Startseite
Anleitungen | DataSunrise
Auditierung administrativer Aktionen in Ihrem Oracle RDS und EC2

Auditierung administrativer Aktionen in Ihrem Oracle RDS und EC2

Wie man die DataSunrise CloudFormation-Vorlage von Launch Configuration (LC) zur Launch Template (LT) Ressource in der Auto Scaling Gruppe migriert Wie man DataSunrise-Ereignisse über einen eingehenden Webhook an einen Microsoft Teams-Kanal sendet, indem man Abonnenten nutzt Wie man die Audit-Datenbankdaten zu AWS S3 auslagert und mit dem AWS Athena-Dienst liest Konvertieren Sie die Test- oder BYOL-Konfiguration von DataSunrise zu stundenweiser Abrechnung PostgreSQL (RDS) vs Aurora PostgreSQL So beheben Sie Fehler wie „Verbindung wurde beendet“ oder „Verbindung wurde unerwartet beendet“ in Anwendungen, die DataSunrise-Proxys verwenden DataSunrise’s Leistung unter hohen Verkehrsbedingungen DataSunrise’s Ansatz zur Konfiguration von Strafen für die Erkennung von SQL-Injection Wie man spezifische Hosts in DataSunrise für erhöhten Datenbank-Schutz blockiert Fehlerbehebung bei AWS Metering und stundenbasierten Abrechnungsproblemen in DataSunrise auf dem AWS Marketplace Wie man Änderungen an Cloud Formation durchführt Dynamische Datenmaskierung mit DataSunrise: Maskierung mit Lua-Skripten Wie wählt man die richtige Datenbank für Audit-Speicher: Eine Leistungsanalyse Wie man pgbench durch den DataSunrise-Proxy auf PostgreSQL 14 mit SCRAM-Authentifizierung ausführt DataSunrise SSO-Authentifizierung basierend auf SAML (Okta) DataSunrise SSO-Authentifizierung basierend auf OpenID (Okta) Umfassender Leitfaden, wie man nach sensiblen Daten in Bildern sucht, die auf AWS S3 gehostet werden Wie man DataSunrise mit Terraform-Template auf Azure bereitstellt DataSunrise mit SQL Server Always On Cluster integrieren Wie man DataSunrise in Microsoft Azure mithilfe des Azure Resource Manager bereitstellt Wie man DataSunrise Statische Datenmaskierung für MongoDB durchführt Wie man DB-Audit-Trails für MS Azure MySQL konfiguriert Konfigurieren von DB-Audit-Trailing für MS Azure PostgreSQL So konfigurieren Sie DataSunrise zur Maskierung von Daten für Amazon Athena Wie man die RHEL-OS-Version bestehender DataSunrise-Server aktualisiert Wie man DataSunrise mit AWS Database Activity Streams integriert, um Auditergebnisse für AWS Aurora PostgreSQL zu erhalten SSL-Zertifikate für den DataSunrise-Datenbank-Proxy einrichten Berichte in DataSunrise: Wichtige Systeme zur Verbesserung der Datenbanksicherheit Wie man Schemas für Benutzer in Redshift versteckt AWS RDS PostgreSQL Audit Protokolle in DataSunrise Auditierung administrativer Aktionen in Ihrem Oracle RDS und EC2 Wie man überprüft, ob DataSunrise Traffic empfängt Entfernen einer Prozedur oder Funktion aus einer Datenbank

Vorwort

Amazon Relational Database Service (Amazon RDS) ist ein Webservice, der das Einrichten, den Betrieb und das Skalieren einer relationalen Datenbank in der AWS-Cloud erleichtert. Es bietet eine kosteneffiziente, skalierbare Kapazität für eine relationale Datenbank nach Industriestandard und verwaltet gängige Aufgaben der Datenbankadministration.

