DataSunrise Database Security を使用した Amazon Aurora データベースアクティビティのモニタリング

DataSunrise 社エンジニアリングリーダー、Radik Chumaren

DataSunrise は、多種多様なデータベースのためのアクティビティモニタリング、データマスキング (動的および静的マスキング)、データベースファイアウォール、および機密データ検出を含む、幅広いセキュリティソリューションを提供するデータベースセキュリティソフトウェア企業です。DataSunrise の目標は、外部および内部の脅威と脆弱性からデータベースを保護することです。お客様はよく、DataSunrise Database Security が Amazon Aurora、Amazon Redshift、Amazon RDS for MySQL、Amazon RDS for PostgreSQL、Amazon RDS for MariaDB、Amazon RDS for Oracle Database、および Amazon RDS for Microsoft SQL Server を含む AWS で実行される異なる種類のデータベースエンジンを保護するときに、統合された制御とシングルユーザーエクスペリエンスを提供することから DataSunrise Database Security を選択しておられます。

DataSunrise は、アクティブなデータとデータベースのセキュリティに加えて、監査などの受動的なセキュリティの両方を提供します。アクティブなセキュリティは、機密データへの不正アクセスの防止、疑わしい SQL クエリのブロック、SQL インジェクション攻撃の防止、またはリアルタイムでのデータの動的なマスキングと難読化などの事前定義されたセキュリティポリシーに基づいています。DataSunrise は、高可用性、フェイルオーバー、および自動スケーリングを備えています。

この記事では、監査としても知られる受動的なセキュリティに焦点を当てます。今回は、DataSunrise が Aurora で何を監視するか、どのように機能するか、およびその使用開始方法について説明します。今後の記事では、アクティブなセキュリティ、データマスキング、および機密情報の検出を含む、セキュリティにおけるその他の側面を取り上げます。

DataSunrise 監査の対象
DataSunrise は、SQL クエリ、データフロー、バインディングなどの監査を可能にします。収集される情報には、SQL クエリの詳細と、それらの実行による結果が含まれます。SELECT クエリの結果を監査する能力は、他のデータベースアクティビティモニタリング (DAM) 製品では提供されない拡張機能です。さらに、DataSunrise は、IP アドレス、ホスト名、実行されたクエリのタイミングとタイプ、使用されたアプリケーション、データベースエラー、失敗した接続試行など、ユーザーセッションにおけるデータをキャプチャします。この情報には、特権ユーザーと管理者によって適用される変更も含まれます。

収集された監査データは、監査ストレージと呼ばれる別個のデータベースに保存されます。DataSunrise は、監査結果を保存するために異なるオプションを提供します。保存先は、組み込み型データベース、または Amazon Aurora、MySQL、Amazon Redshift、もしくは PostgreSQL の各データベースなどの外部データベースにすることができます。監査データは、サードパーティー SIEM (セキュリティ情報イベント管理) システムにも送信できます。

DataSunrise の仕組み
DataSunrise は、データベースに接続するユーザー (またはアプリケーション) とデータベースサーバー間のプロキシとして動作します。DataSunrise は、より詳細な分析とフィルタリングのためにトラフィックを傍受し、その後アクティビティとクエリを監査して監視するためにデータ監査ポリシーを適用します。データベースファイアウォールが有効化されているときにセキュリティポリシーの違反が検知されると、DataSunrise は悪意のある SQL クエリをブロックして、SMTP または SNMP 経由で管理者に通知します。リアルタイムのアラートは、継続的なデータベースセキュリティを維持し、コンプライアンスを能率化することを可能にします。図 1.プロキシとして動作する DataSunrise

DataSunrise の使用開始
DataSunrise は、Amazon EC2 内の Windows または Linux インスタンスにデプロイできます。使用準備が整った DataSunrise Amazon Machine Image (AMI) を AWS Marketplace からダウンロードして、Amazon RDS 内のデータベースと EC2 インスタンスを保護することができます。DataSunrise Database と Data Security は、AWS Marketplace で Windows プラットフォームと Linux プラットフォームの両方をご利用いただけます。

DataSunrise のデプロイ後、セキュア化するデータベースのためにセキュリティポリシーを設定し、Data Audit セキュリティルールを作成できます。セキュリティポリシーを設定してアクティブ化した後は、DataSunrise が、DataSunrise プロキシ経由でデータベースに接続するユーザーとアプリケーションを監査して監視します。

DataSunrise でのデータ監査ルールの作成
監査ルールは、オブジェクトベースのフィルターを使用して作成されます。DataSunrise はデータベースオブジェクトを区別して、ターゲットデータベースの特定の操作、スキーマ、およびテーブルの監査を実行します。こうすることによって、データベース管理者は必要なレベルの精度で監査情報のすべてを収集できます。

