Veritabanı Loglama

Günümüzde, yasal zorunluluklar (BDDK, SOX, PCI vb) ve ihtiyaçlar nedeniyle Veritabanı Loglama Süreci, normal işletim sistemi ve diğer loglama süreçlerinden farklı olarak değerlendirilmektedir. VT Loglaması için sırf bu amaca yönelik ürünler piyasaya sürülmüştür (Guardium, Imperva vb). Normal loglama ürünleri SQL sorgularına tam anlamıyla hakim olmadıklarından kaçaklar ve false-positive alarmlar oluşmaktadır.

Özellikle bankaların BDDK İlkerler Tebliği’ne uygunluğunun yasa ile zorunlu hale getirilmesi, BDDK’nın da denetimlerinde CobIT’i baz alması nedeniyle VT Loglarının (iz kayıtları) önemi daha da artmıştır. Finansal bilgiye yapılan her tür erişimin iz kaydının tutulması yasal bir zorunluluktur. İz kayıtlarının bütünlüğünün, doğruluğunun ve değişmezliğinin sağlanması tüm kurumlar için zorunlu hale gelmiştir. Bu kapsamda, alınması düşünülen VT Loglama ürünü için aşağıdaki özellikleri taşıyor olması gerekmektedir:



Veritabanı Loglama Ürünü Özellikleri

  • Ürün MS SQL 2000/2005/2008, Oracle 9i/10G, Oracle 11G, DB2, Sybase, MySQL vb database aktivitelerini analiz edebilmelidir.
  • Ortak kullanıcı ile yapılan işlemleri gösterebilmelidir.
  • İz kayıtlarının bütünlüğünden emin olması amacıyla ihtiyaç duyulan “hashleme” özelliği bulunmalıdır.
  • İz kayıtlarının gizliliğinin sağlanabilmesi için gerekli kayıtları şifreli tutma özelliği bulunmalıdır.
  • Log kaybı olup olmadığını anlık olarak izlenebilmelidir.
  • Veritabanlarına yapılan sorgu cümlelerinin içeriği izlenebilmelidir. (Select * from <table> gibi) Son kullanıcı tarafından yapılan sorgular üzerinde araştırma veya raporlama yapılabilmelidir.
  • Veritabanlarında uygulama kullanıcısının yetkili sunuculardan gelmediği durumları tespit edebilmelidir. Uygulama kullanıcısının uygulama sunucusundan (IP) gelmediği durumlar için uyarı mekanizmalarına sahip olmalıdır.
  • Ajan kurulumu ve Network izleme desteği olmalıdır. Ürün, Solaris, AIX, HP-UX, Windows ve Linux türevlerini desteklemelidir.
  • Ürün yönetmesi için veritabanı eklenirken, yerel ağdaki veri tabanı sunucularını otomatik olarak keşfedebilmelidir.(Autodiscover)
  • Ürün gerçek zamanlı olaylara ve istatistiksel eşik değerlerine göre politika bazlı alarmlar üretmelidir.
  • Ürüne özel yeni politikalar eklenebilmeli, mevcut politikalar da değiştirilebilmelidir.
  • Ürün yönetimi altındaki veritabanlarına konsoldan bağlanıldığında da denetleme yapabilmesi için ilgili sunucu için lokal ajan desteği sağlamalıdır. Oracle veritabanının kurulu olduğu Oracle sunucuya SSH ile bağlantı yapılıp SQL+ kullanılarak local sql işlemleri yapılabilir. Bunu Network’ü izleyerek fark edemeyiz. Unix sunucu üzerine kuracağımız ajan (Agent) ile yapabiliriz.
  • Ürün web tabanlı yönetim ara yüzü sunabilmelidir. Yönetim arayüzüne güvenli web bağlantısı ile bağlanılmalıdır. Ürüne doğrudan güvenli olmayan kanal üzerinden erişim sağlanamamlıdır. Merkezi yönetim arayüzünden dağınık yapıdaki toplayıcı sistemler kontrol edilebilmelidir.
  • Ürün BDDK, PCI, SoX ve Basel 2 için gerekli denetleme raporlarını otomatik olarak üretebilmelidir.
  • Ürünün grafiksel olarak sunucular ve agentlar hakkında bilgi verecek dashboard`lar bulunmalıdır.
  • Etkin bir raporlama sistemine sahip olmalıdır.
  • Ürün network trafiğinin yoğunluğunu dağıtabilmek için yük dengeleme (Load – Balancing) özelliğine sahip olmalıdır. Bir database sunucusuna ait trafik birden fazla toplayıcı appliance’a dağıtılabilmelidir.
  • Ürünün ürettiği loglar, SIEM ürünlerinden (SNMP version 2c ve üzeri, syslog, vb.) toplanabilecek bir alt yapıya sahip olmalıdır.