DataSunrise ist ein AWS Advanced Technology Partner, der auf Sicherheit bei Datenschutz und Verschlüsselung sowie weiteren von AWS validierten Qualifikationen zertifiziert ist. DataSunrise kann lokal oder auf einem EC2-Rechner oder als Cluster auf mehreren EC2-Instanzen, in einer virtuellen Maschine oder auf Bare-Metal betrieben werden. Die DataSunrise Daten- und Datenbanksicherheitssuite (DataSunrise) für alle Arten von Amazon RDS fungiert als Anwendungsschutz-Firewall (DAF) und agiert als Man-in-the-Middle für alle Sitzungen, Abfragen und Befehle von jeglichen Kunden zu einer Amazon RDS Instanz. Da DataSunrise die Software und keine SaaS-Lösung ist, sind Sie dafür verantwortlich, Ihre DataSunrise-Instanz richtig einzurichten und zu konfigurieren.

Das primäre Ziel dieses Artikels ist es, den Ansatz zu erläutern, wie die Aktivität privilegierter Konten auditiert werden kann. Wir werden sehen, wie DataSunrise so eingerichtet wird, um DBA-Aktivitäten in Oracle RDS zu auditieren. Jedoch gelten alle allgemeinen Schritte für jede Amazon RDS Instanz.

Übersicht über Oracle RDS und Voraussetzungen

Wie Sie wahrscheinlich wissen, unterstützt Amazon RDS den Zugriff auf Datenbanken mit jeder standardmäßigen SQL-Clientanwendung und erlaubt keinen direkten Host-Zugang per SSH usw. Diese Architektur erlaubt es nicht, Datenbankagenten in Amazon RDS zu installieren und schränkt den Einsatz mächtiger DBA-Berechtigungen wie SYSDBA ein. Amazon RDS verwendet ein Modell der geteilten Verantwortung, das einen direkten menschlichen Eingriff in die Plattform ausschließt. Mit Amazon RDS können jedoch Aufgaben auf leicht andere und einheitliche Weise durchgeführt werden. Beispielsweise kann ein DBA auf Datenbankprotokolle zugreifen oder Amazon RDS Instanzen mit Snapshots über die AWS Management Console, AWS CLI oder RDS API sichern. Auf der anderen Seite können Sie nicht mit SSH- oder RDP-Verbindungen auf Amazon RDS zugreifen, um datenbank- oder OS-bezogene (und wahrscheinlich schädliche) Aktivitäten durchzuführen. Bitte beachten Sie, dass mit der erforderlichen IAM-Rolle Ihre Amazon RDS Instanz modifizieren und verwalten können, um Ihre Systemanforderungen zu erfüllen, ohne sich über SSH/RDP mit Amazon RDS verbinden zu müssen.

Ein wichtiger Aspekt betrifft Oracle SYSDBA und ähnliche Berechtigungen/Rollen. Die SYSDBA-Rolle ist nur dem RDSADMIN-Benutzer zugewiesen (AWS verwendet den „rdshm“-OS-Benutzer) und das RDSADMIN-Passwort ist unbekannt. Auch bei Oracle RDS kennen Sie das Passwort des SYS-Benutzers nicht. Das bedeutet:

Sie können sich nicht mit RDSADMIN oder SYS-Benutzer zu Ihrem Oracle RDS verbinden;
Ihre Datenbankbenutzer können keine SYSDBA- oder andere leistungsstarke Rollen der Oracle-Datenbank erhalten;
Sie können sich nicht remote mit einer Oracle RDS-Instanz verbinden, die SYSDBA oder andere leistungsstarke Rollen der Oracle-Datenbank verwendet.

Diese eingeschränkten Berechtigungen sichern und schützen jede einzelne RDS-Instanz. Oracle RDS erstellt für Sie einen eingeschränkten DBA-Benutzer (z.B. „admin“-Benutzer standardmäßig), sodass Sie mit diesem Benutzer eine Verbindung zur Oracle RDS-Instanz herstellen können. Später können Sie einen weiteren Benutzer erstellen und dieser neue Benutzer erhält nicht mehr Berechtigungen als Ihr „admin“-Benutzer. Auch dies steht im Zusammenhang mit dem Managementmodell der geteilten Verantwortung in AWS. Das Amazon RDS-Team hat diese rote Linie gesetzt, die Sie nicht überschreiten können.

