Startseite
Leitfäden
Wie man administrative Aktionen in Ihrem Oracle RDS und EC2 überwacht

Wie man administrative Aktionen in Ihrem Oracle RDS und EC2 überwacht

Vorwort

Amazon Relational Database Service (Amazon RDS) ist ein Webdienst, der es einfacher macht, eine relationale Datenbank in der AWS Cloud einzurichten, zu betreiben und zu skalieren. Er bietet kosteneffiziente, skalierbare Kapazität für eine branchenübliche relationale Datenbank und verwaltet gängige Datenbankadministrationsaufgaben.

DataSunrise ist ein AWS Advanced Technology Partner, zertifiziert für Sicherheitskompetenz im Datenschutz und Verschlüsselung sowie mit anderen AWS-validierten Qualifikationen. DataSunrise kann On-Premises oder auf einer EC2-Box oder als Cluster auf mehreren EC2-Instanzen, in einer virtuellen Maschine oder auf Bare-Metal betrieben werden. Die DataSunrise Data und Database Security Suite (DataSunrise) für alle Arten von Amazon RDS fungiert als eine Datenbank-Anwendungs-Firewall (DAF) und wirkt als Man-in-the-Middle für alle Sitzungen, Abfragen und Befehle von jedem Client zur Amazon RDS Instanz. Und da DataSunrise die Software und keine SaaS-Lösung ist, sind Sie dafür verantwortlich, Ihre DataSunrise-Instanz richtig einzurichten und zu konfigurieren.

Das primäre Ziel dieses Artikels ist es, den Ansatz zur Überwachung der Aktivitäten privilegierter Konten vorzustellen. Wir werden sehen, wie man DataSunrise einrichtet, um die DBA-Aktivität in Oracle RDS zu überwachen. Allerdings gelten alle allgemeinen Schritte für jede Amazon RDS-Instanz.

Übersicht über Oracle RDS und Voraussetzungen

Wie Sie wahrscheinlich wissen, unterstützt Amazon RDS den Zugriff auf Datenbanken mit jeder Standard-SQL-Clientanwendung und erlaubt keinen direkten Host-Zugriff mit SSH usw. Diese Architektur erlaubt es Ihnen nicht, Datenbank-Agenten in Amazon RDS zu installieren und beschränkt Sie bei der Verwendung leistungsfähiger DBA-Privilegien wie SYSDBA. Amazon RDS verwendet ein Shared Responsibility-Modell, das direkte menschliche Eingriffe in die Computing-Plattform ausschließt. Mit Amazon RDS können Sie Ihre Aufgaben jedoch leicht unterschiedlich und vereinheitlicht durchführen. Zum Beispiel kann der DBA auf Datenbankprotokolle zugreifen oder Amazon RDS-Instanzen mit Snapshots über die AWS Management Console, AWS CLI oder RDS API sichern. Andererseits können Sie keine Verbindungen zu Amazon RDS über SSH oder RDP für datenbank- oder betriebssystembezogene (und wahrscheinlich schädliche) Aktivitäten herstellen. Bitte denken Sie daran, dass Sie, wenn Sie die erforderliche IAM-Rolle haben, Ihre Amazon RDS-Instanz entsprechend Ihren Systemanforderungen ändern und verwalten können, ohne eine Verbindung zu Amazon RDS über SSH/RDP herzustellen.

Ein wichtiger Aspekt betrifft Oracle SYSDBA und ähnliche Privilegien/Rollen. Die SYSDBA-Rolle ist nur dem RDSADMIN-Benutzer zugewiesen (AWS verwendet den “rdshm” OS-Benutzer) und das RDSADMIN-Passwort ist unbekannt. Auch bei Oracle RDS kennen Sie das SYS-Benutzerpasswort nicht. Und all das bedeutet, dass:

Sie sich nicht mit Ihrem Oracle RDS mit dem Benutzer RDSADMIN oder SYS verbinden können;
Ihre Datenbankbenutzer können keine SYSDBA oder andere mächtige Rolle der Oracle-Datenbank erlangen;
Sie können sich nicht aus der Ferne zu einer Oracle RDS Instanz mit SYSDBA oder einer anderen mächtigen Rolle der Oracle-Datenbank verbinden.

