Guida all’Audit

Best Practices Regole DataSunrise Lo script Lua scopre dati sensibili nei file JSON Guida alla Sicurezza Regole di Sicurezza Contro le Iniezioni SQL Guida all’Audit Imparare le Regole e Audit Priorità delle Regole

La funzionalità di auditing dei dati consente il monitoraggio in tempo reale delle attività nel database e la registrazione delle informazioni relative alle query che raggiungono il database, come la modifica del contenuto, l’estrazione o l’eliminazione dei dati. DataSunrise fornisce il tracciamento in tempo reale delle azioni degli utenti del database, monitorando inoltre le modifiche alla configurazione del database e alle impostazioni di sistema. In questa guida all’audit le mostriamo come configurare DataSunrise per eseguire l’audit di tutte le query indirizzate al database target.

Architettura Proxy di Database Security di DataSunrise — DataSunrise Database Security opera in modalità Proxy, offrendo accesso sicuro al database attraverso porte proxy dedicate. La soluzione dispone di una console web assistita da AI per una gestione intuitiva.

I log di audit sono memorizzati nel database SQLite integrato in DataSunrise oppure in un database esterno. I dati registrati aiutano a soddisfare i requisiti degli standard normativi, come SOX, HIPAA, PCI DSS e altre normative.

La funzione Data Audit è disponibile in modalità Sniffer e in Proxy. È possibile creare nuove Regole di Audit o modificare quelle esistenti nella sezione Audit dei Dati. Le regole possono essere impostate per eseguire l’audit delle transazioni su un determinato database o da specifici utenti, indirizzi IP e applicazioni client.

Per approfondire la sua comprensione dell’audit dei dati, le consigliamo vivamente di visitare il nostro canale YouTube e visionare i nostri video su questo argomento. Questi video non solo presentano la nostra soluzione di audit, ma la familiarizzano anche con metodi alternativi di auditing dei dati mediante funzionalità native dei DBMS.

Perché l’Audit del Database è Importante

L’audit del database è fondamentale per rilevare accessi non autorizzati, monitorare le azioni degli amministratori e garantire la tracciabilità di tutte le operazioni che coinvolgono dati sensibili. Questo è particolarmente importante in settori soggetti a normative, come GDPR, SOX, HIPAA e PCI DSS, dove dimostrare il controllo sull’accesso ai dati è legalmente richiesto.

Implementando regole di audit granulari con strumenti come DataSunrise, le organizzazioni possono rilevare comportamenti anomali, investigare più rapidamente sugli incidenti e dimostrare la conformità attraverso tracce di audit verificabili. Senza tali meccanismi, anche una piccola violazione o un uso improprio interno può passare inosservato, comportando rischi finanziari e reputazionali.

Che Cos’è il DataSunrise Data Audit?

Il DataSunrise Data Audit è una funzionalità fondamentale della piattaforma che consente la registrazione dettagliata di tutte le attività del database — attraverso utenti, applicazioni ed ambienti. Opera in tempo reale e cattura ogni query, modifica o tentativo di connessione che transita attraverso la modalità Proxy o Sniffer.

Questa funzionalità consente alle organizzazioni di applicare il principio del minimo privilegio, monitorare gli utenti privilegiati e soddisfare i requisiti dei framework di conformità, quali HIPAA, SOX e PCI DSS. Con filtri predefiniti e allarmi, il sistema DataSunrise Data Audit funge sia da strumento forense che da facilitatore di conformità.

Creazione di una Regola di Audit

Supponiamo che abbia già creato il profilo del database target. Per eseguire l’audit del nostro database di test, è necessario creare e configurare una Regola di Audit. In questo caso, la sequenza delle azioni è la seguente:

Navigare in Audit → Regole. Quindi, clicchi su Aggiungi Regola per creare una nuova Regola di Audit.
Configuri la sua Regola di Audit per registrare tutte le query al database (vedi note sottostanti).

Impostazioni generali della regola di audit per il database — Configuri le impostazioni della regola di audit con un nome personalizzato, mentre il tipo di database viene determinato automaticamente in base all’istanza selezionata.

Nella sottosezione principale vengono specificate le informazioni relative al database target. Esse includono il tipo di database (PostgreSQL), l’istanza del database (poiché la voce relativa al database target viene nominata nelle Configurazioni) e il nome logico della Regola.

Impostazioni delle azioni della regola di audit — L’opzione “Salva Evento nell’Audit Storage” abilita la registrazione degli eventi e può essere attivata/disattivata per sospendere la registrazione mantenendo la regola attiva.

Per impostazione predefinita, è selezionata l’azione “Audit”. Ciò significa che DataSunrise eseguirà l’audit delle query degli utenti quando la regola verrà attivata. Per registrare le risposte del database (l’output), è selezionata la casella di controllo “Log Data”.

Poiché lo scenario attuale richiede che tutte le query degli utenti siano sottoposte ad audit, le impostazioni per le Filter Sessions rimangono predefinite. Pertanto, qualsiasi query al database, indipendentemente dall’indirizzo IP di origine, attiverà la regola.

