Audit dei Dati per Vertica
Introduzione
Vertica è ampiamente utilizzato come piattaforma analitica ad alte prestazioni. Alimenta grandi data warehouse, analisi del comportamento dei clienti e reportistica in tempo reale. Questi carichi di lavoro solitamente coinvolgono dati altamente sensibili: transazioni finanziarie, profili dei clienti, metriche operative e log aggregati da più sistemi. Per le industrie regolamentate, eseguire semplicemente le query rapidamente non è sufficiente. È necessario anche dimostrare chi ha effettuato l’accesso a quali dati, quando e come.
In pratica, un audit dei dati per Vertica ha tipicamente due livelli. Il primo livello è l’auditing nativo di Vertica: componenti interni come il Data Collector e le viste di monitoraggio nello schema v_monitor che registrano l’attività all’interno del database. Il secondo livello è una piattaforma di audit esterna come
DataSunrise Activity Monitoring. Questa osserva il traffico attorno a Vertica, normalizza i log e trasforma eventi a basso livello in tracce leggibili e report di conformità.
Inoltre, per vedere come Vertica si inserisce in una strategia di conformità più ampia, è possibile esplorare anche le capacità di conformità dati di DataSunrise e le linee guida per la conformità normativa.
Audit dei Dati Nativo per Vertica
Dal lato database, Vertica fornisce diversi meccanismi nativi che insieme costituiscono il suo livello di audit interno. Gli amministratori possono affidarsi al Data Collector per la cronologia dei carichi di lavoro e alle viste di monitoraggio nello schema v_monitor per dettagli su query ed errori. Usano anche funzioni AUDIT orientate alla licenza per i controlli di capacità. Se usati correttamente, questi strumenti aiutano a ricostruire chi ha eseguito quali query e se sono andate a buon fine. Evidenziano anche cosa non ha funzionato quando non sono state eseguite correttamente.
Data Collector e Configurazione del Monitoraggio
Per cominciare, il Data Collector è un’utilità diagnostica interna che registra, per impostazione predefinita, sessioni e cronologia dei carichi di lavoro per tutte le connessioni. Cattura contatori di prestazioni e statistiche che alimentano viste di monitoraggio come v_monitor.query_requests. Un superutente può disabilitarlo temporaneamente se necessario, anche se ciò non è raccomandato per operazioni a lungo termine.
Esempi di modifiche alla configurazione:
-- Disabilita Data Collector (non raccomandato per il lungo termine)
SELECT SET_CONFIG_PARAMETER('EnableDataCollector', '0');
-- Riabilita Data Collector
SELECT SET_CONFIG_PARAMETER('EnableDataCollector', '1');
Nella maggior parte degli ambienti, il Data Collector rimane abilitato. Di conseguenza, le query di audit e monitoraggio su v_monitor hanno sempre dati aggiornati.
Monitoraggio dell’Attività di Query con v_monitor.query_requests
La vista principale per l’audit a livello di query è v_monitor.query_requests. Registra ogni richiesta emessa dall’utente con dettagli come user_name, request_type, un estratto del testo SQL, timestamp, flag di successo e conteggio errori.
Una query base per ispezionare l’attività più recente è la seguente:
SELECT
user_name,
request_type,
substr(request, 1, 80) AS request_snip,
success,
error_count,
start_timestamp,
end_timestamp,
request_duration_ms
FROM v_monitor.query_requests
ORDER BY start_timestamp DESC
LIMIT 10;
Come mostrato nell’output della console di Vertica qui sotto, questa vista fornisce un riassunto compatto di chi ha eseguito quali istruzioni, se sono state eseguite con successo e quanto tempo hanno impiegato. Questo livello di dettaglio è sufficiente per ricostruire rapidamente l’attività utente recente.
Indagine sugli Errori con v_monitor.error_messages
Mentre v_monitor.query_requests riassume contatori di successi e errori per ogni istruzione, Vertica conserva informazioni dettagliate sugli errori in v_monitor.error_messages. Questa vista include livello errore, codice, testo del messaggio e timestamp. Di conseguenza è utile per comprendere login falliti, problemi di permessi ed errori in fase di esecuzione.
SELECT
event_timestamp,
user_name,
error_level,
error_code,
message
FROM v_monitor.error_messages
ORDER BY event_timestamp DESC
LIMIT 20;
Combinando v_monitor.query_requests e v_monitor.error_messages, i team possono vedere sia cosa un utente ha tentato di fare sia perché è fallito. Questa vista combinata è importante per troubleshooting e attività forensi.
Funzione AUDIT orientata alla Licenza
Contemporaneamente, Vertica fornisce anche una funzione di gestione AUDIT() che stima la dimensione dei dati per la conformità alla licenza usando lo stesso metodo di campionamento dei controlli di licenza. Questo consente la pianificazione della capacità e la gestione delle licenze.