  • Ürün harici depolama cihazlarına arşiv amacıyla bağlanabilmelidir.  (Hust Bus Adaptor, FTP vb)
  • Ürün politikaları, loginleri, DDL, DML, DCL, SELECT, stored procedures erişim olaylarını, PL/SQL komutlarını, db sunucularındaki kritik dosyalara yapılacak operasyonları denetleyebilmeli, yapılan dosya değişiklerinde alarm üretebilmelidir.
  • Ürün veri aktivitelerini gerçek zamanlı görüntüleyip analiz edebilmeli ve veriye kimin eriştiğini  saptayarak raporlayabilmelidir.
  • Üründen alınacak arşiv verileri şifreleme ve sıkıştırma teknolojileri kullanılarak güvenli olarak cihazdan çıkartılabilmelidir.
  • Ürün istemciden veritabanı sunucusuna ve de veritabanı sunucusundan istemciye doğru olan trafiği analiz edebilmelidir.
  • Ürün veritabanı sunucusuna gönderilen SQL cümlecikleri ve bu cümlecikler içindeki değişkenleri ve değişkenlerin gerçek değerlerini yakalamalı, ”Bind Variable” ları algılama ve raporlama desteği sunmalıdır.
  • Ürün koşulları belirterek/seçerek sorgu oluşturabilmelidir.
  • Toplanan veritabanı işlemleri haricinde alarm, istisna, program kullanımı ve aktivitelerini de sorgulamalıdır.
  • Sistem ayarları ve politikaları yönetim arayüzünden export ve import edip arşivlenebilmelidir.
  • Ürün belirtilen veritabanları için hassas bilgi içeren tablo ve veri araması yapıp, bunlarda bulduğu sonuçları grup, alarm, syslog içine yazabilmelidir.
  • Birden fazla toplayıcı ve birleştiriciden oluşan sistemleri içeren dağınık yapı kurulumu desteklemeli, birleştirici sunuculardan rapor alma, yönetim, arşiv, export işlemleri yapılabilmelidir.
  • Ürün loglamış olduğu verileri export ederken ve raporlama işlemini gerçekleştirirken sürdürmekte olduğu işlemleri kesintiye uğratmamalıdır. Ürün, HTML, CSV, PDF, CEF formatlarında raporlar üretebilmelidir.
  • Zamanlanmış raporlar ilgili kişilere veya gruplara otomatik olarak göndermelidir.
  • Politika ihlalleri ve olay yönetimi hakkında hazır rapor ve ölçümler bulunmalıdır.
  • Denetim amaçlı kontroller ve raporlar tanımlanabilmeli ve düzenli olarak sonuçları alınabilmelidir.
  • Hasas bilgilerin log raporlarının alınması durumunda istenen hassas bilgi alanlarını gizleyerek (**, — , vb. yöntemler) raporlanabilmelidir.
  • Ürün, rol tabanlı yetkilendirme yönetimi desteklemelidir.
  • Ürün, rol tanımları yapıldıktan sonra her bir kullanıcı için fonksiyonel haklar da verebilmelidir.
  • Ürün veri aktivitelerini görüntüleyebilir ve analiz edebilir, veriye kimin eriştiğini ve veriye neler yaptığını saptamalıdır. Görüntüleme gerçek zamanlı yapılmalıdır.
  • Ürün, PCI Veri Güvenlik Standardı ‘ nın temel ilkelerine (yönetim ekranlarının güvenli olması, kritik verinin gizlenebilmesi, kullanıcı hesapları ve şifre politikaları gibi)   uyumluluğu sağlamalıdır.
  • Ürün SMTP üzerinden rapor e-mailleri ve SNMP üzerinden alarm gönderebilmektedir.
  • Ürün yönetim arayüzü için, erişim listeleri, parola politikaları ve bunun gibi politikalar tanımlanabilmelidir.
  • Yönetimsel arayüzde kullanıcı belli bir süre aktivite yapmaz ise kullanıcının oturumu otomatik olarak kapatılabilmelidir. (session expire).
  • Toplanan loglar zamana göre hiyerarşik olarak sınıflandıran bir yapı içerisinde tutulmalıdır.
  • Kurulan ajanlar ile çözüm arasında yapılacak iletişim şifreli olmalıdır. Gerekli durumlarda ajanlardan merkeze doğru veri aktarımı için ne kadar maksimum bant genişliği kullanılacağı ve iletimin ne zamanlar yapılacağı tanımlanabilmelidir.

Kaynak : www.bilgiguvenligi.gov.tr

Çağatay IŞIKCI, Şekerbank Bilgi İşlem