Impostazioni dei filtri per la regola di audit — Specifichi gli oggetti del database da sottoporre ad audit utilizzando le dichiarazioni di filtro. In questo caso, il campo è lasciato vuoto per acquisire tutte le query.

Anche le impostazioni delle dichiarazioni di filtro rimangono predefinite. Di conseguenza, DataSunrise eseguirà l’audit di tutte le query indirizzate a tutti gli oggetti del database.

Visualizzazione dei Risultati dell’Audit del Database

Questa fase include la dimostrazione dei risultati dell’audit. La Regola di Audit, creata nella fase precedente, è configurata per essere attivata da qualsiasi query utente in arrivo. Ecco cosa succede quando DataSunrise riceve una query da un utente.

Invii la seguente query tramite PGAdmin:

SELECT * FROM public.customers;

Il database restituisce il contenuto della tabella:

Visualizzazione della query sul database

Adesso verifichi i risultati dell’audit nella Web Console di DataSunrise. Navighi nella sottosezione Audit dei Dati → Tracce Transazionali.
Per visualizzare informazioni dettagliate su un determinato evento, clicchi sull’ID dell’evento. In una nuova scheda verranno visualizzati i dettagli dell’evento: il codice della query, informazioni di base, informazioni sulla sessione, gli oggetti del database coinvolti nella query e i relativi risultati.

Ogni evento registra metadati completi, inclusi indirizzi IP, nomi delle applicazioni, timestamp e dettagli di esecuzione.

Dettagli evento di audit del database con informazioni sulla transazione — Le tracce transazionali contengono eventi cliccabili, con informazioni dettagliate disponibili per ciascun evento.

Scorrendo verso il basso, vengono mostrati ulteriori dettagli dell’evento, inclusa la query SQL completa e gli oggetti del database interessati dalla query. La query ha accesso a campi di dati sensibili, inclusi numeri di carte di credito, indirizzi email e codici postali.

Dettagli della query dell'evento di audit del database — Vista dettagliata della query SQL che mostra l’istruzione della transazione eseguita.

I risultati della query possono essere visualizzati, ma l’abilitazione di questa funzionalità impatta significativamente sul consumo di spazio nel database di audit.

Visualizzazione dei risultati della query del database — I risultati della query vengono visualizzati al di sotto dell’evento quando la registrazione dei risultati è abilitata.

Casi d’Uso Reali: Applicare il DataSunrise Data Audit

Il motore DataSunrise Data Audit non è solo uno strumento di registrazione, ma un alleato per la conformità e la risposta agli incidenti. Ecco come le organizzazioni lo utilizzano per soddisfare i requisiti normativi e operativi in ambienti reali:

Caso d’Uso	Come DataSunrise Aiuta
Conformità SOX	Traccia l’attività degli utenti privilegiati sui sistemi finanziari e registra le modifiche alle configurazioni critiche. Supporta le revisioni degli audit esterni con storici transazionali dettagliati.
Monitoraggio HIPAA	Esegue l’audit di tutte le query che coinvolgono PHI, inclusi gli accessi in lettura alle cartelle cliniche. Cattura i metadati delle sessioni per garantire responsabilità e indagini sulle violazioni.
Applicazione PCI DSS	Monitora in tempo reale l’accesso ai dati delle carte di credito e registra le query che interessano i campi PAN. Supporta la generazione di allarmi in caso di tentativi di accesso non autorizzato.
Rilevamento dell’Esfiltrazione dei Dati	Evidenzia volumi sospetti di query, istruzioni DUMP e esportazioni non approvate, in particolare provenienti da nuovi indirizzi IP o client.
Visibilità sulle Minacce Interne	Cattura le azioni degli amministratori, le modifiche allo schema e gli accessi insoliti agli oggetti, il tutto correlato alle identità degli utenti e ai timestamp.

Poiché DataSunrise opera a livello di proxy, può applicare l’audit anche quando la registrazione nativa del database è disabilitata o bypassata. Ciò lo rende una parte essenziale delle strategie moderne di sicurezza dei dati e di governance.

Conclusione

Un audit robusto del database è fondamentale per rilevare comportamenti anomali, garantire la conformità normativa e mantenere la responsabilità negli ambienti odierni, basati sui dati. DataSunrise consente ai team di implementare una registrazione dettagliata e in tempo reale delle query e delle transazioni, senza impattare le prestazioni del database o interrompere le operazioni delle applicazioni.

Grazie a funzionalità quali il filtraggio degli accessi basati sui ruoli, l’audit a livello di proxy e la raccolta dei metadati delle sessioni, le organizzazioni ottengono una visione completa su chi ha accesso a dati specifici, quando e attraverso quali metodi. Ciò si traduce in un log centralizzato di audit che accelera la risposta agli incidenti, semplifica la conformità a framework come SOX, HIPAA e PCI DSS, e aiuta a prevenire accessi non autorizzati ai dati.

Sia che stia eseguendo l’audit di alcune tabelle sensibili o dell’intera infrastruttura di produzione, DataSunrise offre l’automazione, la scalabilità e la precisione necessarie per garantire la sicurezza dei suoi dati e soddisfare le richieste normative.