Audit des Données pour Vertica
Introduction
Vertica est largement utilisé comme plateforme analytique haute performance. Il alimente de grands entrepôts de données, l’analyse du comportement client et les rapports en temps réel. Ces charges de travail impliquent généralement des données très sensibles : transactions financières, profils clients, métriques opérationnelles et journaux agrégés provenant de plusieurs systèmes. Pour les secteurs réglementés, il ne suffit pas de simplement exécuter des requêtes rapidement. Vous devez également prouver qui a accédé à quelles données, quand et comment.
En pratique, un audit des données pour Vertica comporte typiquement deux couches. La première couche est l’audit natif de Vertica : des composants internes tels que le Data Collector et les vues de surveillance dans le schéma v_monitor qui enregistrent l’activité à l’intérieur de la base de données. La deuxième couche est une plateforme d’audit externe telle que
DataSunrise Activity Monitoring. Elle observe le trafic autour de Vertica, normalise les journaux et transforme les événements de bas niveau en traces lisibles et rapports de conformité.
De plus, pour comprendre comment Vertica s’intègre dans une stratégie de conformité plus large, vous pouvez également explorer les capacités de conformité des données de DataSunrise ainsi que les guides de conformité réglementaire.
Audit des Données Natif pour Vertica
Du côté base de données, Vertica propose plusieurs mécanismes natifs qui forment ensemble sa couche interne d’audit. Les administrateurs peuvent s’appuyer sur le Data Collector pour l’historique des charges de travail et sur les vues de surveillance dans le schéma v_monitor pour les détails des requêtes et des erreurs. Ils utilisent également des fonctions AUDIT orientées licences pour les contrôles de capacité. Bien utilisés, ces outils aident à reconstruire qui a exécuté quelles requêtes et si elles ont réussi. Ils mettent aussi en évidence ce qui a mal tourné lorsqu’elles ont échoué.
Data Collector et Configuration de Surveillance
Pour commencer, le Data Collector est un utilitaire de diagnostic interne qui enregistre par défaut l’historique des sessions et des charges de travail pour toutes les connexions. Il capture des compteurs de performance et des statistiques qui alimentent des vues de surveillance telles que v_monitor.query_requests. Un superutilisateur peut temporairement le désactiver si nécessaire, bien que cela ne soit pas recommandé pour une opération à long terme.
Exemples de modifications de configuration :
-- Désactiver le Data Collector (non recommandé pour du long terme)
SELECT SET_CONFIG_PARAMETER('EnableDataCollector', '0');
-- Réactiver le Data Collector
SELECT SET_CONFIG_PARAMETER('EnableDataCollector', '1');
Dans la plupart des environnements, le Data Collector reste activé. En conséquence, les requêtes d’audit et de surveillance contre v_monitor disposent toujours de données fraîches.
Suivi de l’Activité des Requêtes avec v_monitor.query_requests
La vue principale pour l’audit au niveau des requêtes est v_monitor.query_requests. Elle enregistre chaque requête émise par un utilisateur avec des détails tels que user_name, request_type, un extrait du texte SQL, les horodatages, un indicateur de succès et error_count.
Une requête basique pour inspecter les dernières activités ressemble à ceci :
SELECT
user_name,
request_type,
substr(request, 1, 80) AS request_snip,
success,
error_count,
start_timestamp,
end_timestamp,
request_duration_ms
FROM v_monitor.query_requests
ORDER BY start_timestamp DESC
LIMIT 10;
Comme illustré dans la sortie console Vertica ci-dessous, cette vue fournit un résumé compact de qui a exécuté quelles instructions, si elles ont réussi et combien de temps elles ont duré. Ce niveau de détail suffit pour reconstituer rapidement l’activité récente des utilisateurs.
Investigation des Erreurs avec v_monitor.error_messages
Alors que v_monitor.query_requests résume le nombre de succès et d’erreurs par instruction, Vertica stocke les informations détaillées d’erreur dans v_monitor.error_messages. Cette vue inclut le niveau d’erreur, le code, le texte du message et les horodatages. Elle est donc utile pour comprendre les échecs de connexion, les problèmes de permissions et les erreurs d’exécution.
SELECT
event_timestamp,
user_name,
error_level,
error_code,
message
FROM v_monitor.error_messages
ORDER BY event_timestamp DESC
LIMIT 20;
En combinant v_monitor.query_requests et v_monitor.error_messages, les équipes peuvent voir à la fois ce qu’un utilisateur a tenté de faire et pourquoi cela a échoué. Cette vue combinée est importante pour le dépannage et les enquêtes forensiques.
Fonction AUDIT Orientée Licence
Parallèlement, Vertica propose également une fonction de gestion AUDIT() qui estime la taille des données pour la conformité aux licences en utilisant la même méthode d’échantillonnage que les contrôles de licence. Cela permet la planification de capacité et la gestion des licences.
