間(2年)を超えたものは 自動的に削除 例）リテンションポリシー (オンライン1年、アーカイブ 1年) Aug Sept Oct Nov Dec Audit Vault

23. Oracle Audit Vault and Database Firewall アーカイブ期間のオフラインデータは、外部ストレージへのアーカイブが可能 アーカイブ実行後には、データファイルが外部媒体にコピーされ、ポインタが変更される その際、Audit Vault

    Server内のファイルは削除され領域は解放される アーカイブは手動または自動の選択が可能 アーカイブ期間内であれば、リストアしてデータをオンラインに戻して、参照可能 23 Copyright © 2025, Oracle and/or its affiliates オフラインデータのアーカイブ・リストア 6月 5月 4月 3月 2月 リテンション・ポリシー (オンライン １カ月, アーカイブ3カ月) 削除期間 アーカイブ・リストア可能期間 データ参照期間 外部へデータの移動が可能に (SCP/SMB/NFS) Offline Online Offline Offline Delete

24. Oracle Audit Vault and Database Firewall RMANベースのバックアップ・リストア機能 バックアップ・リストアは、Audit Vault Serverのみに提供されている。DB

    Firewallのバックアップは必要ない Coldの場合、バックアップ中はAV Server停止。HotはAV Serverを起動したままバックアップ Hotバックアップは、アーカイブログの領域(Recovery ディスク・グループ)の増加に注意 24 Copyright © 2025, Oracle and/or its affiliates Audit Vault Serverのバックアップ・リストア Hot Backup 07/01 07/07 ・・・・ バックアップ対象 - 構成ファイル - 全てのアクセスログ 07/04 Restore リストア前にAVSの再インストールを実施 リストアする際は、バックアップ時の Audit Vault Serverのバージョンと 完全に一致していなければならない NFS サーバ 増分バックアップ Cold Backup

25. 25 Copyright © 2025, Oracle and/or its affiliates ライセンス

26. Oracle Audit Vault and Database Firewall 26 Copyright © 2025,

    Oracle and/or its affiliates ソフトウェア・ライセンス Product Packaging License List License Metric Oracle Audit Vault and Database Firewall • Oracle Audit Vault Server • Oracle Database Firewall Server 930,000 1Processor 監視対象データ ベース ※Processor定義によるライセンスカウント方法はOracle Databaseに準拠 OCIの場合、BYOLあり • 1 Processor = 2 OCPUs • 5 Named User Plus = 1 OCPU

27. Oracle Audit Vault and Database Firewall 27 Copyright © 2025,

    Oracle and/or its affiliates ソフトウェア・ライセンス Application Database Audit Vault Server Processors = 4 DB Firewall Server DB Firewall Server Database Processors = 4 Oracle Audit Vault and Database Firewall 930,000 * 8 = 7,440,000円 ※DBFW, AV ServerのCPUに対してのライセンス課金はない

28. 28 Copyright © 2025, Oracle and/or its affiliates Appendix

29. チュートリアル Audit Vault and Database Firewallでデータベースの監査ログを記録する① Audit Vault and Database

    Firewallでデータベースの監査ログを記録する② 29 Copyright © 2025, Oracle and/or its affiliates
30. None