Wir werden die Einrichtung von Oracle RDS außerhalb des Umfangs dieses Artikels belassen. Um mit den nächsten Schritten fortzufahren, benötigen Sie eine betriebsbereite Oracle RDS Instanz. und wir hoffen, dass Sie ein neues Oracle RDS starten können oder bereits Zugriff auf eine bestehende Oracle RDS Instanz haben. Wenn Sie wissen möchten, beste Praktiken für den Betrieb von Oracle RDS zu finden, konsultieren Sie bitte die AWS-Dokumentation.

Im nächsten Abschnitt betrachten wir, was zur Überprüfung von DBA-Aktivitäten verfügbar ist.

DBA-Aktivität auf Oracle RDS und Audit-Optionen

Die Einschränkungen von RDS-Instanzen werfen viele Fragen auf, wie man DBA-spezifische Aktionen wie ALTER SYSTEM, CREATE USER, DROP DATABASE usw. auditiert. Und wie können Sie diese internen RDS-Benutzer wie RDSADMIN auditieren? Ok, lassen Sie uns alle verfügbaren Optionen überprüfen.

Sie können interne RDS-Aktivitäten mit Datenbank-Protokolldateien von Amazon RDS einsehen Sie können Datenbankprotokolle über die Amazon RDS-Konsole, die AWS-CLI oder die Amazon RDS API RDS API anzeigen, herunterladen und beobachten. Amazon bietet einen Point-In-Time Recovery-Dienst und behauptet, dass RDS Transaktionsprotokolle für DB-Instanzen alle 5 Minuten nach Amazon S3 hochlädt . Protokolldateien der Datenbank und der CloudTrail-Dienst helfen beide, die RDSADMIN-Benutzeraktivität zusammen mit zusätzlichen Informationen über Oracle RDS-Ereignisse zu analysieren. All diese Optionen sind gut, bis Sie die Überwachung und Alarmierung von Echtzeit-Transaktionen benötigen.
Mit DAF-Instanzen, die auf separaten EC2-VMs ausgeführt werden, können Sie alle Sitzungen und Abfragen auditieren, die über Ihre Amazon RDS-Instanz laufen. Der Zweck von DAF-Instanzen besteht darin, Ihr Datenbankschutz zu werden, und da Sie die DBA-Aktivität überwachen müssen, sehen wir uns diese Option weiter im Detail an. Mit DatenSunrise-Instanzen auf EC2-Rechnern können Netzwerkaktivitäten zu Amazon RDS überwacht und gesichert werden.

Übersicht und Voraussetzungen für DataSunrise auf AWS

Die Einrichtung und Konfiguration gesicherter DataSunrise-Instanzen umfasst mehrere wichtige Schritte. Um Ihre gesicherten DataSunrise-Instanzen in der AWS-Umgebung vorzubereiten, folgen Sie bitte den Schritten, die in unserem DataSunrise AWS-Sicherheitsbest-Practice-Dokument beschrieben sind. Einige Schritte sind unter anderem die folgenden:

Weisen Sie Ihren EC2-Instanzen mit DataSunrise-Instanzen die richtigen IAM-Rollen zu;
Erstellen und weisen Sie Sicherheitsgruppen (VPC Security Groups) Ihrer Amazon RDS Instanz und EC2-Instanzen mit DataSunrise-Software zu;
Verwenden Sie gesicherte und eindeutige Passwörter für jedes Konto.

Die unten abgebildete Architektur besteht aus einer Datenbankinstanz (RDS oder auf einer EC2-Instanz) hinter DAF, einer separaten Audit-Speicherdatenbank (RDS oder auf einer EC2-Instanz) und einer DataSunrise-Instanz, die als Proxy-Server für Benutzerverbindungen dient.