SELECT AUDIT('database', 'full', 0.05, 0.95);
Cependant, cette fonction est utile principalement pour comprendre l’empreinte de la base de données, et elle ne constitue pas une trace d’audit de sécurité. Dans un contexte de sécurité et conformité, elle doit être mentionnée séparément de la journalisation d’activité.
Limites de l’Audit des Données Natif pour Vertica
Bien que les outils natifs d’audit de Vertica soient puissants pour les administrateurs de base de données, ils présentent des limites pratiques pour les équipes de sécurité et de conformité :
| Domaine | Limite |
|---|---|
| Interface utilisateur et accessibilité | Toute interrogation se fait via des vues système ; il n’existe pas d’interface conviviale ou de tableaux de bord détaillés pour les parties prenantes non DBA. |
| Portée de visibilité | Les données d’audit restent uniquement dans Vertica. Une visibilité multi-bases ou multi-cloud nécessite une agrégation personnalisée et des outils externes. |
| Abstraction des politiques | Il n’existe pas de règles d’audit haut niveau comme « journaliser tous les accès aux tables PII par les sous-traitants ». Les équipes doivent composer manuellement des requêtes et filtres sur les tables système. |
| Opérations multi-environnements | Si vous gérez plusieurs clusters Vertica (test, préproduction, production, régional), chacun maintient ses propres journaux et vues d’audit. La corrélation des activités entre eux est manuelle et sujette à erreurs. |
| Rétention et export | Les organisations doivent concevoir leurs propres politiques de rétention, canaux d’export et alertes au-dessus de v_monitor et des fichiers journaux. |
En conséquence, ces lacunes poussent de nombreuses organisations à compléter les capacités natives de Vertica avec une plateforme dédiée de surveillance et sécurité d’activité des bases de données qui centralise la journalisation, ajoute des politiques de sécurité et automatise les tâches de conformité.
Audit des Données pour Vertica avec DataSunrise
DataSunrise est déployé comme un proxy, un renifleur ou un moniteur basé sur les journaux en amont de Vertica et d’autres bases de données. Il observe le trafic SQL en temps réel, analyse chaque instruction et écrit des événements d’audit structurés dans son propre référentiel. Ces événements peuvent être enrichis avec un contexte tel que utilisateur, rôle, IP client, application et score de risque. Par la suite, ils peuvent être corrélés à travers des plateformes hétérogènes.
De plus, en combinant les journaux natifs de Vertica avec DataSunrise Activity Monitoring, vous conservez la précision des tables système tout en bénéficiant de politiques centralisées, tableaux de bord conviviaux et gouvernance sur plusieurs bases de données.
Architecture d’Intégration
Pour Vertica, un déploiement typique ressemble à ceci :
- Les applications clientes et les outils BI se connectent à un point d’accès proxy DataSunrise au lieu de se connecter directement à Vertica.
- DataSunrise transfère le trafic vers le service Vertica tout en enregistrant chaque requête et réponse.
- Les enregistrements d’audit apparaissent dans les vues Audit ou Traces Transactionnelles de DataSunrise, où ils peuvent être filtrés, exportés et corrélés avec des événements d’autres systèmes.
Parce que DataSunrise fonctionne au niveau réseau et du protocole, aucune modification des schémas Vertica ni des applications n’est requise.
Création d’une Règle d’Audit pour Vertica
Une fois la source de données Vertica enregistrée dans DataSunrise, vous pouvez définir une règle d’audit pour capturer l’activité :
- Créez une nouvelle règle d’audit et sélectionnez la source de données Vertica.
- Configurez la règle pour journaliser toutes les opérations CRUD, ou restreignez-la à des schémas et tables spécifiques contenant des données sensibles découvertes via la découverte de données sensibles.
- Filtrez éventuellement par utilisateurs ou rôles (DBA, utilisateurs de reporting, comptes ETL), plages IP client (VPN vs. interne) ou applications (outils BI vs. jobs batch).
- Choisissez où stocker les événements d’audit, en utilisant le référentiel interne ou une base de données externe.
Cette configuration correspond aux écrans de définition de règles dans DataSunrise, où Vertica est l’instance sélectionnée. Toutes les instructions SQL transitant par le proxy sont visibles dans la grille des résultats.
Consultation des Traces d’Audit dans DataSunrise
Après avoir exécuté des opérations typiques telles que :
SELECT * FROM ds_demo.audit_test; UPDATE ds_demo.audit_test SET full_name = 'ZZZ' WHERE id = 1; DELETE FROM ds_demo.audit_test WHERE id = 2;
DataSunrise enregistre chaque opération avec un contexte riche. Dans les vues Traces Transactionnelles ou Audit, vous voyez typiquement l’horodatage et la durée de chaque requête, le type de base de données et l’instance (Vertica), le nom utilisateur et l’application cliente, l’IP source et les détails de connexion, le texte SQL complet ainsi que les objets affectés, et la règle ayant déclenché la journalisation, par exemple une politique d’audit générale Vertica.
