DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Outils d’Audit Aurora PostgreSQL

Introduction

Dans un environnement actuel orienté sur la sécurité, les capacités d’audit de base de données ne sont plus optionnelles mais des composants essentiels de toute stratégie de gouvernance des données. Avec des exigences réglementaires croissantes comme le RGPD, HIPAA, PCI DSS et SOX, les organisations doivent mettre en œuvre des mécanismes d’audit robustes pour leurs bases de données Amazon Aurora PostgreSQL.

Selon le Rapport sur les Enquêtes de Fuites de Données 2024 de Verizon, les intrusions système et les accès non autorisés restent des menaces significatives dans tous les secteurs. Cela souligne l’importance de mettre en œuvre des solutions d’audit complètes pour vos environnements de base de données.

Ce guide explore les différents outils d’audit disponibles pour Amazon Aurora PostgreSQL, en comparant leurs caractéristiques, approches de mise en œuvre, et meilleures utilisations.

Outils d’Audit Natifs d’Aurora PostgreSQL

Prêts à l’emploi, Aurora PostgreSQL offre plusieurs outils d’audit intégrés pour suivre l’activité de la base de données. Dans cette section, nous passerons brièvement en revue chacun d’eux.

Journalisation PostgreSQL Standard

Aurora PostgreSQL hérite des capacités de journalisation de base de PostgreSQL, qui offrent des fonctionnalités d’audit de base grâce à des paramètres de configuration :

-- Paramètres PostgreSQL courants liés à l'audit log_statement = 'all' -- Consigner toutes les instructions SQL log_connections = on -- Consigner toutes les tentatives de connexion log_disconnections = on -- Consigner lorsqu'une session se termine log_duration = on -- Consigner la durée des instructions log_min_duration_statement = 0 -- Consigner toutes les durées d'instructions

Ces paramètres peuvent être configurés via le groupe de paramètres AWS RDS associé à votre cluster Aurora PostgreSQL.

Limites de la Journalisation Standard

Bien que utile, la journalisation standard de PostgreSQL présente plusieurs limitations :

  • Options de granularité et de filtrage limitées
  • Impact sur les performances à des niveaux de journalisation plus élevés
  • Aucune séparation des tâches intégrée
  • Capacités de conformité limitées

Extension pgAudit

L’Extension d’Audit PostgreSQL (pgAudit) améliore considérablement les capacités d’audit natifs de PostgreSQL en fournissant une journalisation détaillée des sessions et des objets.

Caractéristiques Clés

  • Journalisation des audits de sessions (instructions utilisateur)
  • Journalisation des audits d’objets (opérations sur des objets spécifiques)
  • Classes d’audit personnalisables
  • Prise en charge de la journalisation au niveau des objets et des instructions

Mise en œuvre

Tel que détaillé dans le Blogue Base de Données Amazon, la mise en œuvre de pgAudit implique :

  1. Activer l’extension dans votre groupe de paramètres :

    shared_preload_libraries = 'pgaudit'

  2. Créer l’extension :

    CREATE EXTENSION pgaudit;

  3. Configurer les paramètres d’audit :

    -- Niveau de l'instance (via groupe de paramètres) pgaudit.log = 'DDL,ROLE,WRITE,READ' -- Niveau de la base de données ALTER DATABASE votre_base_de_données SET pgaudit.log = 'DDL,ROLE'; -- Niveau du rôle ALTER ROLE votre_rôle SET pgaudit.log = 'WRITE,READ';

Exemple de Journal d’Audit

2024-02-24 15:27:43.154 UTC:[15432]:LOG:  AUDIT: SESSION,25,1,WRITE,INSERT,TABLE,public.customer,"INSERT INTO customer (id, name) VALUES (1, 'John Smith')",<non consigné>

Flux d’Activité de la Base de Données AWS

Caractéristiques Clés

  • Surveillance des activités en temps quasi réel
  • Intégration avec les services AWS (Kinesis, Lambda, etc.)
  • Chiffrement avec AWS KMS
  • Séparation des tâches entre les DBA et le personnel de sécurité

Mise en œuvre

L’activation des Flux d’Activité de la Base de Données implique :

  1. Configurer les prérequis :

    • Configurer la passerelle NAT dans votre VPC
    • Configurer le point de terminaison AWS KMS
    • Configurer les permissions IAM appropriées

  2. Activer la fonction :

    Console AWS > RDS > Bases de données > [Votre Cluster Aurora] > Actions > Démarrer le flux d'activité de la base de données

  3. Configurer le traitement de flux :

    • Créer un flux de livraison Kinesis Data Firehose
    • Configurer Lambda pour le traitement
    • Configurer S3 pour le stockage
    • Configurer l’alerte via CloudWatch et SNS

Exemple d’Intégration

Pour un guide de mise en œuvre détaillé, consultez le tutoriel pas-à-pas d’AWS qui couvre :

  • Créer des fonctions Lambda pour traiter et alerter sur les données du flux
  • Configurer des compartiments S3 pour le stockage à long terme
  • Configurer CloudWatch et SNS pour les alertes

Solution d’Audit DataSunrise

Pour les organisations nécessitant des capacités d’audit avancées au-delà des outils natifs, DataSunrise offre une solution tierce complète.

