Devlet ve sektör düzenlemelerine uyum sağlamanın artan yükü, BT projeleri ve uygulamaları üzerinde önemli, zaman alan gereksinimler getirir. Ve hiçbir yerde düzenlemelere uyma baskısı, kurumsal veritabanlarında saklanan verilerden daha büyük değildir.
Kuruluşlar, verilerini korumak ve izlemek için kontroller uygularken son derece dikkatli olmalıdır. Şirketinizin veri tabanı verilerini korumak için en kullanışlı tekniklerden biri, basitçe veri tabanı denetimi olarak da bilinen veri erişim denetimidir. Veritabanı denetimi, operasyonel veritabanları içindeki seçili veritabanı nesnelerine ve kaynaklarına erişimin ve bunların değiştirilmesinin izlenmesi ve gerektiğinde bu kaydın alınıp analiz edilebileceği ayrıntılı bir erişim kaydının tutulması sürecidir.
Bir veri erişimi denetim yeteneği, şirketlerin veri tabanı verilerine ilişkin bir bilgi denetim izi oluşturmasına olanak tanır. Bu denetim izi, hangi veritabanı nesnelerinin etkilendiği, işlemleri kimin gerçekleştirdiği ve etkinliğin ne zaman gerçekleştiği gibi bilgileri içermelidir. Denetim izini incelemek ve analiz etmek için bir analiz motoruyla birleştirilmiş kapsamlı bir veritabanı işlemleri denetim izi, veri ve güvenlik uzmanlarının yanı sıra BT denetçilerinin veritabanı sistemlerinizdeki verilere karşı erişim ve değişiklik kalıplarının derinlemesine bir analizini gerçekleştirmesine olanak tanır. Düzenlemelere uymak, güvenlik denetimlerini geçmek ve etkili sorun çözümü için olası güvenlik açıklarını incelemek üzere ayrıntılara inmek yalnızca bu tür ayrıntılarla donandığında mümkündür.
Yönetmeliklere ve Gerekliliğe Bir Bakış
Her türden kuruluş için geçerli olan birçok düzenlemeye uymak için ayrıntılı bir denetim izi gereklidir.
PCI Veri Güvenliği Standardı gerekliliklerinin birçoğu, kart sahibi verilerine erişimin gerçek zamanlı olarak izlenmesinin ve izlenmesinin yanı sıra, veritabanı güvenlik sağlık durumunun sürekli olarak değerlendirilmesinin önemini vurgular.
HIPAA, Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası, sağlık hizmeti sağlayıcılarını, hastalarının bilgilerine bakan herkesin bir listesini bile teslim edebilmesi gerektiğini belirtecek kadar ileri giderek, bireyin sağlık hizmeti bilgilerini korumaya yönlendirir. Yönettiğiniz herhangi bir veritabanında belirli bir satıra veya satır grubuna bakan herkesin bir listesini üretebilir misiniz?
Ve sonra dolandırıcılığı ve çıkar çatışmalarını azaltmanın yanı sıra ifşaat ve finansal raporlamayı iyileştirmeyi hedefleyen Sarbanes-Oxley Yasası (SOX) var. SOX Yasasının 404. Bölümü, CFO’nun sayıları toplamak için kullanılan süreçlerin doğruluğunu garanti etmesi gerektiğini belirtir; bir veritabanı sistemindeki verilere erişen ve verileri işleyen süreçler. Bu nedenle, SOX uyumluluğu için veritabanı şemalarını ve veritabanı verilerini kimin değiştirdiğini takip edebilmek önemlidir.
Ve bunlar, anlaşılması ve uyulması gereken ilgili ulusal, uluslararası, bölgesel ve sektör düzenlemelerinden yalnızca birkaçıdır.
Veritabanı Erişim Denetim Teknikleri
Artık veritabanı erişim denetiminin neden önemli olduğunu anladığımıza göre, bunun nasıl gerçekleştirilebileceğine bir göz atalım. Veritabanı yapılarınızı denetlemek için uygulanabilecek birkaç popüler teknik vardır.
İlk teknik, tipik olarak doğrudan DBMS’nin yerel yeteneklerine yerleşik olan iz tabanlı denetimdir. Örneğin, IBM Db2 for z/OS ürününün Denetim izleme özelliği. Bir denetim izi başlatıldığında, denetlenen nesnelere karşı etkinlik oluştuğunda (DDL seçeneğiyle seçilir) DBMS izleme kayıtlarını kesmeye başlar. Bununla birlikte, Db2, iş birimi başına yalnızca ilk okuma veya yazma işlemini yakalar; bu, UOW’lerin çoğu birden fazla okuma veya yazmayı kapsadığından etkinlikleri açıkça kaçıracaktır. Alternatif olarak, tüm etkinliği yakalamak üzere adlandırılmış tablolar için Db2 denetim ilkeleri oluşturulabilir; bu, yakalanan verileri iyileştirir, ancak SMF veri kümelerinde depolanması gereken fazla sayıda denetim kaydı oluşturabilir.