Als Option bietet DataSunrise CloudFormation-Skripte zur Bereitstellung in AWS gesicherte und kosteneffiziente Sicherheitslösungen für Datenbanken. Nach der Erstellung Ihrer Amazon RDS Instanz automatisieren diese Skripte alle notwendigen Aufgaben, um EC2-Instanzen bereitzustellen, DataSunrise auf diesen EC2-Instanzen zu installieren und Amazon Load Balancer zu konfigurieren sowie alle weiteren notwendigen AWS-Ressourcen zu erstellen. Wir werden die CloudFormation-Option überspringen und mit einem einzelnen EC2-Instanz-Szenario fortfahren. Wir haben Videos vorbereitet, wie man eine DataSunrise Instanz installiert. Bitte sehen Sie sich eines der Videos an und folgen Sie den erforderlichen Schritten:

DataSunrise auf Linux installieren https://www.youtube.com/watch?v=FWoGY2qc0F8
DataSunrise auf Windows installieren https://www.youtube.com/watch?v=wKlFUdUUbSE

Am Ende des Installationsprozesses sollte Ihre DataSunrise-Instanz über Ihren Webbrowser zugänglich sein. Sie benötigen eine betriebsbereite DataSunrise Instanz, damit Sie auf Ihre DataSunrise-Instanz Webkonsole mit den erforderlichen Berechtigungen zugreifen können.

Eine weitere Voraussetzung ist die Datenbankkonfiguration, die Sie in der DataSunrise-Instanz erstellen sollten, um einen Proxy für Amazon RDS zu starten. Bitte schlagen Sie im DataSunrise Benutzerhandbuch nach, Abschnitt „3.1 Erstellen eines Ziel-Datenbankprofils und eines Proxys“ und Abschnitt „5.1.6 Erstellen der für das Abrufen von Datenbank-Metadaten erforderlichen Datenbankbenutzer“. Da die DataSunrise im Proxy-Modus als Man-in-the-Middle durch Abfangen aller nicht-AWS-TCP-Pakete zur Amazon RDS-Instanz fungiert, können Sie denselben Standard-Oracledatenbankport 1521 verwenden, da die DataSunrise-Instanz auf einer anderen EC2-Instanz läuft. Stellen Sie schließlich sicher, dass Ihre Amazon RDS Instanz von keiner anderen nicht-AWS IP / keinem anderen Namen und Port außer über die DataSunrise-Instanz verfügbar ist. All diese Schritte stellen sicher, dass alle Ihre Client-Anwendungen nur über Ihre DataSunrise-Instanz auf Ihre Oracle RDS Instanz zugreifen können.

Konfiguration von DataSunrise zur Auditierung von DBA

Wie bereits erwähnt, erhalten Sie beim Erstellen Ihres Oracle RDS ein eingeschränktes DBA-Konto und dessen Passwort, standardmäßig bietet Oracle RDS den „admin“-Datenbankbenutzer, um auf Ihre Instanz zuzugreifen. Und wie Sie sich erinnern, deaktiviert Amazon RDS die SYSDBA-Berechtigung für Sie. Und das begrenzt den möglichen Bereich potenzieller Bedrohungen gegen eine Amazon RDS-Instanz. Wenn Ihr Oracle RDS von Ihrem Desktop-Rechner aus zugänglich ist, versuchen Sie, sich als SYSDBA mit Ihrem Oracle RDS zu verbinden, um zu beweisen, dass dies zutrifft. Unten finden Sie ein Beispiel.

Sie werden sehen, dass keine SYSDBA-, SYSOPER- oder andere SYS-bezogene Berechtigungen in Oracle RDS entweder unter Verwendung von TCP oder SSH verfügbar sind.

Daher müssen Sie darauf achten, Netzwerkverbindungen – also Remoteverbindungen – mit dem richtigen Werkzeug, wie zum Beispiel DataSunrise DAF, zu auditieren. Wir werden die DataSunrise-Instanz so konfigurieren, dass jede Art von Aktionen, die Ihr DBA remote mit einer Amazon RDS-Instanz durchführen kann, erfasst werden.

