Aurora PostgreSQL Audit Log

Introduzione

Nell’odierno panorama guidato dai dati, un registro di audit adeguatamente configurato per Amazon Aurora PostgreSQL è essenziale per la sicurezza, la conformità e il controllo operativo. Secondo statistiche recenti sulla sicurezza informatica, le intrusioni nel database e l’accesso non autorizzato continuano a rappresentare minacce significative in tutti i settori, rendendo la registrazione degli audit un componente critico della strategia di sicurezza del database.

Questa guida esplora i vari metodi per implementare e gestire i log di audit di Amazon Aurora PostgreSQL, includendo la registrazione nativa di PostgreSQL, l’estensione pgAudit, i Database Activity Streams e DataSunrise – la nostra soluzione per la sicurezza e la conformità.

Audit Log Nativo di Aurora PostgreSQL

Panoramica

Aurora PostgreSQL include funzionalità di logging integrate ereditate dal motore PostgreSQL core. Questi log acquisiscono vari eventi del database tra cui connessioni, disconnessioni, errori, query lente e altro ancora.

Aurora PostgreSQL Audit Log - Architettura ad alta disponibilità con istanze di scrittura e lettura distribuite tra le zone — Architettura ad alta disponibilità con istanze di scrittura e lettura distribuite tra le zone

Parametri di Configurazione

I parametri chiave per configurare i log di Aurora PostgreSQL includono:

-- Abilita la registrazione delle connessioni
log_connections = on

-- Abilita la registrazione delle disconnessioni
log_disconnections = on

-- Registra tutte le istruzioni
log_statement = 'all'  -- Opzioni: none, ddl, mod, all

-- Registra la durata delle istruzioni
log_duration = on

-- Registra le istruzioni che impiegano più dei millisecondi specificati
log_min_duration_statement = 1000  -- Registra le istruzioni che impiegano più di 1 secondo

È possibile configurare questi parametri nel Gruppo di Parametri AWS RDS associato al cluster Aurora PostgreSQL.

Accesso ai Log Nativi

I log di Aurora PostgreSQL sono accessibili tramite:

Console di Gestione AWS:
- Accedi ad Amazon RDS > Database > Il tuo cluster Aurora
- Seleziona l’istanza primaria > Scheda Log ed eventi

AWS CLI:

aws rds download-db-log-file-portion --db-instance-identifier your-instance-id --log-file-name postgresql.log

CloudWatch Logs (se configurato):
- Accedi a CloudWatch > Gruppi di Log > /aws/rds/instance/your-instance-id/postgresql

Estensione pgAudit

Panoramica

L’Estensione di Audit per PostgreSQL (pgAudit) fornisce una registrazione degli audit più dettagliata rispetto al logging nativo di PostgreSQL. Consente un controllo granulare su quali attività del database vengono registrate, rendendola ideale per i requisiti di conformità.

Come descritto nel AWS Database Blog, pgAudit offre capacità di logging notevolmente migliorate.

Passaggi di Implementazione

Abilita pgAudit nel Gruppo di Parametri:
```
shared_preload_libraries = 'pgaudit'
```
Crea l’Estensione:
```
CREATE EXTENSION pgaudit;
```

Configura la Registrazione degli Audit:

È possibile configurare pgAudit a diversi livelli:

Livello Istanza:

pgaudit.log = 'ALL'  -- All'interno del gruppo di parametri

Livello Database:

ALTER DATABASE your_database SET pgaudit.log = 'DDL,ROLE,WRITE';

Livello Utente:

ALTER ROLE your_role SET pgaudit.log = 'READ,WRITE';

Registrazione di Sessione vs. Oggetto:

La registrazione di sessione audita tutte le istruzioni eseguite da un utente
La registrazione degli oggetti audita le operazioni su oggetti specifici

-- Abilita la registrazione degli oggetti
pgaudit.role = 'auditor'  -- All'interno del gruppo di parametri

-- Concedi privilegi al ruolo di auditor
GRANT SELECT ON my_table TO auditor;

Classi di Audit

I log di pgAudit possono essere configurati per includere diverse classi di operazioni:

Classe	Descrizione	Esempio di Comandi
READ	Operazioni di lettura	SELECT, COPY FROM
WRITE	Operazioni di scrittura	INSERT, UPDATE, DELETE, TRUNCATE
FUNCTION	Chiamate di funzioni	SELECT my_function()
ROLE	Operazioni su ruoli e privilegi	GRANT, REVOKE, CREATE ROLE
DDL	Linguaggio di definizione dei dati	CREATE, ALTER, DROP
MISC	Comandi vari	VACUUM, ANALYZE
ALL	Tutte le precedenti	Tutti i comandi

Stream di Attività del Database AWS

Panoramica

Gli Stream di Attività del Database AWS forniscono un flusso quasi in tempo reale delle attività del database che può essere integrato con strumenti di monitoraggio della sicurezza e di auditing.

