Puede utilizar el recurso de auditoría para informar y hacer un
seguimiento de los sucesos auditables con el fin de
garantizar la integridad del sistema.
Acerca de esta tarea
Nota: El subsistema de auditoría
de seguridad se ha introducido como parte de la infraestructura de
seguridad. La principal responsabilidad de la infraestructura de
seguridad es evitar el acceso y uso no autorizado de los recursos. La
utilización de la auditoría de seguridad tiene dos objetivos principales:
- Confirmar la efectividad e integridad de la configuración de seguridad existente.
- Identificar áreas donde pueda ser necesario mejorar la configuración
de seguridad.
La auditoría de seguridad logra estos objetivos proporcionando la
infraestructura que permite implementar el código para capturar y
almacenar sucesos de seguridad auditables soportados. Durante el tiempo de ejecución, todo el código distinto del código de la aplicación Java™ EE 5 se considera fiable. Cada vez que una aplicación Java EE 5 accede a un recurso protegido, cualquier proceso de servidor de aplicaciones interno con un punto de auditoría incluido se puede registrar como un suceso auditable.
El subsistema de auditoría de seguridad puede
capturar los siguientes tipos de sucesos auditables:
- Autenticación
- Autorización
- Correlación de principales/credenciales
- Gestión de política de auditoría
- Delegación
Estos tipos de sucesos se pueden grabar en archivos de registro de auditoría. Cada registro cronológico de auditoría se puede firmar
y cifrar para garantizar la integridad de los datos.
Estos
archivos de registro de auditoría se pueden analizar para descubrir infracciones en los mecanismos de seguridad existentes
y para descubrir las debilidades potenciales de la infraestructura de seguridad actual.
Los registros de auditoría de sucesos de seguridad también son útiles
para proporcionar evidencia de la responsabilidad y no repudiación,
así como un análisis de vulnerabilidad. La configuración de la auditoría de seguridad
proporciona cuatro filtros predeterminados, un proveedor de servicios de auditoría predeterminado y una fábrica de sucesos predeterminada. La implementación predeterminada se graba en un registro basado en un archivo de texto binario. Utilice este tema para personalizar el subsistema de auditoría de seguridad.
- Habilitación del subsistema de auditoría de seguridad
La auditoría de seguridad no se realizará a menos que se haya habilitado el
subsistema de seguridad de auditoría. La seguridad global debe estar
habilitada para que funcione el subsistema de auditoría de seguridad, ya
que no se realiza ninguna auditoría de seguridad si la seguridad global
no está también habilitada.
- Asignar un rol de auditor a un usuario
Se necesita un usuario con el rol de auditor para habilitar y configurar el subsistema de auditoría de seguridad. Es importante requerir el control de acceso estricto para la
gestión de política de seguridad. El rol de auditor se ha creado proporcionando granularidad para permitir la separación del rol de auditoría de la autorización del administrador. Cuando la auditoría de seguridad se habilita inicialmente, el administrador de células tiene privilegios de auditoría.
Si el entorno requiere una separación de privilegios, será necesario realizar cambios en las asignaciones de roles predeterminadas.
- Creación de filtros de tipo de suceso de auditoría de seguridad
Puede configurar filtros de tipo de suceso para registrar sólo un subconjunto específico de tipos de sucesos auditables en los registros de auditoría. El
filtrado de los tipos de sucesos que se registran facilita el análisis
de los registros de auditoría y garantiza que sólo se archiven
los registros importantes para el entorno.
- Configurar el proveedor de servicios de auditoría.
El proveedor de servicios de auditoría se utiliza para formatear el objeto de datos
de auditoría que se le ha pasado antes de producir los datos en un repositorio. No
se incluye una implementación de proveedor de servicios de auditoría
por omisión. Consulte
Configuración de proveedores de servicios de auditoría por omisión para la auditoría de seguridad para obtener
más información sobre la implementación por omisión. También se puede
codificar y utilizar una implementación de terceros. Consulte Configuración de proveedores de servicios de auditoría de terceros para una auditoría de seguridad para obtener más información sobre esta
implementación.
También hay disponible una
implementación para SMF. Consulte Configuración de proveedores de servicios de auditoría SMF para la auditoría de seguridad para obtener más información sobre esta
implementación.
- Configuración de fábricas de sucesos de auditoría para la auditoría de seguridad
La fábrica de sucesos de auditoría reúne los datos asociados con los sucesos
auditables y crea un objeto de datos de auditoría. Después, el objeto de datos de auditoría se envía al proveedor de
servicios de auditoría para que se formatee y registre en el
repositorio.
- Protección de los datos de auditoría de seguridad
Es importante proteger la integridad de los datos de auditoría grabados. Para asegurar que el acceso a los datos está restringido
y es a prueba de intrusiones, puede cifrar y firmar los datos de auditoría.
- Configuración de notificaciones de anomalía del subsistema de auditoría de seguridad
Se pueden habilitar notificaciones para generar alertas cuando el subsistema de
auditoría de seguridad sufre una anomalía. Las notificaciones se pueden configurar para registrar una alerta
en las anotaciones cronológicas del sistema o se pueden configurar para enviar una alerta a través del correo
electrónico a una lista especificada de destinatarios.
Qué hacer a continuación
Después de configurar la auditoría de seguridad, puede analizar
los datos de auditoría para descubrir debilidades potenciales en la
infraestructura de seguridad actual y brechas de seguridad
que puedan haberse producido en los mecanismos de seguridad existentes. También puede utilizar el subsistema de auditoría de seguridad para
proporcionar datos para la determinación de problemas. Si se ha
seleccionado el proveedor de servicios de auditoría por omisión, el
archivo de registro cronológico de auditoría binario resultante se
puede leer con el lector de auditoría.