Diese eingeschränkten Privilegien sichern und schützen jede einzelne RDS-Instanz. Oracle RDS erstellt für Sie einen eingeschränkten DBA-Benutzer (z.B. “admin” Benutzer standardmäßig), so dass Sie sich mit diesem Benutzer zu Oracle RDS verbinden können. Später können Sie einen weiteren Benutzer erstellen und dieser neue Benutzer wird nicht mehr Rechte erhalten als Ihr “admin”-Benutzer hat. Auch dies hängt wieder mit dem Shared Responsibility-Modell des Managements in AWS zusammen. Das Amazon RDS-Team hat diese rote Linie festgelegt, die Sie nicht überschreiten können.

Wir werden das Einrichten von Oracle RDS in diesem Artikel nicht weiter behandeln und um mit den nächsten Schritten fortzufahren, benötigen Sie eine laufende Oracle RDS Instanz und wir hoffen, dass Sie eine neue Oracle RDS starten können oder Sie haben bereits Zugang zu einer bestehenden Oracle RDS Instanz. Wenn Sie die Best Practices für den Betrieb von Oracle RDS kennen möchten, sehen Sie bitte in der AWS-Dokumentation nach.

Im nächsten Abschnitt werden wir uns ansehen, welche Möglichkeiten es gibt, die DBA-Aktivität zu überwachen.

DBA Aktivität in Oracle RDS und Prüfungsoptionen

Die Einschränkungen von RDS-Instanzen werfen viele Fragen auf, wie man spezifische DBA-Aktionen wie ALTER SYSTEM, CREATE USER, DROP DATABASE usw. überwachen kann. Und wie können Sie interne RDS-Benutzer wie RDSADMIN überwachen? Ok, lassen Sie uns alle verfügbaren Optionen durchgehen.

Sie können die interne RDS-Aktivität mit Amazon RDS Datenbankprotokolldateien anzeigenSie können Datenbankprotokolle mit der Amazon RDS-Konsole, dem AWS Command Line Interface (AWS CLI) oder der Amazon RDS API Amazon RDS API anzeigen, herunterladen und beobachten. Amazon bietet Point-In-Time Recovery Service und behauptet, dass RDS Transaktionsprotokolle für DB-Instanzen alle 5 Minuten auf Amazon S3 hochlädt . So Datenbankprotokolldateien und CloudTrail Service helfen Ihnen beide, die Aktivität des RDSADMIN-Benutzers zusammen mit zusätzlichen Informationen über Oracle RDS-Ereignisse zu analysieren. All diese Optionen sind gut, bis Sie Echtzeit-Transaktionsüberwachung und Alarmierung benötigen.
Mit DAF-Instanzen, die auf separaten EC2-VMs laufen, können Sie alle Sitzungen und Abfragen überwachen, die zu Ihrer Amazon RDS-Instanz laufen.Der Zweck von DAF-Instanzen besteht darin, Ihr Datenbankwächter zu werden und da Sie die DBA-Aktivität überwachen müssen, werden wir diese Option weiter im Detail sehen. Die DataSunrise auf EC2-Boxen sind in der Lage, die Netzwerkaktivität zu Amazon RDS zu überwachen und zu sichern.

Überblick und Voraussetzungen für DataSunrise auf AWS

Das Einrichten und Konfigurieren gesicherter DataSunrise-Instanzen beinhaltet mehrere wichtige Schritte. Um Ihre gesicherte DataSunrise-Instanz in der AWS-Umgebung vorzubereiten, folgen Sie bitte den Schritten, die in unserem DataSunrise AWS Security Best Practices Dokument beschrieben sind. Einige der Schritte sind die folgenden:

Weisen Sie Ihren EC2-Instanzen mit DataSunrise-Instanzen die richtigen IAM-Rollen zu;
Erstellen Sie und weisen Sie VPC-Sicherheitsgruppe(n) Ihrer Amazon RDS-Instanz und EC2-Instanzen mit DataSunrise-Software zu;
Verwenden Sie gesicherte und einzigartige Passwörter für jedes Konto.