Zusammenfassung der nächsten Schritte

Um DBA-Aktionen zu auditieren, führen wir die folgenden Schritte aus:

Identifizieren Sie Ihre DBA-Benutzernamen/Konten. DataSunrise speichert Datenbankbenutzer unter seinem Konfigurationsmenü. Wenn Sie mehr als einen DBA haben, erstellen Sie eine neue Datenbankbenutzergruppe unter Konfiguration → Datenbankbenutzer. In unserem Beispiel verwenden wir den vom Oracle RDS generierten DBA namens „admin“.
Erstellen Sie mit Konfiguration → Objektgruppen einen neuen Eintrag und fügen Sie ein einzelnes Element mit regulärem Ausdruck „.*“ hinzu.
Erstellen Sie eine neue Audit-Regel, um Datenbankbenutzer und Abfragegruppe einzuschließen, um DBA-Aktivitäten zu auditieren.
Prüfen Sie die DBA-Aktivität in der DataSunrise-Instanz

1. Identifizieren und konfigurieren Sie Ihre DBA-Benutzer in DataSunrise

Gehen wir alle diese Schritte durch. Erstens überprüfen wir unter Konfiguration → Datenbankbenutzer, ob der „admin“-Benutzer in unserer DataSunrise-Instanz bekannt ist. Falls DataSunrise keinen Eintrag hat, erstellen Sie den Benutzer „admin“ manuell. Wenn Sie mehrere Oracle RDS-Instanzen und denselben „admin“-DBA-Benutzernamen verwenden, können Sie die Instanz <Any> wählen. Bitte vergessen Sie nicht, jeweils den Speichern-Button zu drücken, um Ihre Einstellungen zu speichern.

In dem obigen Bild haben wir den ADMIN-Benutzer erstellt und ihn zur DBA-Teamgruppe hinzugefügt. Wenn Sie mehrere DBA-Benutzer erstellt haben, fügen Sie diese der Benutzerguppe „Oracle DBA Team“ in der DataSunrise-Instanz hinzu.

2. Konfigurieren Sie eine neue Abfragegruppe

Der zweite Schritt – wir erstellen unsere neue Abfragegruppe „AnyQuery“ und fügen nur einen Eintrag „.*“ in das Abfrageelement ein. Bitte beachten Sie die Einstellungen auf dem Bild unten.

Wenn Sie eine neue Abfrage für die Abfragegruppe erstellen (siehe die Schaltfläche „Hinzufügen“ auf dem Bild), aktivieren Sie bitte das Kontrollkästchen „Regulärer Ausdruck“.

An diesem Punkt haben wir den Datenbank-Benutzer „ADMIN“, die Benutzergruppe „Oracle DBA Team“, die in der DataSunrise-Instanz registriert ist, und unsere Abfragegruppe „AnyQuery“ mit einer Abfrage, die das reguläre Ausdrucksmuster „.*“ enthält, um jede Abfrage zu matchen. Halbwegs geschafft.

3. Erstellen und konfigurieren Sie eine neue Prüfvorschrift

Als nächstes werden wir eine neue Prüfvorschrift mit dem Namen „Oracle: Admin-Abfragen“ basierend auf dem, was wir in der DataSunrise-Instanz erstellt haben, erstellen. Bitte öffnen Sie die Web-Konsole und geben Sie Audit → Regeln ein. Klicken Sie auf Erstellen, um die neuen Regeln zu erstellen. Bitte beachten Sie die Details auf den Bildern unten.

Wir werden die Filteranweisungen und den Abfragegruppe-Tab auf der Seite verwenden, um unsere Regel mit den entsprechenden Einstellungen, die wir zuvor gemacht haben, zu verbinden. Details finden Sie in den folgenden Bildern.

Wenn Sie die Benutzergruppe „Oracle DBA Team“ für den DB Benutzergruppe-Sitzungsparameter auswählen, sorgt DataSunrise dafür, dass jede Sitzung von jeglicher IP / jedem Host, der einen Benutzernamen in der Liste der „Oracle DBA Team“ hat, erfasst wird. Wenn Sie ein weiteres Datenbankbenutzerelement zur „Oracle DBA Team“ Benutzergruppe hinzufügen, wird diese Regel diesen neuen Benutzer in dieser Regel automatisch überprüfen. Und da Sie den Tab Abfragegruppe auf der Seite Prüfvorschrift verwenden und „AnyQuery“ dort ausgewählt haben, wird DataSunrise jede Ausdrucks- oder Abfrage, die Ihr DBA-Team über die DataSunrise-Instanz ausführt, überprüfen. Später werden Sie diese Ereignisse unter Audit → Transaktionsprotokolle sehen.

