Aurora PostgreSQL Audit Log

Einführung

In der heutigen datengesteuerten Landschaft ist ein richtig konfiguriertes Audit-Log für Amazon Aurora PostgreSQL unerlässlich für Sicherheit, Compliance und operative Überwachung. Laut aktuellen Cybersicherheitsstatistiken bleiben Datenbankeinbrüche und unbefugter Zugriff bedeutende Bedrohungen in allen Branchen, was ein robustes Audit-Logging zu einem kritischen Bestandteil Ihrer Datenbanksicherheitsstrategie macht.

Dieser Leitfaden erkundet die verschiedenen Methoden zur Implementierung und Verwaltung von Amazon Aurora PostgreSQL Audit-Logs, einschließlich nativer PostgreSQL-Protokollierung, pgAudit-Erweiterung, Database Activity Streams und DataSunrise – unsere Lösung für Sicherheit und Compliance.

Native Aurora PostgreSQL Audit Log

Überblick

Aurora PostgreSQL enthält integrierte Protokollierungsfunktionen, die vom Kern der PostgreSQL-Engine geerbt wurden. Diese Protokolle erfassen verschiedene Datenbankereignisse, einschließlich Verbindungen, Trennungen, Fehler, langsame Abfragen und mehr.

Aurora PostgreSQL Audit Log - Hochverfügbarkeitsarchitektur mit Schreib- und Leseinstanzen über Zonen hinweg — Hochverfügbarkeitsarchitektur mit Schreib- und Leseinstanzen über verschiedene Zonen

Konfigurationsparameter

Wichtige Parameter zur Konfiguration von Aurora PostgreSQL-Protokollen sind:

-- Aktivieren der Verbindungsprotokollierung
log_connections = on

-- Aktivieren der Trennungsprotokollierung
log_disconnections = on

-- Protokollierung aller Anweisungen
log_statement = 'all'  -- Optionen: none, ddl, mod, all

-- Protokollierung der Dauer von Anweisungen
log_duration = on

-- Protokollierung von Anweisungen, die länger als die angegebenen Millisekunden dauern
log_min_duration_statement = 1000  -- Protokollierung von Anweisungen, die länger als 1 Sekunde laufen

Diese Parameter können in der AWS RDS Parametergruppe konfiguriert werden, die Ihrem Aurora PostgreSQL-Cluster zugeordnet ist.

Zugriff auf native Protokolle

Auf Aurora PostgreSQL-Protokolle kann über folgende Wege zugegriffen werden:

AWS Management Console:
- Gehe zu Amazon RDS > Datenbanken > Ihr Aurora-Cluster
- Wählen Sie die primäre Instanz > Registerkarte Protokolle & Ereignisse

AWS CLI:

aws rds download-db-log-file-portion --db-instance-identifier your-instance-id --log-file-name postgresql.log

CloudWatch Logs (falls konfiguriert):
- Gehe zu CloudWatch > Protokollgruppen > /aws/rds/instance/your-instance-id/postgresql

pgAudit-Erweiterung

Überblick

Die PostgreSQL Audit-Erweiterung (pgAudit) bietet detailliertere Auditerstellung als das native PostgreSQL-Logging. Sie ermöglicht eine granulare Kontrolle darüber, welche Datenbankaktivitäten protokolliert werden, was sie ideal für Compliance-Anforderungen macht.

Wie im AWS Database-Blog erläutert, bietet pgAudit erheblich erweiterte Protokollierungsfunktionen.