Die untenstehende Architektur besteht aus einer Datenbankinstanz (RDS oder auf EC2-Instanz) hinter DAF, einer separaten Audit Storage-Datenbank (RDS oder auf EC2-Instanz) und einer DataSunrise-Instanz, die als Proxy-Server für Benutzerverbindungen dient.

Als Option stellt DataSunrise CloudFormation-Skripte zur Verfügung, um in AWS gesicherte und kosteneffiziente Datenbanksicherheitslösungen zu implementieren. Nach der Erstellung Ihrer Amazon RDS-Instanz automatisieren diese Skripte alle erforderlichen Aufgaben, um EC2-Instanzen bereitzustellen, DataSunrise auf diesen EC2-Instanzen zu installieren, den Amazon Load Balancer einzurichten sowie alle anderen erforderlichen AWS-Ressourcen zu erstellen. Wir werden die CloudFormation-Option überspringen und mit einem einzelnen EC2-Instanzenszenario fortfahren. Wir haben Videos dazu vorbereitet, wie man eine DataSunrise-Instanz installiert, bitte schauen Sie sich eines der Videos an und folgen Sie den erforderlichen Schritten:

DataSunrise auf Linux installieren https://www.youtube.com/watch?v=FWoGY2qc0F8
DataSunrise auf Windows installieren https://www.youtube.com/watch?v=wKlFUdUUbSE

Am Ende des Installationsprozesses sollte Ihre DataSunrise-Instanz von Ihrem Webbrowser aus erreichbar sein. Sie benötigen eine laufende DataSunrise-Instanz, damit Sie mit den erforderlichen Rechten auf Ihre DataSunrise-Instanz Web Console zugreifen können.

Die nächste Voraussetzung ist die Datenbankkonfiguration, die Sie in der DataSunrise-Instanz erstellen sollten, um einen Proxy für Amazon RDS zu starten. Bitte verweisen Sie auf das DataSunrise-Benutzerhandbuch, Abschnitt “3.1 Erstellen eines Ziel-Datenbankprofils und eines Proxys” und Abschnitt “5.1.6 Erstellen von Datenbankbenutzern, die für den Erhalt der Datenbank-Metadaten erforderlich sind”. Da der DataSunrise im Proxy-Modus als Man-in-the-Middle arbeitet, indem er alle nicht-AWS TCP-Pakete an die Amazon RDS-Instanz abfängt, können Sie den gleichen Standard Oracle Database Port 1521 verwenden, da die DataSunrise-Instanz auf einer anderen EC2-Instanz läuft. Stellen Sie schließlich sicher, dass Ihre Amazon RDS-Instanz NICHT von einer anderen nicht-AWS IP / name und Port erreichbar ist, außer über die DataSunrise-Instanz. All diese Schritte stellen sicher, dass alle Ihre Client-Applikationen Ihre Oracle RDS-Instanz nur über Ihre DataSunrise-Instanz erreichen können.

Konfiguration von DataSunrise zur DBA-Überwachung

Wie wir bereits erwähnt haben, erhalten Sie beim Erstellen Ihres Oracle RDS einen eingeschränkten DBA-Account und dessen Passwort, standardmäßig bietet Oracle RDS den Datenbankbenutzer “admin” an, um auf Ihre Instanz zuzugreifen. Und wie Sie sich erinnern, deaktiviert Amazon RDS das SYSDBA-Privileg für Sie. Und das schränkt den möglichen Bereich potenzieller Bedrohungen für die Amazon RDS-Instanz ein. Wenn Ihr Oracle RDS von Ihrem Desktop-Rechner aus erreichbar ist, versuchen Sie, sich als SYSDBA mit Ihrem Oracle RDS zu verbinden, um zu beweisen, dass das stimmt, siehe das Beispiel unten.

Sie werden sehen, dass in Oracle RDS weder SYSDBA, noch SYSOPER oder andere SYS-bezogene Privilegien verfügbar sind, weder über TCP noch über SSH.