SELECT AUDIT('database', 'full', 0.05, 0.95);
Tuttavia, questa funzione è utile principalmente per comprendere l’impronta del database e non costituisce una traccia di audit per la sicurezza. Nel contesto della sicurezza e conformità, dovrebbe essere menzionata separatamente dalla registrazione delle attività.
Limitazioni dell’Audit dei Dati Nativo per Vertica
Sebbene gli strumenti di audit nativi di Vertica siano potenti per gli amministratori di database, presentano limitazioni pratiche per i team di sicurezza e conformità:
| Area | Limitazione |
|---|---|
| UI e accessibilità | Tutto viene interrogato tramite viste di sistema; non esiste un’interfaccia utente intuitiva o dashboard drill-down per stakeholder non DBA. |
| Ambito di visibilità | I dati di audit risiedono solo all’interno di Vertica. La visibilità cross-database o cross-cloud richiede aggregazione personalizzata e strumenti esterni. |
| Astrazione delle policy | Non esistono regole di audit di alto livello come “registra tutti gli accessi a tabelle PII da parte di appaltatori”. I team devono comporre manualmente query e filtri contro le tabelle di sistema. |
| Operazioni multi-ambiente | Se si gestiscono più cluster Vertica (test, staging, produzione, regionali), ciascuno mantiene propri log e viste di audit. Correlare l’attività tra essi è manuale e soggetto a errori. |
| Conservazione e esportazione | Le organizzazioni devono ideare politiche di conservazione, pipeline di esportazione e allarmi autonomamente sopra v_monitor e file di log. |
Di conseguenza, queste lacune spingono molte organizzazioni a integrare le capacità native di Vertica con una piattaforma dedicata di monitoraggio e sicurezza delle attività di database che centralizza i log, aggiunge policy di sicurezza e automatizza compiti di conformità.
Audit dei Dati per Vertica con DataSunrise
DataSunrise viene distribuito come proxy, sniffer o monitor basato su log davanti a Vertica e altri database. Osserva il traffico SQL in tempo reale, analizza ogni istruzione e scrive eventi di audit strutturati nel proprio repository. Questi eventi possono essere arricchiti con contesto come utente, ruolo, IP client, applicazione e punteggio di rischio. Successivamente possono essere correlati tra piattaforme eterogenee.
Inoltre, combinando i log nativi di Vertica con DataSunrise Activity Monitoring, si mantiene l’accuratezza a basso livello delle tabelle di sistema guadagnando policy centralizzate, dashboard user-friendly e governance su più database.
Architettura di Integrazione
Per Vertica, una distribuzione tipica appare così:
- Applicazioni client e strumenti BI si collegano a un endpoint proxy DataSunrise invece che direttamente a Vertica.
- DataSunrise inoltra il traffico al servizio Vertica mentre registra ogni richiesta e risposta.
- I record di audit appaiono nelle viste Audit o Transactional Trails di DataSunrise, dove possono essere filtrati, esportati e correlati con eventi di altri sistemi.
Poiché DataSunrise opera a livello di rete e protocollo, non richiede modifiche agli schemi Vertica o alle applicazioni stesse.
Creazione di una Regola di Audit per Vertica
Una volta registrata la sorgente dati Vertica in DataSunrise, è possibile definire una regola di audit per catturare l’attività:
- Creare una nuova regola di Audit e selezionare la sorgente dati Vertica.
- Configurare la regola per registrare tutte le operazioni CRUD, oppure limitarla a schemi e tabelle specifiche che contengono dati sensibili scoperti tramite Sensitive Data Discovery.
- Filtrare opzionalmente per utenti o ruoli (DBA, utenti di reportistica, account ETL), intervalli IP client (VPN vs interno) o applicazioni (strumenti BI vs job batch).
- Scegliere dove memorizzare gli eventi di audit, utilizzando il repository interno o un database esterno.
Questa configurazione corrisponde alle schermate di definizione della regola in DataSunrise, dove Vertica è l’istanza selezionata. Tutte le istruzioni SQL che passano dal proxy sono visibili nella griglia dei risultati.
Visualizzazione delle Tracce di Audit in DataSunrise
Dopo aver eseguito operazioni tipiche come:
SELECT * FROM ds_demo.audit_test; UPDATE ds_demo.audit_test SET full_name = 'ZZZ' WHERE id = 1; DELETE FROM ds_demo.audit_test WHERE id = 2;
DataSunrise registra ogni operazione con contesto ricco. Nelle viste Transactional Trails o Audit solitamente si vedono timestamp e durata di ogni richiesta, tipo e istanza database (Vertica), nome utente e applicazione client, IP di origine e dettagli di connessione, testo SQL completo e oggetti interessati, oltre alla regola che ha attivato la registrazione, come una policy generale di audit Vertica.