Bu nedenle, denetim izleme etkinleştirildiğinde yüksek performans düşüşü potansiyeli, veritabanı şemasının değiştirilmesi gerekme olasılığının yüksek olması ve özellikle okumalar için denetim kontrolünün yetersiz ayrıntı düzeyi dahil olmak üzere bu teknikle ilgili sorunlar vardır.
Başka bir teknik, işlem günlüklerini taramak ve ayrıştırmaktır. Her DBMS, kurtarma amacıyla her veritabanı değişikliğini yakalamak için işlem günlüklerini kullanır. Günlüğü okuyabilir ve verileri yorumlayabilirseniz (veriler basit olmadığı için bu zor olabilir), hangi verilerin hangi kullanıcılar tarafından değiştirildiğini belirlemek mümkündür. Bu tekniğin en büyük dezavantajı, veritabanı okumalarının işlem günlüklerinde yakalanmamasıdır.
Veri erişimini denetlemek için günlük analizine güvenmeyle ilgili ek sorunlar şunları içerir:
- Değişiklik bilgilerinin günlükte yer almaması ve dolayısıyla yakalanmaması için günlük kaydını devre dışı bırakmak mümkündür.
- Denetlenecek yalnızca belirli bilgileri arayan günlük dosyalarının hacimlerini ve hacimlerini tarayan performans sorunları
- Veritabanı kurtarma için kısa süreli saklama için tasarlandıklarında, denetim için uzun süreler boyunca günlükleri tutmanın zorluğu
Bu da bizi yasal uyumluluk konusunda ciddi olan kuruluşlar için üçüncü ve tercih edilen veri tabanı denetleme yöntemine getiriyor: DBMS tarafından yürütülürken tüm SQL isteklerini proaktif olarak izleyen ve yakalayan profesyonel yazılım. Tüm SQL erişiminin, yalnızca ağ çağrılarını dinleyerek değil, SQL için veri tabanı düzeyinde izlenerek denetlenmesi önemlidir. Bu önemlidir, çünkü her SQL isteği ağ üzerinden gitmez, özellikle de etkinliğin çoğunun merkezileştirildiği ve birçok önemli ticari işlemin hiçbir zaman bir IP ağı üzerinden yapılmadığı anabilgisayar platformu için (örneğin, Db2’ye erişen bir CICS veya IMS işlemi).
Proaktif müdahale tabanlı veritabanı denetim izleme, işlem günlükleri veya veritabanı şeması değişikliği gerektirmez. Neyin denetleneceğini belirleme açısından son derece ayrıntılı olmalı ve yalnızca minimum ek yüke neden olmalıdır.
Db2 veri tabanı erişimi için kesmeye dayalı denetim uygulayan bu tür ürünlerden biri, ESAI Group tarafından sağlanan “Db2 Erişim Kayıt Hizmetleri” anlamına gelen DBARS’tır.
DBARS
Db2 veri tabanı denetleme ihtiyaçlarınız için DBARS’ı kullanmak, yalnızca değişiklikleri değil aynı zamanda tüm okumaları da içeren tüm Db2 veri tabanı etkinliklerini yakalamak için yüksek hızlı bir yöntem sunduğundan mantıklıdır. Ayrıca DBARS, Db2 izlemeye güvenmez. Bunun yerine, kaynağı ne olursa olsun tüm Db2 SQL deyimlerini durdurmak için tescilli bir arabirim kullanır. Bu nedenle, tüm Db2 etkinliklerinin denetim raporlarını oluşturmak için DBARS’ı kullanabilirsiniz. Ayrıca DBARS, şüpheli SQL etkinliğini engelleme yeteneği sunarak, size belirli parametrelere ve kalıplara dayalı olarak hileli erişim girişimlerini önleme yeteneği verir.
Anabilgisayar Db2 veritabanınıza, denetim gereksinimlerinize baktığınızda ve işlevselliği bu makalede sunulan tavsiyelerle karşılaştırdığınızda, DBARS’ın Db2 tablolarındaki hassas verilere erişimi denetlemek için gereken tüm işlevleri sunduğunu göreceksiniz.
Bir Veritabanı Denetim Çözümü İçin Önemli Özellikler
Kuruluşunuz için veritabanı erişim denetimi gereksinimlerini araştırırken, incelediğiniz çözümlerin diğer yöntemler yerine müdahale tabanlı denetim kullanarak VTYS’nizi desteklediğinden emin olmalısınız.