Daher müssen Sie darauf achten, Netzwerkverbindungen – Remoteverbindungen mit dem richtigen Tool wie DataSunrise DAF zu überwachen. Wir werden DataSunrise konfigurieren, um jede Art von Aktionen zu erfassen, die Ihr DBA remote zu Amazon RDS Instanz ausführen kann.

Zusammenfassung der nächsten Schritte

Zur Überwachung der DBA-Aktionen werden wir die folgenden Schritte ausführen:

Identifizieren Sie Ihre DBA-Benutzernamen / -Konten. DataSunrise verwaltet Datenbankbenutzer unter seinem Konfigurationsmenü. Wenn Sie mehr als einen DBA haben, dann erstellen Sie eine neue Datenbankbenutzergruppe unter Konfiguration → Datenbankbenutzer. In unserem Beispiel werden wir DBA namens “admin” verwenden, der von unserer Oracle RDS-Instanz generiert wurde.
Erstelle unter Konfiguration → Objektgruppen einen neuen Eintrag und füge ein einzelnes Element mit regulärem Ausdruck “.*” hinzu.
Erstellen Sie eine neue Überwachungsregel, um die Datenbankbenutzer- und Abfragegruppe zur DBA-Aktivitätsüberwachung einzubeziehen.
Überprüfen Sie die DBA-Aktivität in der DataSunrise-Instanz

1. Identifizieren und konfigurieren Sie Ihre DBA-Benutzer in DataSunrise

Lassen Sie uns mit all diesen Schritten fortfahren. Zunächst prüfen wir unter Konfiguration → Datenbankbenutzer, ob der Benutzer “admin” unserer DataSunrise-Instanz bekannt ist. Falls DataSunrise keinen solchen hat, erstellen Sie den Benutzer “admin” manuell. Wenn Sie mehrere Oracle RDS-Instanzen haben und den gleichen Benutzernamen “admin” DBA verwenden, können Sie <Any> Instance auswählen. Bitte vergessen Sie nicht, auf die Schaltfläche Speichern zu klicken, um Ihre Einstellungen auf jeder Seite zu speichern.

Auf dem obigen Bild haben wir den ADMIN-Benutzer erstellt und ihn zur DBA Team Gruppe hinzugefügt. Wenn Sie mehrere DBA-Benutzer erstellt haben, fügen Sie sie bitte der “Oracle DBA Team” Benutzergruppe in der DataSunrise-Instanz hinzu.

2. Konfigurieren Sie eine neue Abfragegruppe

Zweiter Schritt – wir werden unsere neue Abfragegruppe “AnyQuery” erstellen und nur einen Eintrag “.*” im Abfrageelement hinzufügen. Bitte sehen Sie die Einstellungen auf dem Bild unten.

Wenn Sie eine neue Abfrage für die Abfragegruppe erstellen (siehe “Hinzufügen”-Knopf auf dem Bild), prüfen Sie bitte die “Regulärer Ausdruck”-Checkbox.

An diesem Punkt haben wir den “ADMIN”-Datenbankbenutzer, die “Oracle DBA Team” Benutzergruppe in der DataSunrise-Instanz registriert und unsere “AnyQuery” Abfragegruppe mit einer Abfrage, die das Reguläre Ausdrucksmuster “.*” hat, um jede Abfrage zu entsprechen. Halbwegs erledigt.

3. Erstellen und konfigurieren Sie eine neue Überwachungsregel

Als nächstes erstellen wir eine neue Überwachungsregel mit dem Namen “Oracle: admin queries” mit dem, was wir in der DataSunrise-Instanz erstellt haben. Bitte öffnen Sie die Webkonsole und gehen Sie zu Überwachung → Regeln. Klicken Sie auf Erstellen, um die neuen Regeln zu erstellen. Bitte sehen Sie die Details auf den Bildern unten.

Wir werden Sitzungsfilter und die Abfragegruppe Registerkarte auf der Seite verwenden, um unsere Regel mit den entsprechenden Einstellungen zu verbinden, die wir zuvor gemacht haben, siehe Details in den folgenden Bildern.