Zusätzlich und optional können Sie Prüfvorgangdetails mit einem externen SIEM über das Syslog-Protokoll senden oder Alarme an andere externe Systeme (SMTP/E-Mail, Jira, ZenDesk, Instant Messenger) weiterleiten. Um eine Verbindung zu einem Syslog-kompatiblen Server zu konfigurieren, navigieren Sie zu Konfiguration → Syslog-Einstellungen und konfigurieren die erforderlichen Einstellungen auf dieser Seite. Weitere Details finden Sie in unserem Benutzerhandbuch in den Abschnitten „7.7 Syslog-Einstellungen (CEF-Gruppen)“ und „10.6 Syslog-Integrationseinstellungen“. Um Alarmmeldungen an andere als Syslog-Empfänger zu senden, fügen Sie neue Elemente zu Abonnenten hinzu (Web-Konsole: Konfiguration → Abonnenten → Server hinzufügen… Menüeintrag Abonnent hinzufügen). Weitere Informationen zu den Abonnenten finden Sie im Abschnitt „7.5 Abonnenteneinstellungen“ des DataSunrise-Benutzerhandbuchs. Später können Sie die Syslog-Einstellungen und/oder Abonnenten in Ihren DataSunrise-Regeln verwenden (siehe erstes Bild oben); bitte konsultieren Sie die entsprechenden Abschnitte im DataSunrise-Benutzer- und Administratorhandbuch. Wenn konfiguriert, können Sie Ihre Syslog und Abonnent Gegenstände in Ihre Prüfvorschrift aufnehmen. Bitte vergessen Sie nicht, die Speichern-Schaltfläche auf der Seite der Prüfvorschrift zu klicken, um die neuen Einstellungen zu speichern.

Nicht zu vergessen, haben wir Abfragetypen ausgewählt, die wir auditieren müssen (und wahrscheinlich einige Menschen mit Warnungen benachrichtigen), für eine konkrete Amazon RDS Instanz oder mehrere Instanzen, wenn sie „<ANY>“ Element im Dropdown-Menü für die Instanz auswählen Regel. Es gibt mehrere Optionen, um die typische Abfragen wie DBMS-Tools unterlassen zu auditieren. Für weitere Informationen konsultieren Sie bitte die Abschnitte „6.4.2 Abfragegruppen-Filter“ im DataSunrise-Benutzerhandbuch im Zusammenhang mit dem Parameter der Regeln Überspringen von Abfragegruppen.

4. Überprüfen Sie die DBA-Aktivität in der DataSunrise-Instanz

Um zu überprüfen, dass unsere neue Prüfvorschrift Abfragen aufzeichnet, werden wir die Abfragen CREATE USER und DROP USER mit dem Oracle SQL Developer-Tool ausführen. Wir werden uns mithilfe der DataSunrise-Instanz mit der Oracle RDS Instanz verbinden.

Danach können wir die Transaktionsprotokolle der DataSunrise-Instanz überprüfen.

Da wir die Option Ereignis im Speicher aufzeichnen in unserer Prüfvorschrift gesetzt haben, können wir diese Ereignisse im

Audit → Transaktionsprotokolle-Seite in unserer DataSunrise-Instanz-Webkonsole finden.

