معرفی دیواره آتش پایگاه داده یا دیتابیس فایروال Oracle Audit Vault Database Firewall

امنیت در پایگاه های داده

ایجاد امنیت در پایگاه های داده به یکی از نگرانی های کارشناسان  امنیت اطلاعات تبدیل شده است و دلیل آن نیز این است که اکثر تجهیزات مربوط به امنیت دیتابیس ها به صورت DAM عمل میکنند . تجهیزات DAM یا Database Activity Monitoring داده هایی را که به سمت دیتابیس ها میروند را مانیتور کرده و در صورت برخورد با Query ها مخرب یا غیر عادی اعلانی برای کارشناسان ارسال میکنند.

و یا در صورت استفاده از تجهیزات امنیتی دیگر مانند فایروال ها و UTM ها این تجهیزات قابلیت جلوگیری از حملات تخصصی ندارند.

به همین منظور شرکت Oracle که یکی از بزرگترین کمپانی های ارایه Solution های پایگاه های داده است محصولی را به صورت نرم افزاری ارایه نموده که علاوه بر Audit داده ها ، تجهیز امنیتی است که به صورت DAM و همچنین دیواره آتش پایگاه داده یا دیتابیس فایروال (Database Firewall) قابل استفاده میباشد.

دیواره آتش پایگاه داده یا دیتابیس فایروال (AVDF(Oracle Audit Vault Database Firewall

یکی از امکانات منحصر به فرد این تجهیز امکان ایجاد سیاست های مختلف بر اساس Query میباشد.
این محصول علاوه بر پشتیبانی از  دیتابیس های Oracle از دیتابیس های دیگری مانند MS SQL ، IBM و … نیز پشتیبانی میکند.

سیستم های پشتیبانی شده توسط دیواره آتش پایگاه داده یا دیتابیس فایروال Oracle Audit Vault Database Firewall :

[ninja_tables id=”354102″]

شرح خدمات

دیواره آتش پایگاه داده یا دیتابیس فایروال Oracle Audit Vault/Database Firewall :

  • ارسال لاگ ها به  Syslog(Audit Vault Syslog)
  • ایجاد هشدار دهنده به منظور ارسال ایمیل (Email Notification Service)
  • این تجهیز به شما این قابلیت را میدهد تا فایل های Audit Log را Archive کنید.
  • قابلیت ایجاد Redundancy برای Audit Vault سرور ها (HA Pairing Of Audit Vault Servers)
  • قابلیت ایجاد Redundancy برای دیواره آتش پایگاه داده یا دیتابیس فایروال سرور ها (HA Pairing Of Audit Database Firewall) به این قابلیت در این تجهیزات Resilient میگویند.این قابلیت در مد DAM قابل دسترسی است.
  • قابلیت Backup گیری و همچنین Restore کردن Audit Vault سرور ها (Backing Up And Restoring Audit Vault Servers)
  • قابلیت Repository Encryption :

در ورژن های 12.2 به بعد این قابلیت فعال میباشد.

این قابلیت به شما این امکان را میدهد تا با استفاده از Oracle Database Transparent Data Encryption تمامی دیتا های Audit Vault و دیتاهای ذخیره شده در SAN Storage و همچنین دیتاهای Archive شده را رمزنگاری کنید.

همچنین با استفاده از قابلیت Rotating The Master Key For Encryption میتوانید کلید رمزنگاری خود را بنا به نیاز سازمان در بازه های مختلف تغییر دهید.

  • این قابلیت به شما این امکان میدهد تا قابلیت Oracle Database In-Memory :

با استفاده از این قابلیت شما میتوانید Performance سیستم خود را در بخش های Reporting و Dashboard بالا ببرید .

*قبل از استفاده از این قابلیت لازم است تا میزان Memory مورد نیاز سایر بخش ها چک شود تا مشکلی برای سیستم رخ ندهد.

  • قابلیت AVCLI :

از این قابلیت میتوانید برای مدیریت Audit Vault از طریق Command Line استفاده کنید.