Implementierungsschritte

Aktivieren Sie pgAudit in der Parametergruppe:
```
shared_preload_libraries = 'pgaudit'
```
Erstellen Sie die Erweiterung:
```
CREATE EXTENSION pgaudit;
```

Konfigurieren Sie das Audit-Logging:

Sie können pgAudit auf verschiedenen Ebenen konfigurieren:

Instanzebene:

pgaudit.log = 'ALL'  -- In parameter group

Datenbankebene:

ALTER DATABASE your_database SET pgaudit.log = 'DDL,ROLE,WRITE';

Benutzerebene:

ALTER ROLE your_role SET pgaudit.log = 'READ,WRITE';

Sitzung vs. Objekt-Logging:
- Sitzungsprotokollierung protokolliert alle von einem Benutzer ausgeführten Anweisungen
- Objektprotokollierung protokolliert Vorgänge auf bestimmten Objekten
```
-- Objektprotokollierung aktivieren
pgaudit.role = 'auditor'  -- In parameter group

-- Gewähren Sie Privilegien zum Auditieren role
GRANT SELECT ON my_table TO auditor;
```

Audit-Klassen

pgAudit-Protokolle können so konfiguriert werden, dass sie verschiedene Klassen von Operationen umfassen:

Klasse	Beschreibung	Beispielkommandos
READ	Leseoperationen	SELECT, COPY FROM
WRITE	Schreiboperationen	INSERT, UPDATE, DELETE, TRUNCATE
FUNCTION	Funktionsaufrufe	SELECT my_function()
ROLE	Rollen- und Berechtigungsoperationen	GRANT, REVOKE, CREATE ROLE
DDL	Datendefinitionssprache	CREATE, ALTER, DROP
MISC	Verschiedene Befehle	VACUUM, ANALYZE
ALL	Alle oben genannten	Alle Befehle

AWS Database Activity Streams

Überblick

AWS Database Activity Streams bieten einen nahezu in Echtzeit verfügbaren Stream von Datenbankaktivitäten, der in Sicherheitsüberwachungs- und Auditterminationen integriert werden kann.

Im Gegensatz zu Protokolldateien:

Funktionieren unabhängig von der Datenbank-Engine
Können nicht von Datenbankbenutzern deaktiviert werden
Sind mit AWS KMS verschlüsselt
Können in Echtzeit verarbeitet werden

Aurora PostgreSQL Audit Log - DataSunrise-Audit-Regelsetup, das nach Abfragetypen filtert — DataSunrise-Audit-Regelsetup, das nach Abfragetypen filtert

Implementierungsschritte

Voraussetzungen:
- Konfigurieren Sie Netzwerkvoraussetzungen
- Richten Sie den AWS KMS-Schlüssel ein
Aktivieren Sie die Aktivitätsströme:
- Über die Konsole: RDS > Datenbanken > Ihr Aurora-Cluster > Aktionen > Starten Sie den Datenbankaktivitätsstream
- Wählen Sie Verschlüsselungseinstellungen und Modus (async/sync)
Konfigurieren Sie die Stream-Verarbeitung:
- Richten Sie einen Amazon Kinesis Data Stream-Consumer ein
- Verarbeitung mit AWS Lambda, Amazon Data Firehose, etc.
- Speichern in Amazon S3 oder anderen Zielen
Überwachen und Benachrichtigen:
- Erstellen Sie CloudWatch-Alarme
- Richten Sie automatisierte Benachrichtigungen über SNS ein

Implementierungsbeispiel

Für ein detailliertes Implementierungsbeispiel siehe AWS’s Schritt-für-Schritt-Anleitung, die Folgendes umfasst:

Erstellen von AWS Lambda-Funktionen zur Verarbeitung von Streams
Einrichtung von Warnungen und Benachrichtigungen
Integration mit Systemen zur Sicherheitsinformationen und Ereignisverwaltung (SIEM)

DataSunrise: Erweiterte Audit-Lösung für Aurora PostgreSQL

Für Unternehmen, die erweiterte Audit-Fähigkeiten benötigen, bietet DataSunrise erweiterte Auditing-Funktionen für Aurora PostgreSQL.

