Sabemos que regulamentos e estruturas como PCI-DSS, SOX, NIST SP 800-53, NERC CIP e HIPAA exigem que a atividade do usuário privilegiado seja monitorada e auditada o suficiente para investigação. O monitoramento e a auditoria de usuários privilegiados para bancos de dados são essenciais, pois os bancos de dados geralmente contêm as informações mais confidenciais de uma organização.
Diversas organizações utilizam os recursos integrados de auditoria de banco de dados incluídos em seus bancos de dados para atender a esses requisitos de monitoramento e auditoria. São ferramentas gratuitas, também conhecidas como auditoria de banco de dados nativa, foram consideradas uma maneira gratuita e fácil de ajudar a atender aos requisitos de auditoria. Porém, muitas organizações acabaram descobrindo que a auditoria nativa se mostrou muito cara e não confiável pelos seguintes motivos:
A auditoria de banco de dados nativo por padrão captura tudo além das atividades do usuário privilegiado. Portanto, ajustar todos os bancos de dados em um ambiente grande não é viável.
A captura de todas as atividades causa um aumento de 20% no poder de processamento do banco de dados, de acordo com a Oracle . Como resultado, as organizações precisam adquirir software e hardware de banco de dados adicionais para compensar esse impacto no desempenho.
Alto custo associado ao espaço de armazenamento extra para acomodar o grande volume de dados de log coletados.
Com esses obstáculos técnicos significativos, muitas organizações falham em auditorias devido à dificuldade de produzir relatórios de auditoria consistentes que satisfaçam as várias regulamentações.
Monitoramento e auditoria de usuários privilegiados de banco de dados sem agente
A implementação de uma solução de monitoramento e auditoria de usuários privilegiados deve ser o mais simples possível. O Keeper Connection Manager é fácil de implantar. Basta instalar um gateway que suporte SSH, VNC, Kubernetes, bancos de dados e RDP prontos para uso. Não há agentes, seu navegador da web é o cliente e não há impacto em seu banco de dados.
Opções detalhadas de monitoramento, auditoria e relatórios do banco de dados
O Keeper Connection Manager oferece relatórios abrangentes sobre o comportamento do usuário privilegiado. Uma trilha de auditoria robusta identifica quando e como o banco de dados foi usado. Todo o conteúdo de texto bruto “typescript” das sessões do banco de dados, incluindo informações de tempo, é registrado automaticamente para fins de auditoria. Além disso, a trilha de auditoria pode incluir gravações de vídeo gráficas da conexão. Como essas gravações são armazenadas no Keeper Connection Manager, diferentemente da auditoria nativa em que os registros são armazenados com o banco de dados, os agentes de ameaças não podem modificá-los ou excluí-los, mesmo que o banco de dados esteja comprometido.
Além de fornecer informações de auditoria de sessão, o Keeper também fornece registro de eventos para mais de 140 tipos de eventos, alertas baseados em eventos e integração com soluções populares de SIEM de terceiros. A funcionalidade de relatório de conformidade do Keeper permite que os administradores monitorem e relatem permissões de acesso para contas privilegiadas em toda a organização em um ambiente de segurança de confiança zero e conhecimento zero.
Vários caminhos de acesso: conexões diretas de banco de dados ou RemoteApp
O Keeper Connection Manager é construído sobre uma base de segurança Zero-Knowledge e Zero-Trust, com regras de acesso granulares. Os administradores podem fornecer acesso de DBA ao sistema de destino – ou apenas a um componente. Para MySQL, um tipo específico de conexão semelhante a SSH pode ser configurado. Se seus DBAs preferem trabalhar em uma interface do usuário como SSMS (SQL Server Management Studio), RemoteApp pode ser configurado para permitir acesso ao SSMS.
Fonte: https://www.keepersecurity.com/blog/2022/07/07/avoid-pitfalls-of-native-database-auditing-for-privileged-user-monitoring/
