En el captulo anterior aprendi acerca de las diversas categoras de auditora que puede que
tenga que implementar. Usted vio que la auditora del entorno de la base de datos no es un
ejercicio de todo o nada y que puede optar por auditar muchas categoras de datos y tipos de
acceso, dependiendo de los requisitos de seguridad y cumplimiento de su organizacin. En este
captulo explorar detalles arquitectnicos que le ayudarn a implementar una solucin de
auditora prctica y pragmtica y abordar los requisitos de seguridad y cumplimiento. Ver que no
basta con decidir qu eventos y elementos necesitan ser auditados, sino que tambin debe prestar
atencin a la arquitectura y atributos sistmicos de su solucin de auditora.
No crear una falsa sensacin de seguridad
La auditora es un medio, no un objetivo. El propsito de la auditora es elevar la seguridad y
acercarle ms al cumplimiento de las distintas polticas y regulaciones de seguridad. No hay
necesidad de auditora que est desprovista de tales impulsores comerciales. Por lo tanto,
independientemente de la solucin de auditora que elija implementar, asegrese de que le acerca
ms a estos objetivos.
Un error comn que la gente hace implica la creacin de pistas de auditora integral con el
propsito de crear pistas de auditora. Tener una pista de auditora no aumenta la seguridad a
menos que se use. Como ejemplo, tener un archivo de registro (o tabla de base de datos) que
contiene 20 millones de elementos de lnea cada da no aumenta la seguridad. De hecho, crea una
falsa sensacin de seguridad y al hacerlo, hace que su entorno sea menos seguro. Si sabe que su
entorno de base de datos no tiene provisiones de seguridad y auditora, entonces es ms probable
que preste atencin a anomalas y varios eventos extraos que lo hara si cree que tiene algn tipo
de marco de seguridad y auditora en su lugar.
La auditora, especialmente en un entorno de base de datos, implica una gran cantidad de
datos. Las bases de datos de produccin pueden crear grandes cantidades de datos granulares
(ms informacin ms adelante en este captulo). Si slo desea cruzar una tarea en algn plan de
proyecto, puede poner una solucin en el lugar que simplemente le ayuda a recopilar y archivar
esta informacin. Si esto es todo lo que hace, entonces est creando verdaderamente una falsa
sensacin de seguridad porque no ha creado un proceso mediante el cual utiliza la informacin de
auditora para mejorar la seguridad.
Con el fin de elevar la seguridad mediante la auditora, debe implementar una solucin pragmtica
y debe ser capaz de utilizar los datos que se recopilan a travs de los mecanismos de auditora. Los
datos no son tiles a menos que pueda extraer informacin procesable de los datos. En el caso de
la seguridad, esto significa que su solucin de auditora debe permitirle extraer la informacin
para exponer anomalas, intrusiones, errores, malas prcticas, violaciones de polticas, etc. Si no
puede explicarse a s mismo cmo estas (o al menos una de estas) metas pueden lograrse
utilizando los senderos de auditora, entonces su implementacin se convierte en parte del
problema en lugar de parte de la solucin.
Para no caer en este falso sentido de la trampa de seguridad, debe darse cuenta de que una
solucin de auditora (y por lo tanto la arquitectura puesta en marcha) tiene dos partes
importantes: la parte que recopila la informacin y la parte que utiliza la informacin. La
arquitectura de la solucin debe soportar eficazmente ambas, porque sin una u otra, su solucin
de auditora es ineficaz. Las secciones de este captulo exploran algunos de los atributos que su
arquitectura de auditora debe poseer para que la informacin se recopile correctamente y sea
utilizable, asegurndose de que su solucin de auditora le ayuda a alcanzar sus objetivos.
Opte por una pista de auditora independiente / de copia de seguridad.
Todas las bases de datos tienen funciones de auditora y puede crear pistas de auditora utilizando
cualquiera de las bases de datos. Adems, numerosas soluciones de terceros se centran en la
auditora y crean una pista de auditora basada en las actividades de la base de datos. Estos
sistemas son externos a la base de datos y auditan la actividad de la base de datos usando uno de
los tres mtodos descritos en la siguiente seccin. Sin embargo, independientemente del mtodo
que se utilice, en todos estos sistemas la pista de auditora es una pista de auditora externa e
independiente, en contraposicin a una pista de auditora creada por la base de datos.