12- سیستم عامل های پیشتیبانی کننده از Agent :

سیستم عامل های Unix , Windows و HP-UX را پشتیبانی میکند. (نیاز به Java SE ورژن 6 یا 7 دارد)

11- قابلیت همگام سازی با ASM ( BIG-IP ASM Integration )

12-قابلیت همگام سازی با  Arcsight ( ArcSight Integration )

مقایسه Solution های مختلف موجود در این زمینه :

این گزارش در سال 2017 توسط کمپانی KuppingerCole Report ارائه شده است.

دیواره آتش پایگاه داده یا دیتابیس فایروال (AVDF(Oracle Audit Vault Database Firewall

همانطور که مشاهده میکنید کمپانی IBM و Oracle جز رهبران این بازار هستند که این موضوع با توجه به برتری آنها در بازار پایگاه های داده به هیچ وجه دور از انتظار نیست.

 

پروسه های مربوط به بعد از نصب و راه اندازی

شرکت مهندسین مشاور تکتاکام ، راهکار هایی جامع و کامل در راستای استاندارد های امنیتی برای مشتریان خود به منظور انجام پروسه های مربوط به بعد از نصب ارائه نموده است.
این راه کار ها شامل طرح های پشتیبانی به صورت ماهانه ، هفتگی و ریموت میباشد.

در این طرح ها با توجه به نیاز های مشتریان روال هایی ترتیب داده خواهد شد تا تجهیزات شامل طرح در بازه های زمانی مختلف بررسی و مشکلات آنها در صورت وجود به کارفرما اطلاع داده شود. این گزارشات بسته به نیاز کارفرما میتواند به صورت گزارشات مستند و یا به صورت گزارش جلسه در محل تنظیم گردد.

همچنین به منظور رفع نیاز های مشتریانی که نیاز به ممیزی یا Advance-Tune تجهیزات خود دارند ، پروسه هایی در نظر گرفته شده تا با انجام آنها مشتریان به حداکثر بازده برسند.

این پروسه ها در قالب فرم هایی به منظور بررسی کانقیگ های فعلی و ارائه راهکارهای مناسب بعد از بررسی فرم ها موجود است و توسط کارشناسان شرکت انجام خواهد شد.

لازم به ذکر است به منظور بررسی کامل طرح فعلی شبکه و مدل قرار گیری تجهیزات لازم است تا کارشناسان شرکت قبل از شروع پروژه ی بهینه سازی مواردی را به صورت مستند جمع آوری نمایند :

  • ساخت مستند مربوط به نحوی Deployment یا قرار گیری تجهیزات مرتبط
  • ساخت مستند مربوط به نحوی جریان یا Flow ترافیک
  • بررسی پالیسی های موجود بر اساس داکیومنت های موجود به صورت Per-Policy
  • بررسی راه کار های موجود برای پشتیبانی گیری از تجهیزات
  • ایجاد یک سناریو Fall-Back و یا بررسی Disaster-scenario فعلی بانک در صورت وجود

در فاز بعدی که مربوط به بهینه سازی تجهیزات میباشد لازم است تا :

  • به منظور جمع آوری اطلاعات مربوط برای Advance Tune نیاز است تا تجهیز حداقل به مدت 1 ماه در مد Auto-Learning قرار گیرد تا بتوان از اطلاعات ذخیره شده در این بازه زمانی به منظور Tune هرچه بهتر تجهیز و دستیابی به حداکثر امنیت و پایداری در سرویس های مربوطه رسید. ( اگر تجهیز قبلا در این حالت قرار گرفته و داده های آن موجود است میتوان از این پروسه صرف نظر نمود)
  • لازم است تا خروجی های مستدات و داده های Auto-Learn بررسی و جوانب کار نیز مورد بررسی قرار گیرد در همین خصوص لازم است تا بعد از انجام این پروسه ها جلساتی با تیم امنیتی و همچنین تیم دیتابیس برقرار گردد تا در حد امکان از مشکلات جلوگیری شود.