Anmerkungen zu EC2 mit Oracle-Datenbank-Instanz

Es gibt einige Überlegungen bei der Verwendung von Datenbank-Instanzen auf Amazon EC2-Instanzen zusammen mit DataSunrise. Da Sie diese Instanzen einrichten und konfigurieren, können sie lokale Verbindungen (SSH, RDP usw.) oder Fernverbindungen (Datenbank-TCP) zulassen, die die DataSunrise-Instanz (oder Ihren Load Balancer) umgehen. Solche Verbindungen müssen streng eingeschränkt werden, um das maximale Maß an Sicherheit und Management zu gewährleisten. In Ihrem VPC empfehlen wir, strikte Regeln mit Sicherheitsgruppen und Netzwerk-ACLs zu implementieren. Das Ziel all dieser Einschränkungen sollte darin bestehen, den direkten Zugriff auf Ihre Datenbank-Instanz von jedweder IP oder Netzwerk zu eliminieren und diesen nur über die DataSunrise-Instanz auf Ihrer EC2-Instanz auf den Datenbankport zu beschränken.

Den nächsten Schritte können Sie im Abschnitt „Konfiguration der DataSunrise-Einstellungen“ in diesem Artikel nachlesen. Und während Sie möglicherweise immer noch darüber nachdenken, wie Sie Ihre potenziell schädlichen SYSDBA- (und ähnlichen) Rollen auditieren können, werden wir die Prüfungsfähigkeiten von DataSunrise untersuchen, um Ihnen zu helfen.

Ab DataSunrise 6.2 können Sie Sitzungsparameter in Sitzungsfilter-Bedingungen einbeziehen. Im Folgenden sehen Sie unsere Prüfvorschrift mit der Bedingung zur Auditierung von SYSDBA und ähnlichen Berechtigungen zusätzlich zur „Oracle DBA Team“ in DB Benutzergruppe. Wir gehen davon aus, dass wir unsere DataSunrise-Instanz so konfiguriert haben, dass sie die auf einer EC2-Instanz laufende Oracledatenbank schützt und es keine andere Möglichkeit gibt, aber nur durch die DataSunrise-Instanz im Proxymodus darauf zuzugreifen.

Da unser DAF die Oracledatenbank auf EC2 schützt, werden wir versuchen, über den DataSunrise-Proxy eine Verbindung zu Oracle herzustellen. Auf den folgenden Bildern stellen wir über die DataSunrise-Instanz eine Verbindung mit der Datenbank her, indem wir den Oracle SQL Developer verwenden und den Benutzernamen „sys“ und die SYSDBA-Rolle nutzen. Wir weisen darauf hin, dass dies in unserer Oracledatenbank-Instanz erlaubt ist. Siehe das Verbindungstestergebnis auf dem folgenden Bild.

Wenn der Test erfolgreich war, können wir einige Abfragen auf dieselbe Weise ausführen, wie wir es bereits früher im Abschnitt „Konfiguration von DataSunrise zur Prüfung von DBA“ dieses Artikels getan haben. Der Oracle SQL Developer wird Abfragen über die DataSunrise-Instanz ausführen. Danach können wir in der DataSunrise-Webkonsole Audit → Transaktionspfade oder Sitzungspfade überprüfen, um alle „sys“-Benutzerabfragen und Sitzungen zu sehen. Unsere Prüfvorschrift erfasst den „sys“ Datenbankbenutzer, obwohl dieser bestimmte Benutzer nicht in der Liste unseres früher in der DataSunrise-Instanz erstellten „Oracle DBA Team“ ist. Wenn wir Audit → Sitzungspfade und ein bestimmtes Element öffnen, sehen wir, dass die DataSunrise-Instanz detaillierte Informationen über Oracle-Datenbankrollen sowie andere nützliche Informationen speichert.

Auf diese Weise haben wir die DataSunrise-Instanz so konfiguriert, dass jede DBA-Aktivität, einschließlich SYSDBA und ähnlichen Systemberechtigungen, die die Oracle-Datenbank hat, auditiert wird.

Fazit

Wir haben gesehen, dass Oracle RDS weniger Aufwand erfordert, um die Oracledatenbank-Instanz zu sichern und die DBA-Aktivität zu auditieren. Auf EC2-Instanzen erfordert es, die Ärmel hochzukrempeln und Sitzungsparameter zu setzen, und dank DataSunrise Version 6.2 können Sie die eingebauten Rollen der Oracle-Datenbank auditieren. Für weitere Informationen konsultieren Sie bitte das DataSunrise-Benutzerhandbuch und die beigefügten Verweise.