Ayrıca, çözümünüzün cevaplayabilmesini istediğiniz soru türlerinin bir listesini de oluşturmalısınız. İyi bir veritabanı erişimi denetim çözümü, en azından aşağıdaki sorulara yanıt verebilmelidir:
- Verilere kim erişti?
- Verilere hangi tarih ve saatte erişildi?
- Verilere erişmek için hangi program veya istemci yazılımı kullanıldı?
- Toplu anabilgisayar kullanıcıları için z/OS iş adı neydi?
- Talep hangi yerden yapıldı?
- Dağıtılmış Db2 erişimi için dış sunucu, uygulama ve iş istasyonunun adları neydi?
- Verilere erişmek için hangi SQL verildi?
- İstek başarılı oldu mu? Varsa, kaç veri satırına erişildi veya değiştirildi?
- Talep bir değişiklikse, hangi veriler değiştirildi? (Değişikliğin öncesi ve sonrası görüntüsü erişilebilir olmalıdır)
Elbette bu soruların her biri için araştırılması gereken çok sayıda detay var. Son etkinlikleri gözden geçirmek isteyeceksiniz, ancak geçmişte gerçekleşen eylemleri de gözden geçirmek isteyeceksiniz. Bu nedenle, sağlam bir veritabanı erişimi denetim çözümü, denetim ayrıntılarının uzun süreli depolanması ve erişimi için bağımsız bir mekanizma sağlamalıdır. Denetim izini sorgulamak, hatta belki de en yaygın sorgu türleri için hazır sorgular sunmak kolay olmalıdır. Bununla birlikte, denetim bilgilerine, denetim bilgilerinin, denetim bilgilerinin denetim bilgilerine erişilebilmesi için endüstri standardı sorgulama araçları kullanılarak erişilebilir olması gerekir.
denetçilerin sorguları gerektiği gibi özelleştirmesi daha kolay.
Belirli bir SQL etkinliği yakalandığında, bir istisnayı kaydetmek, bir günlüğe bilgi göndermek veya bir DBA’ya veya güvenlik yöneticisine ping atmak gibi başka eylemler gerçekleştirmek için bir uyarı tetiklenecek şekilde bir uyarı yeteneği de arzu edilir.
Gelişmiş denetim çözümleri, veritabanına şüpheli erişimi proaktif olarak engelleme yeteneği de sağlar. Örneğin, hafta sonu boyunca normal, planlanmış programların dışında herhangi bir erişim girişimini durdurmak isteyebilirsiniz. Her halükarda, bir denetim çözümünün kullanıcı adı, program adı, IP adresi, yürütme süresi, erişim türü ve benzeri parametrelere dayalı olarak etkinlikleri bloke edebilmesi arzu edilir. Böyle bir yetenek önemlidir, çünkü hileli erişimi engellemek, izin vermek ve olduğunu bildirmekten daha iyidir!
DBA’lar ve SYSADM’ler gibi ayrıcalıklı kullanıcıları denetlemek için bir mekanizma sağlamak, kapsamlı bir veritabanı denetim çözümü için de önemlidir. Birçok ayrıcalıklı kullanıcının tüm kurumsal verilere sınırsız erişimi vardır. Kendi takdirlerine göre erişip değiştirebilseler de, üretim verilerine geçerli bir neden olmadan erişmemeli ve bunları değiştirmemelidirler. Bir veritabanı denetim çözümü, kuruluşların ayrıcalıklı kullanıcılarıyla “güven ama doğrula” ilkesini uygulamasına olanak tanır. Bu, yöneticilerin işlerini yapabilmeleri için ihtiyaç duydukları yetkiyi ellerinde tutmalarına olanak tanırken, aynı zamanda kuruluşa, ayrıcalıklı kullanıcıların yaptığı her şeyin güvenlik ve uyumluluk amaçlarıyla izlendiği konusunda gönül rahatlığı sağlar. Yerinde bir veritabanı denetim çözümü olmadan, ayrıcalıklı kullanıcılar, her veritabanı uygulamasında gizlenen potansiyel bir uyumluluk sorunudur.
Profesyonel Veritabanı Denetim Çözümünün Faydaları
Sonuç olarak, veritabanı denetimi, kuruluşunuzun veri koruma stratejisinin çok önemli bir bileşeni olmalıdır. Veritabanı etkinliğinin denetlenmesi, birçok hükümet ve sektör düzenlemesine uyumun temel gerekliliklerinden biridir, ancak denetim aynı zamanda veritabanı sistemlerinizdeki önemli üretim verilerinin güvenliğini sağlamanın ve korumanın da temel bir bileşenidir.
Kuruluşunuzun denetim ve uyumluluk gereksinimlerini incelediğinizden ve veritabanlarınızın denetlenebilirliğini desteklemek için DBMS’nizi uygun araçlarla güçlendirdiğinizden emin olun.