Messo accanto allo screenshot della console Vertica v_monitor.query_requests, lo screenshot DataSunrise mostra visivamente la stessa attività ma in formato più accessibile e filtrabile.
Capacità di Audit Avanzate con DataSunrise
Mentre Vertica si concentra sul logging a livello di infrastruttura, DataSunrise aggiunge funzionalità di sicurezza e conformità integrative:
- Monitoraggio e notifiche in tempo reale. Genera allarmi quando tabelle sensibili vengono interrogate fuori orario, da IP sconosciuti o da account non privilegiati. È possibile indirizzarli anche verso piattaforme SIEM o SOAR insieme ad altri eventi DAM.
- Log centralizzati su più database. Correlare l’attività Vertica con piattaforme come PostgreSQL, Hive, Teradata e data warehouse cloud in un’unica dashboard, usando lo stesso framework Compliance Manager.
- Policy consapevoli del contesto. Definire regole come “registra tutti gli accessi a schemi analitici da account appaltatori” o “traccia tutti i login falliti e i cambi di privilegio” usando firewall database e policy di audit di DataSunrise.
- Conservazione e esportazione flessibili. Archiviare i log di audit nel repository interno o trasmetterli a strumenti SIEM e SOC per conservazione a lungo termine e analisi avanzate.
- Combinazione con masking e discovery. Applicare dynamic e static data masking su colonne sensibili e contemporaneamente registrare tutti i tentativi di lettura di dati non mascherati. È quindi possibile associare gli eventi di audit ai risultati della discovery.
Benefici di Business e Conformità
Nel complesso, implementare una strategia robusta di audit dei dati per Vertica con DataSunrise porta benefici tangibili:
| Beneficio | Cosa fornisce |
|---|---|
| Migliorata risposta agli incidenti | Tracce dettagliate dell’attività Vertica riducono drasticamente il tempo necessario per capire cosa è successo. Mostrano anche chi è stato coinvolto e quali dati sono stati interessati. |
| Maggiore rilevamento delle minacce interne | Il monitoraggio continuo di utenti privilegiati e analitici evidenzia pattern di accesso anomali che i controlli tradizionali di perimetro potrebbero non rilevare. |
| Evidenze pronte per audit | Log centralizzati e report predefiniti aiutano a soddisfare le richieste degli auditor senza dover assemblare artefatti da più sistemi disconnessi, specialmente se combinati con best practice di Database Activity Monitoring. |
| Minore carico di lavoro per la conformità | Reportistica automatizzata e politiche di conservazione a lungo termine riducono il lavoro manuale per i team di sicurezza e conformità. |
| Controllo unificato su più piattaforme | Poiché la stessa distribuzione di DataSunrise può coprire Vertica e altri database, i team evitano soluzioni ad hoc per piattaforma. Mantengono inoltre un modello di sicurezza centrato sui dati coerente. |
Conclusione
Vertica offre solidi strumenti nativi per l’audit dei dati tramite il Data Collector e viste di sistema in v_monitor, in particolare query_requests e error_messages. Queste capacità sono ideali per DBAs e ingegneri delle prestazioni che richiedono visibilità tecnica precisa su sessioni e query.
Tuttavia, le sole funzionalità native lasciano lacune nelle correlazioni, reportistica e governance a lungo termine. L’Audit dei Dati per Vertica con DataSunrise colma queste lacune catturando ogni query e sessione con contesto completo, applicando politiche di sicurezza in tempo reale e automatizzando la reportistica di conformità. Combinando i dati di audit nativi di Vertica con il monitoraggio basato su proxy, il motore di regole e l’interfaccia di reportistica di DataSunrise si ottiene una visione completa dell’attività Vertica. Rimane tecnicamente accurata ma accessibile anche ai responsabili di sicurezza e conformità.
Pertanto, condurre un audit dei dati approfondito per Vertica è essenziale per garantire che i dati aziendali rimangano sicuri, conformi e accessibili. Mentre Vertica offre robuste capacità native di auditing, integrare una piattaforma avanzata come DataSunrise può portare la postura di sicurezza a un livello superiore. Dal monitoraggio in tempo reale a tracce centralizzate, reportistica e supporto alla conformità, DataSunrise soddisfa le crescenti esigenze delle organizzazioni moderne orientate ai dati.
Per una visione di più alto livello di come l’audit Vertica si inserisca nel monitoraggio centralizzato con DataSunrise, inclusi diagrammi architetturali ed esempi di interfaccia, leggi Audit del Database per Vertica.