Wenn Sie die “Oracle DBA Team” Benutzergruppe für den DB Benutzergruppe Sitzungsparameter auswählen, veranlassen Sie DataSunrise, jede Sitzung von jeder IP / Host mit einem Benutzernamen auf der “Oracle DBA Team” Liste zu erfassen. Wenn Sie ein weiteres Datenbankbenutzerelement zur “Oracle DBA Team” Benutzergruppe hinzufügen, prüft diese Regel den neuen Benutzer automatisch in dieser Regel. Und da Sie die Abfragegruppe Registerkarte auf der Überwachungsregel Seite verwenden und dort “AnyQuery” ausgewählt haben, wird DataSunrise jede Expression oder Abfrage überprüfen, die Ihr DBA-Team durch die DataSunrise-Instanz ausführt. Später sehen Sie diese Ereignisse unter Überwachung → Transaktionspfade.

Zusätzlich und optional können Sie Überwachungsereignisdetails an ein externes SIEM über das Syslog-Protokoll senden oder Alarme an andere externe Systeme (SMTP/Email, Jira, ZenDesk, Sofortnachrichtendienste) senden. Um eine Verbindung zu einem Syslog-kompatiblen Server zu konfigurieren, navigieren Sie bitte zu Konfiguration → Syslog-Einstellungen und konfigurieren Sie die erforderlichen Einstellungen auf dieser Seite. Siehe “7.7 Syslog-Einstellungen (CEF-Gruppen)” und “10.6 Syslog-Integrationseinstellungen” in unserem Benutzerhandbuch für weitere Details. Um Alarme an andere als Syslog-Empfänger zu senden, fügen Sie neue Einträge zu Abonnenten (Web-Konsole: Konfiguration → Abonnenten → Server hinzufügen… Abonnenten hinzufügen Menüeintrag). Weitere Informationen zu Abonnenten finden Sie im Abschnitt “7.5 Abonnenteneinstellungen” des DataSunrise-Benutzerhandbuchs. Später können Sie in Ihren DataSunrise-Regeln die Syslog-Einstellung und/oder Abonnenten verwenden (siehe erstes Bild oben); bitte sehen Sie die entsprechenden Abschnitte in den DataSunrise-Benutzer- und Administrationshandbüchern. Bei konfiguriert können Sie Ihre Syslog und Abonnenten Punkte auf Ihrer Überwachungsregel auswählen. Bitte vergessen Sie nicht, den Speichern -Knopf auf der Überwachungsregelseite zu klicken, um neue Einstellungen zu speichern.

Auf diese Weise haben wir Abfragetypen ausgewählt, die wir überwachen müssen (und wahrscheinlich einige Leute mit Alarmen benachrichtigen müssen) für eine konkrete Amazon RDS-Instanz oder mehrere Instanzen, wenn Sie den Eintrag “<ANY>” in dem Instanz Dropdown-Feld auf der Regelseite auswählen. Es gibt mehrere Optionen, um die Überwachung typischer Abfragen wie DBMS-Tools zu überspringen, für weitere Informationen siehe Abschnitt “6.4.2 Abfragegruppenfilter” im DataSunrise Benutzerhandbuch in Verbindung mit Gruppe der zu überspringenden Abfragen Parameter von Regeln.

4. Überprüfen Sie die DBA-Aktivität in der DataSunrise-Instanz

Um zu überprüfen, ob unsere neue Überwachungsregel Abfragen erfasst, werden wir CREATE USER und DROP USER Abfragen mit dem Oracle SQL Developer Tool ausführen. Wir werden uns über die DataSunrise-Instanz mit der Oracle RDS-Instanz verbinden.

Danach können wir die Transaktionsprotokolle in DataSunrise-Instanz überprüfen.

Da wir Ereignis in Speicher protokollieren Option in unserer Überwachungsregel gesetzt haben, können wir diese Ereignisse auf

Überwachung → Transaktionspfade Seite auf unserer DataSunrise-Instanz Web-Konsole finden.