Caractéristiques Clés

  • Gestion centralisée de l’audit sur les plateformes de bases de données
  • Filtrage avancé et audits basés sur des règles
  • Rapport et alerte de conformité
  • Analytique comportementale et détection d’anomalies
  • Intégration avec des solutions SIEM

Fonctionnalités Avancées

DataSunrise s’étend au-delà de l’audit de base avec :

Comparaison des Outils d’Audit Aurora PostgreSQL

CaractéristiqueJournalisation StandardpgAuditFlux d’Activité de la Base de DonnéesDataSunrise
Complexité de la Mise en ŒuvreBasseBasseMoyenneMoyenne
Niveau de DétailBasiqueÉlevéÉlevéTrès Élevé
Impact sur les PerformancesMoyenBas-MoyenBas (Asynchrone)Bas
Surveillance en Temps RéelNonNonOuiOui
Séparation des TâchesNonNonOuiOui
Rapport de ConformitéManuelManuelManuelAutomatisé
CoûtGratuitGratuitCoûts du Service AWSLicence
Intégration avec AWSNativeNativeNativeTiers
Prise en Charge Multi-Base de DonnéesNonNonNonOui

Stratégie de Mise en œuvre et Meilleures Pratiques pour les Outils d’Audit Aurora PostgreSQL

Une stratégie d’audit complète utilise souvent plusieurs outils en combinaison :

  1. Couche de Base : Activer la journalisation standard de PostgreSQL pour le dépannage général
  2. Couche de Détails : Mettre en œuvre pgAudit pour un audit détaillé au niveau SQL
  3. Couche de Sécurité : Utiliser les Flux d’Activité de la Base de Données pour la surveillance de la sécurité en temps réel
  4. Couche de Conformité : Envisager DataSunrise pour les exigences avancées en matière de conformité

Considérations de Performance

  • Surveiller l’impact sur le CPU et l’I/O de la journalisation de l’audit
  • Utiliser des filtres appropriés pour limiter la portée de l’audit
  • Envisager des modes asynchrones lorsque disponibles
  • Mettre en œuvre des stratégies de rotation et d’archivage des journaux

Meilleures Pratiques de Sécurité

  • Mettre en œuvre la séparation des tâches pour les journaux d’audit
  • Chiffrer les données d’audit au repos et en transit
  • Utiliser des principes de moindre privilège pour l’accès à l’audit
  • Établir des procédures de révision régulières des journaux d’audit

Conformité Réglementaire

Différents outils d’audit soutiennent diverses exigences de conformité :

RèglementExigences ClésOutils Recommandés
RGPDSuivi des accès, Protection des donnéespgAudit + DataSunrise
HIPAAContrôles d’accès, Surveillance des activitésFlux d’Activité de la Base de Données + DataSunrise
PCI DSSSuivi des utilisateurs, Surveillance des changementspgAudit + Flux d’Activité de la Base de Données
SOXContrôle des changements, Vérification des accèsFlux d’Activité de la Base de Données + DataSunrise

Conclusion

La sélection des bons outils d’audit pour votre environnement Amazon Aurora PostgreSQL dépend de vos exigences spécifiques en matière de sécurité, de conformité et de surveillance opérationnelle. Pour beaucoup d’organisations, une approche multi-couches combinant journalisation native de PostgreSQL, pgAudit, Flux d’Activité de la Base de Données, et des solutions tierces comme DataSunrise fournit la couverture la plus complète.

En mettant en œuvre les outils d’audit appropriés et en suivant les meilleures pratiques, les organisations peuvent garantir qu’elles répondent aux exigences réglementaires tout en maintenant la visibilité dans leurs environnements de base de données. Pour voir comment DataSunrise peut améliorer votre stratégie d’audit Aurora PostgreSQL, planifiez une démonstration dès aujourd’hui.

Suivant

Comment Auditer Sybase ?

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Informations générales
Ventes
Service clientèle et support technique
Demandes de partenariat et d'alliance
Informations générales :
info@datasunrise.com
Ventes :
sales@datasunrise.com
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
partner@datasunrise.com