Hauptmerkmale

Zentrale Auditverwaltung
Echtzeitüberwachung und -warnungen
Compliance-Berichterstattung für Vorschriften wie GDPR, HIPAA, PCI DSS
Analyse des Benutzerverhaltens
Erweiterte Filterung und regelbasiertes Auditing

Implementierungsschritte

Verbinden Sie sich mit Aurora PostgreSQL

Aurora PostgreSQL Audit Log - Konfiguration einer Aurora PostgreSQL-Datenbankinstanz in DataSunrise — Konfiguration einer Aurora PostgreSQL-Datenbankinstanz in DataSunrise

Richten Sie Audit-Regeln ein

Aurora PostgreSQL Audit Log - Selektive Abfrage-Audit-Regeln, gruppiert nach pgAdmin-Ausschluss — Selektive Abfrage-Audit-Regeln, gruppiert nach pgAdmin-Ausschluss

Audit-Protokolle anzeigen

Aurora PostgreSQL Audit Log - Transaktionale Trail-Einträge für DDL- und DML-Operationen — Transaktionale Trail-Einträge für DDL- und DML-Operationen

Für detaillierte Setup-Anweisungen besuchen Sie den DataSunrise-Audit-Leitfaden.

Vergleich von Audit-Lösungen

Funktion	Native Protokollierung	pgAudit	Datenbankaktivitätsströme	DataSunrise
Komplexität der Einrichtung	Niedrig	Niedrig	Mittel	Mittel
Detaillierungsgrad	Grundlegend	Hoch	Hoch	Sehr hoch
Leistungsbeeinträchtigung	Niedrig-Mittel	Niedrig-Mittel	Niedrig (Async)	Niedrig
Echtzeitüberwachung	Nein	Nein	Ja	Ja
Aufgabentrennung	Nein	Nein	Ja	Ja
Compliance-Berichterstattung	Manuell	Manuell	Manuell	Automatisiert
Kosten	Kostenlos	Kostenlos	AWS-Dienstkosten	Lizenz

Best Practices für Aurora PostgreSQL Audit Log

Definieren Sie Audit-Ziele – Identifizieren Sie die Compliance-Anforderungen für Ihre Datensysteme. Bestimmen Sie essentielle Sicherheitsereignisse zur Überwachung. Legen Sie wichtige operative Metriken fest, die verfolgt werden müssen.
Implementieren Sie Defense in Depth – Setzen Sie mehrere Audit-Mechanismen für eine umfassende Abdeckung ein. Erstellen Sie eine klare Trennung der Aufgaben zwischen Systemrollen. Schützen Sie Audit-Protokolle vor Manipulationen mithilfe sicherer Speichermethoden.
Optimieren Sie die Leistung – Überwachen Sie, wie sich die Protokollierung auf die Systemgeschwindigkeit auswirkt. Passen Sie die Detailebenen der Protokollierung nach Bedarf an. Implementieren Sie Rotation und Archivierung zur Verwaltung der Protokolldatenmengen.
Überprüfen und warnen – Untersuchen Sie regelmäßig Protokolle auf ungewöhnliche Muster. Richten Sie automatische Warnungen für verdächtige Aktivitäten ein. Erstellen Sie Dashboards zur Visualisierung wichtiger Sicherheitsmetriken.
Speicherung und Aufbewahrung – Definieren Sie die Dauer, für die Audit-Daten aufbewahrt werden müssen. Implementieren Sie manipulationssichere Speicherlösungen. Balance zwischen Compliance-Anforderungen und praktischen Speicherbeschränkungen.

Fazit

Effektives Audit-Logging für Aurora PostgreSQL erfordert einen gut strukturierten Ansatz, der Sicherheit, Compliance und betriebliche Effizienz gewährleistet. Durch die Nutzung der integrierten Protokollierung von PostgreSQL, der pgAudit-Erweiterung, AWS Database Activity Streams und fortschrittlicher Drittanbieterlösungen wie DataSunrise können Organisationen ein robustes Audit-Framework etablieren.

Unabhängig davon, ob Ihre Priorität Compliance, Sicherheitsüberwachung oder ein tieferer operativer Einblick ist, bietet DataSunrise die notwendige Sichtbarkeit und Kontrolle, um Ihre Aurora PostgreSQL-Umgebung zu schützen. Fordern Sie noch heute eine Demo an, um zu sehen, wie DataSunrise Ihr Datenbank-Auditing und die Sicherheit verbessern kann.