Una pista de auditora independiente es ms valiosa que una pista de auditora creada por la base
de datos. Filosficamente, una pista de auditora independiente y externa est alineada con una
estrategia de defensa en profundidad. Tcnicamente, un camino independiente es ms difcil de
comprometer, no va a ser sensible a los errores y las vulnerabilidades que la base de datos puede
tener (que puede ser una de las razones para la auditora en primer lugar), y apoya mejor los
conceptos aprendidos en captulos anteriores como Como la separacin de funciones. Como
ejemplo, una pista de auditora basada en bases de datos que almacena la informacin de
auditora dentro de la base de datos bajo los auspicios del DBA carece de valor desde una
perspectiva de segregacin de funciones. Una pista de auditora independiente tambin es ms
probable que sea utilizable por personal no-DBA, lo que permite que el trabajo sea descargado de
la DBA y ayudar a los responsables de la seguridad de la informacin en su conjunto para hacer su
trabajo. Por ltimo, se puede utilizar una pista de auditora independiente junto con una pista de
auditora de base de datos para soportar entornos con rigurosos requisitos de seguridad y
cumplimiento. En este caso, los dos senderos de auditora pueden compararse continuamente
para asegurar su integridad y que uno de los senderos de auditora no ha sido comprometido.
Arquitecturas para sistemas de auditora externa.
Veamos tres mtodos para crear una pista de auditora externa. Los mtodos son aplicables a
todos los entornos de bases de datos porque las tres categoras son arquitectnicas y porque
todas las bases de datos utilizan comunicaciones en red, comunicacin interprocesos, registros de
transacciones (redo), etc. Las tres categoras arquitectnicas son las siguientes:
Una permutacin de este mtodo se muestra como Sistema de Auditora 2 en la Figura 13.1. En
algunas bases de datos, algunas de estas estructuras de datos internas se abstraen como tablas y
vistas visibles para el usuario. Como ejemplo, en Oracle esta informacin est disponible a travs
de las vistas V $. En lugar de realizar sondeos en la estructura interna de datos, un sistema de
auditora puede conectarse a la base de datos utilizando una cuenta de administrador y examinar
estas vistas / tablas. Tenga en cuenta que en ambos casos el sistema de auditora debe consultar
las estructuras de datos / vistas lo suficientemente rpido para no perder datos, pero no
demasiado rpido, para no sobrecargar la base de datos.
La segunda arquitectura de auditora implica inspeccionar todos los flujos de comunicacin que
son terminados por la base de datos. Una base de datos es un servidor que acepta peticiones de
conexin y, finalmente, todas las actividades se inician utilizando dichas conexiones. Por lo tanto,
mediante el seguimiento de estos flujos de comunicacin, puede auditar todo lo que la base de
datos se le pide que haga.
Las conexiones pueden ser locales o provienen de la red. Los clientes de base de datos se conectan
al proceso de base de datos utilizando protocolos de red o mediante mecanismos de
comunicacin entre procesos (IPC) si el cliente reside en el mismo servidor que la base de
datos. Un sistema de auditora que inspecciona las comunicaciones de la base de datos (ver Figura
13.2) puede utilizar la inspeccin basada en red (por ejemplo, inspeccin de paquetes) para
auditar todas las conexiones en red y utilizar una sonda ejecutndose en el sistema operativo local
para monitorear las comunicaciones IPC. Algunos sistemas de auditora le dan una flexibilidad
adicional en trminos de cmo se realiza la inspeccin de la red. Una opcin es utilizar
capacidades de red y dispositivos tales como conexiones de red, concentradores o duplicacin de
puertos de conmutacin. En el ltimo caso, el sistema de auditora utiliza instalaciones dentro de
un conmutador que crea paquetes espejo para cada paquete que se entrega a la base de datos o
utiliza el hecho de que puede leer promiscuamente los paquetes fuera del cable sin interferir con
los flujos de paquetes a la base de datos. El sistema de auditora puede incluso funcionar como un
puente de red de trabajo donde cada paquete fluye a travs del sistema de auditora. La opcin
basada en host es usar la sonda local para inspeccionar tambin el trfico de red. Este trfico llega
al sistema operativo donde est registrada la base de datos para estar escuchando ciertos
puertos. Por lo tanto, el trfico puede ser inspeccionado en este ltimo segmento por la sonda IPC
local. Todas estas opciones se muestran en la Figura 13.2.
Por ltimo, la tercera arquitectura de auditora utiliza los archivos que utiliza la base de datos en el
curso normal de su funcionamiento y extrae informacin relevante de ellos. El archivo ms obvio
es el registro de transacciones (o el registro de rehacer). En la mayora de las bases de datos, todas
las sentencias DDL y DML se escriben en el registro de transacciones, para que la base de datos
pueda recuperarse de un desastre y desplegar todas las transacciones comprometidas. Un sistema
de auditora que lee y procesa continuamente estas entradas puede crear una pista de auditora
para estos eventos de base de datos. Otros archivos tambin pueden ser utilizados por el sistema
de auditora para proporcionar una auditora ms completa que cubre todas las actividades de la
base de datos (o cerca de ella), pero esto depende de los mecanismos de base de datos que son
compatibles y si estn activos y generando tales Archivos externos. Este esquema se muestra en la
Figura 13.3.
Archivar informacin de auditora.
Dependiendo de las categoras de informacin de auditora que elija recopilar, es probable que
recoja grandes cantidades de datos. Esto es cierto para los tres mecanismos de auditora descritos
en la seccin anterior, ya que todo subyace en el hecho de que sus bases de datos suelen soportar
un gran nmero de llamadas SQL, todas las cuales pueden necesitar ser auditadas.