Placée à côté de la capture d’écran console Vertica v_monitor.query_requests, la capture d’écran DataSunrise montre visuellement la même activité, mais dans un format plus accessible et filtrable.
Fonctionnalités Avancées d’Audit avec DataSunrise
Alors que Vertica se concentre sur la journalisation au niveau de l’infrastructure, DataSunrise ajoute des fonctionnalités de sécurité et conformité en sus :
- Surveillance en temps réel et alertes. Déclenchez des alertes lorsqu’on interroge des tables sensibles hors des heures ouvrées, depuis des adresses IP inconnues ou par des comptes non privilégiés. Vous pouvez également les intégrer dans des plateformes SIEM ou SOAR avec d’autres événements DAM.
- Journaux centralisés sur plusieurs bases de données. Corrélez l’activité Vertica avec d’autres plateformes comme PostgreSQL, Hive, Teradata et des entrepôts cloud dans un tableau de bord unique, en utilisant le même cadre Compliance Manager.
- Politiques contextuelles. Définissez des règles telles que « journaliser tous les accès aux schémas analytiques par les comptes sous-traitants » ou « suivre tous les échecs de connexion et changements de privilèges » à l’aide du pare-feu base de données et des politiques d’audit DataSunrise.
- Rétention et export flexibles. Stockez les journaux d’audit dans le référentiel interne ou diffusez-les vers des outils SIEM et SOC pour une rétention longue durée et des analyses avancées.
- Combinaison avec masquage et découverte. Appliquez le masquage dynamique et statique des données sur les colonnes sensibles tout en enregistrant simultanément toutes les tentatives de lecture de données non masquées. Vous pouvez alors corréler les événements d’audit avec les résultats de découverte.
Bénéfices Business et Conformité
Dans l’ensemble, la mise en œuvre d’une stratégie robuste d’audit des données pour Vertica avec DataSunrise apporte des bénéfices tangibles :
| Bénéfice | Ce que cela apporte |
|---|---|
| Amélioration de la réponse aux incidents | Des traces détaillées de l’activité Vertica réduisent drastiquement le temps nécessaire pour comprendre ce qui s’est passé. Elles montrent aussi qui était impliqué et quelles données ont été impactées. |
| Détection renforcée des menaces internes | La surveillance continue des utilisateurs privilégiés et analytiques met en lumière les accès anormaux qui pourraient échapper aux contrôles périmétriques traditionnels. |
| Preuves prêtes pour audit | Les journaux centralisés et rapports préconfigurés facilitent la satisfaction des demandes des auditeurs sans devoir rassembler des artefacts issus de systèmes disparates, notamment associés aux meilleures pratiques de Surveillance d’Activité des Bases de Données. |
| Réduction des charges liées à la conformité | Le reporting automatisé et les politiques de rétention à long terme diminuent la charge manuelle pour les équipes sécurité et conformité. |
| Contrôle unifié sur plusieurs plateformes | Parce que le même déploiement DataSunrise peut couvrir Vertica et d’autres bases, les équipes évitent les solutions ad hoc par plateforme. Elles conservent aussi un modèle de sécurité centré sur les données cohérent. |
Conclusion
Vertica fournit des outils natifs solides pour l’audit des données via le Data Collector et les vues système dans v_monitor, en particulier query_requests et error_messages. Ces fonctionnalités sont idéales pour les DBA et ingénieurs performance qui nécessitent une visibilité technique précise sur les sessions et les requêtes.
Cependant, les fonctionnalités natives seules laissent des lacunes en matière de corrélation, de reporting et de gouvernance à long terme. L’audit des données pour Vertica avec DataSunrise comble ces lacunes en capturant chaque requête et session avec contexte complet, en appliquant des politiques de sécurité en temps réel et en automatisant le reporting de conformité. En combinant les données d’audit natives de Vertica avec la surveillance proxy, le moteur de règles et l’interface de reporting de DataSunrise, vous obtenez une vue complète de l’activité Vertica. Elle reste techniquement précise tout en étant accessible aux équipes sécurité et conformité.
Ainsi, mener un audit des données approfondi pour Vertica est essentiel pour garantir que les données de votre entreprise restent sécurisées, conformes et accessibles. Bien que Vertica offre des capacités d’audit natives solides, l’intégration d’une plateforme avancée comme DataSunrise peut porter votre posture de sécurité à un niveau supérieur. De la surveillance en temps réel aux traces centralisées, rapports et support conformité, DataSunrise répond aux besoins croissants des organisations modernes axées sur les données.
Pour une vue plus globale de l’intégration de l’audit Vertica dans une surveillance centralisée avec DataSunrise, incluant des diagrammes d’architecture et des exemples d’interface, lisez Audit de Base de Données pour Vertica.