DataSunrise で監査を実行するには、セキュリティポリシーの定義の一環としてデータ監査ルールを作成する必要があります。

DataSunrise 監査ルールを作成するには、次の手順に従ってください。

1. DataSunrise で、[Data Audit] に移動します。
2. 左ペインにある [Rules] を選択します。既存の監査ルールのリストが表示されます。
3. [Rule+] を選択して新しいルールを作成し、必要な情報を入力します。図 2.新しい監査ルールの作成
   [Audit Rule] セクションでは、DataSunrise がどの SQL 文を処理すべきかを指定し、必要に応じてスケジュールをセットアップして、望ましいサブスクライバーに対する通知を設定することができます。

DataSunrise でのデータ監査結果のモニタリング
DataSunrise の認定ユーザーは、[Events] でいつでも監査結果を確認することができます。図 3.データ監査イベントの表示

DataSunrise は、監査用に収集された情報のフィルタリングを可能にし、これにはデータベースレベル、スキーマレベル、または列レベルでのフィルタリングが含まれます。フィルタリングは、アプリケーション名、ユーザー名、ホスト名、およびその他属性に従って実装することができます。DataSunrise は、管理者が所定のセッションにおけるすべての操作を表示することを可能にし、管理目的およびコンプライアンス目的のために詳細なレポートを生成します。

[Event Details] では、リストされているイベントを開くことによって、すべてのクエリに関する情報を見つけることができます。また、特定のクエリを誰がいつ送信したかを確認して、クエリ結果を表示することも可能です。クエリ結果は、全面的に監査する、またはサブセットのみを監査することができます。コンプライアンス上の理由のために、監査結果をクエリすることが役に立つかもしれません。

図 4 は、イベント詳細が DataSunrise でどのように表示されるかを示しています。図 4.イベント詳細

[Session Details] では、クライアントホスト、ホスト名、およびその他のセッション属性など、特定のクライアントセッションに関する情報を表示できます。

図 5 は、セッション詳細が DataSunrise でどのように表示されるかを示しています。図 5.セッション詳細

DataSunrise はメッセージロギングに syslog を使用します。これを設定すると、監査ログを SIEM などの外部システムに送信することができます。SIEM と統合すると、DataSunrise はセキュリティ分析機能を大幅に拡張し、管理者はユーザー動作をより詳細に分析することができるようになります。

Amazon Aurora 機能との連動
セキュリティ技術をサポートすることに加えて、DataSunrise は Amazon Aurora で使用されている SSL/TLS (Secure Sockets Layer/Transport Layer Security) 暗号化プロトコルをサポートします。SSL/TLS は、セッションキーの生成、送信データの暗号化、および完全性と証明書ベースの認証のための送信データのチェックのために活用されます。クライアントとデータベースの間に設置される DataSunrise は、SSL ハンドシェイク中に送信される中間キーを独自のキーに置き換えて SSL トラフィックを複合化し、分析します。

Aurora と MySQL はネットワークトラフィックの圧縮をサポートします。これは、例えばテーブル、スキーマ、またはデータベース全体をインポートおよびエクスポートするときなど、大規模なデータボリュームが送信されているときにネットワーク負荷のバランスを保つために役立つ機能で、DataSunrise はこの機能をサポートしています。

エンタープライズアプリケーションは、必要になるたびにデータベースへの新しい接続を作成するわけではありません。その代わりに、多数の接続を常にアクティブにしておき、データベースへのアクセスがリクエストされるときにそのひとつを使用します。この手法は接続プーリングと呼ばれ、Amazon Aurora と MySQL によってサポートされています。DataSunrise はこれらのケースをサポートし、エンタープライズアプリケーションのトリッキーになりやすいロジックの意味を成すために、接続されたユーザーをすでにアクティブな接続に転送します。

まとめ
DataSunrise (www.datasunrise.com) は、AWS Marketplace で事前設定された仮想アプライアンスとしてご利用いただけます。DataSunrise はスタンドアロン DAM ソリューションとして使用でき、DAM、データマスキング、データ検出、およびデータベースファイアウォールのすべてが含まれ、実行されている広範なデータベースセキュリティソリューションとして実装することもできます。DataSunrise は、Amazon Aurora、Amazon Redshift、および MySQL、PostgreSQL、MariaDB、Oracle Database、Microsoft SQL Server などのその他すべての Amazon RDS データベースを含む様々なクラウドデータベースをサポートします。

次回の記事では、DataSunrise Security (データベースファイアウォール)、Data Masking、および Sensitive Data Discovery を含む DataSunrise のその他モジュールについて説明します。