Su solucin de auditora es probablemente buena para almacenar esta informacin y hacerla
fcilmente disponible para su uso en informes, alertas y auditoras. Sin embargo, para que la
auditora sea sostenible, tambin tiene que verificar que su solucin de auditora se ocupa de las
capacidades de archivado y restauracin.
No subestime este problema. Debe comprender plenamente dnde se almacenan los datos de
auditora y cules son los volmenes en casos extremos. La consecuencia de los errores aqu
puede ser tan amplia como la parada de su base de datos. Por ejemplo, si utiliza la funcin de
auditora C2 de SQL Server, los archivos de auditora se guardan en el disco. Si no mueve estos
archivos del servidor, se llenar el disco con bastante rapidez. Cuando esto sucede, SQL Server
simplemente dejar de proporcionar cualquier servicio de base de datos.
En general, es mucho mejor no almacenar archivos de auditora en el servidor de base de datos. El
servidor de base de datos y el disco tienen mucho que hacer sin pedirles que tambin escriban
toda esta informacin de auditora. Independientemente de dnde se almacene la informacin de
auditora, debe tener una clara comprensin de la auditora de volmenes de datos y de lo que
deberan ser los programas de archivo.
Muchas regulaciones requieren que usted mantenga la informacin de auditora durante muchos
aos. Algunas regulaciones financieras requieren que usted mantenga los datos durante tres aos,
y HIPAA requiere que usted mantenga la informacin durante seis aos. Las polticas internas en
algunas organizaciones de servicios financieros incluso requieren la preservacin de estos datos
durante siete aos. En todos los casos, los nmeros son enormes. Un simple ejercicio le mostrar
lo mal que puede llegar a ser: digamos que usted hace 50 millones de peticiones SQL por da en
sus entornos de base de datos (y muchos entornos que incluyen muchas bases de datos hacen
mucho ms que eso). Suponga que tiene que auditar el 20% de estos (incluidos DML, DDL y SELECT
en objetos sensibles). Suponiendo (por simplicidad) que todos los das tienen la misma carga, esto
llega a ms de 3,5 millones de registros de auditora en un ao.
Para una solucin de auditora sostenible, necesitar archivar la informacin. Esto tambin
asegurar que los tiempos de respuesta para los informes y las consultas sean
razonables.Suponiendo que almacene la informacin archivada en un lugar y un formato que sea
fcilmente accesible para una posible investigacin, realmente no hay inconveniente en archivar
estos datos, y siempre debe buscar esta caracterstica para existir en una solucin adquirida o
buscar implementar esto Caracterstica en una solucin homegrown.
Los atributos importantes que debe asegurarse con respecto al archivado son los siguientes:
Programe el archivado de una manera que garantice que sus datos en lnea sean lo
suficientemente buenos para todas sus actividades de informes. Por ejemplo, si necesita
crear informes de auditora y pistas de auditora para presentar a auditores y grupos de
seguridad de informacin, asegrese de no archivar antes de crear estos informes. Deje
suficiente holgura para apoyar la regeneracin de los informes. Por ejemplo, si crea
informes de auditora mensualmente, archive los datos que tengan tres meses de
antigedad para evitar tener que restaurar los datos en caso de que alguien vea un
informe y desee profundizar an ms.
Archive de una manera que no crear una pesadilla cuando necesite restaurar
datos para una investigacin o para cumplimiento normativo. Cree un manifiesto para
informacin archivada e indexe la informacin archivada con al menos un intervalo de
fechas y una especificacin del servidor de base de datos. Este es el conjunto mnimo de
informacin que necesitar para identificar los archivos que necesita restaurar. Cualquier
otra indexacin que haga probablemente le ayudar en caso de que necesite devolver (por
ejemplo) datos que pertenezcan a un usuario de base de datos que es sospechoso.
1. Las malas prcticas y las personas malas crean una realidad en la que los
reguladores exigen a las compaas que cumplan con diversas normas y reglamentos.
3. Dado que en la mayora de las organizaciones los grupos de datos (y los DBA) son
propietarios de todos los aspectos de la base de datos, los responsables de las polticas
recurren a los DBA y requieren que activen la auditora a nivel de base de datos.
4. La primera reaccin es el desconcierto completo; Despus de todo, qu es
exactamente lo que significan? Qu debemos auditar, con qu frecuencia, a qu nivel de
granularidad, y as sucesivamente?
5. Cuando estas preguntas son planteadas por los DBAs, los auditores rara vez tienen
la respuesta. Esto es parte de la auditora semntica / brecha de conocimiento.
6. A continuacin, los auditores suelen hacer algunos deberes y volver con una lista
muy larga de requisitos de auditora, que a menudo son poco prcticos (o ineficaces), y los
DBA no son tmidos al comentar sobre este hecho.