Hinweise zu EC2 mit Oracle Database-Instanz

Es gibt einige Überlegungen zum Einsatz von Datenbankinstanzen auf Amazon EC2-Instanzen zusammen mit DataSunrise. Da Sie diese Instanzen einrichten und konfigurieren, erlauben Sie aus irgendeinem Grund lokale Verbindungen (SSH, RDP usw.) oder Remote-Verbindungen (Datenbank TCP), die DataSunrise-Instanz (oder Ihren Load Balancer) umgehen. All diese Verbindungen müssen streng limitiert sein, um ein maximales Sicherheitsniveau und Management zu gewährleisten. In Ihrem VPC empfehlen wir die Implementierung strenger Regeln mit Hilfe von Sicherheitsgruppen und Netzwerk-ACLs. Das Ziel all dieser Einschränkungen sollte die Eliminierung des direkten Zugriffs auf Ihre Datenbankinstanz von jeder IP oder jedes Netzwerk außer DataSunrise auf Ihrem EC2-Instanz zum Datenbankport sein.

Die nächsten Schritte finden Sie im Abschnitt “Konfigurieren der DataSunrise-Einstellungen” dieses Artikels. Und wie Sie wahrscheinlich immer noch darüber nachdenken, wie sie Ihre potenziell schädlichen SYSDBA (und ähnlichen) Rollen überwachen können, werden wir uns die Überwachungsfunktionen von DataSunrise ansehen, die dabei helfen können.

Mit DataSunrise 6.2 können Sie Sitzungsparameter in Filtersitzungen -Bedingungen einbeziehen. Bitte sehen Sie unten in unserer Überwachungsregel die Bedingung, SYSDBA und ähnliche Privilegien zusätzlich zum “Oracle DBA Team” in DB Benutzergruppe zu überwachen. Wir nehmen an, dass wir unsere DataSunrise-Instanz konfiguriert haben, um Oracle Database auf einer EC2-Instanz zu schützen und es keinen anderen Weg gibt, auf den Datenbankserver zuzugreifen, als nur durch die DataSunrise-Instanz im Proxy-Modus.

Da unser DAF Oracle Database auf EC2 schützt, werden wir versuchen, uns über den DataSunrise-Proxy mit Oracle zu verbinden. Auf den folgenden Bildern verbinden wir uns mit der Datenbank mit Hilfe von Oracle SQL Developer über DataSunrise und benutzen den “sys”-Nutzernamen und die SYSDBA-Rolle. Wir haben eingestellt, dass das in unserer Oracle-Datenbankinstanz erlaubt ist. Sehen Sie das Testergebnis auf dem folgenden Bild.

Wenn der Test mit dem Status Erfolg bestanden wurde, können wir versuchen, einige Abfragen genauso wie in dem Abschnitt “Konfiguration von DataSunrise zur DBA-Überwachung” dieses Artikels auszuführen. Oracle SQL Developer wird die Abfragen über die DataSunrise-Instanz ausführen. Dann können wir auf der DataSunrise Web-Konsole Überwachung → Sitzungspfade oder Überwachung → Transaktionspfade überprüfen, um alle “sys”-Nutzerabfragen und -Sitzungen zu sehen. Unsere Überwachungsregel erfasst den Datenbankbenutzer “sys”, obwohl dieser Benutzer nicht auf der Liste der “Oracle DBA Team” ist, die wir früher in DataSunrise-Instanz erstellt haben. Wenn wir Überwachung → Sitzungspfad öffnen und ein bestimmtes Element sehen, werden wir sehen, dass DataSunrise-Instanz Details über Oracle-Datenbankrollen sowie andere nützliche Informationen speichert.

Auf diese Weise haben wir DataSunrise konfiguriert, um jede DBA-Aktivität einschließlich SYSDBA und ähnlicher Systemprivilegien, die Oracle Database hat, zu überwachen.

Schlussfolgerung

Wir haben gesehen, dass Oracle RDS weniger Aufwand erfordert, um eine Oracle Database-Instanz zu sichern und DBA-Aktivität zu überwachen. Auf EC2-Instanzen ist es erforderlich, die Ärmel hochzukrempeln und Sitzungsparameter einzustellen, und dank DataSunrise Version 6.2 können Sie Oracle Database eingebaute Rollen überwachen. Für weitere Informationen sehen Sie bitte das DataSunrise Benutzerhandbuch und die angehängten Referenzen.