A differenza dei file di log, gli stream di attività:

Operano indipendentemente dal motore del database
Non possono essere disabilitati dagli utenti del database
Sono criptati utilizzando AWS KMS
Possono essere elaborati in tempo reale

Aurora PostgreSQL Audit Log - Configurazione della regola di audit di DataSunrise per il filtraggio per tipi di query — Configurazione della regola di audit di DataSunrise per il filtraggio per tipi di query

Passaggi di Implementazione

Prerequisiti:
- Configura i prerequisiti di rete
- Configura la chiave AWS KMS
Abilita gli Stream di Attività:
- Tramite Console: RDS > Database > Il tuo cluster Aurora > Azioni > Avvia stream di attività del database
- Seleziona le impostazioni di crittografia e la modalità (asincrona/sincrona)
Configura l’Elaborazione degli Stream:
- Configura un consumer di Amazon Kinesis Data Stream
- Elabora con AWS Lambda, Amazon Data Firehose, ecc.
- Archivia in Amazon S3 o altre destinazioni
Monitora e Allerta:
- Crea allarmi in CloudWatch
- Imposta notifiche automatiche tramite SNS

Esempio di Implementazione

Per un esempio dettagliato di implementazione, consulta la guida passo-passo di AWS che copre:

La creazione di funzioni AWS Lambda per elaborare gli stream
La configurazione di allarmi e notifiche
L’integrazione con sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM)

DataSunrise: Soluzione di Audit Avanzata per Aurora PostgreSQL

Per le organizzazioni che richiedono capacità di audit avanzate, DataSunrise offre funzionalità di audit potenziate per Aurora PostgreSQL.

Caratteristiche Principali

Gestione centralizzata degli audit
Monitoraggio in tempo reale e notifiche
Report di conformità per normative come GDPR, HIPAA, PCI DSS
Analisi del comportamento degli utenti
Filtraggio avanzato e audit basato su regole

Passaggi di Implementazione

Connetti ad Aurora PostgreSQL

Aurora PostgreSQL Audit Log - Configurazione dell'istanza del database Aurora PostgreSQL in DataSunrise — Configurazione dell’istanza del database Aurora PostgreSQL in DataSunrise

Configura le Regole di Audit

Aurora PostgreSQL Audit Log - Regole di audit selettive per query raggruppate per esclusione pgAdmin — Regole di audit selettive per query raggruppate per esclusione pgAdmin

Visualizza i Log di Audit

Aurora PostgreSQL Audit Log - Voci del trail transazionale per operazioni DDL e DML — Voci del trail transazionale per operazioni DDL e DML

Per istruzioni dettagliate sulla configurazione, visita la Guida all’audit di DataSunrise.

Confronto tra le Soluzioni di Audit

Funzionalità	Registrazione Nativa	pgAudit	Stream di Attività del Database	DataSunrise
Complessità di Configurazione	Bassa	Bassa	Media	Media
Livello di Dettaglio	Base	Alto	Alto	Molto Alto
Impatto sulle Prestazioni	Basso-Medio	Basso-Medio	Basso (Asincrono)	Basso
Monitoraggio in Tempo Reale	No	No	Sì	Sì
Separazione dei Compiti	No	No	Sì	Sì
Report di Conformità	Manuale	Manuale	Manuale	Automatizzato
Costo	Gratuito	Gratuito	Costi dei Servizi AWS	Licenza

Best Practices per l’Audit Log di Aurora PostgreSQL

Definisci gli Obiettivi dell’Audit – Identifica i requisiti di conformità per i tuoi sistemi di dati. Determina quali eventi di sicurezza sono essenziali da monitorare. Stabilisci le metriche operative chiave da tenere sotto controllo.
Implementa una Difesa a Più Livelli – Distribuisci molteplici meccanismi di audit per una copertura completa. Crea una chiara separazione dei compiti tra i ruoli del sistema. Proteggi i log di audit da manomissioni utilizzando metodi di archiviazione sicuri.
Ottimizza le Prestazioni – Monitora come la registrazione influisce sulla velocità del sistema. Regola i livelli di dettaglio dei log secondo necessità. Implementa la rotazione e l’archiviazione per gestire i volumi dei log.
Revisiona e Allerta – Esamina regolarmente i log per individuare schemi insoliti. Imposta notifiche automatiche per attività sospette. Crea dashboard per visualizzare le metriche di sicurezza chiave.
Archiviazione e Conservazione – Definisci per quanto tempo i dati dell’audit devono essere conservati. Implementa soluzioni di archiviazione a prova di manomissione. Bilancia i requisiti di conformità con le limitazioni pratiche di archiviazione.

Conclusione

Una registrazione efficace degli audit per Aurora PostgreSQL richiede un approccio ben strutturato che garantisca sicurezza, conformità ed efficienza operativa. Sfruttando la registrazione nativa di PostgreSQL, l’estensione pgAudit, gli Stream di Attività del Database AWS e soluzioni di terze parti avanzate come DataSunrise, le organizzazioni possono stabilire un robusto framework di audit.

Che la tua priorità sia la conformità, il monitoraggio della sicurezza o ottenere approfondimenti operativi più dettagliati, DataSunrise offre la visibilità e il controllo necessari per proteggere il tuo ambiente Aurora PostgreSQL. Richiedi una demo oggi per scoprire come DataSunrise può migliorare l’audit e la sicurezza del tuo database.