La auditoría de seguridad es una parte importante de la infraestructura de seguridad. La auditoría de seguridad proporciona un mecanismo para llevar el seguimiento de, y archivar, los sucesos que se pueden auditar
a la vez que se garantiza la integridad de los registros.
Antes de empezar
Antes de habilitar el subsistema de auditoría de seguridad para la integración
de servicios, debe habilitar la seguridad global en el entorno.
Acerca de esta tarea
La responsabilidad principal de la infraestructura de seguridad es impedir
el uso no autorizado de los recursos. La auditoría de seguridad tiene dos objetivos principales:
- Confirmar la efectividad e integridad de la configuración de seguridad existente.
- Identificar áreas donde pueda ser necesario mejorar la configuración
de seguridad.
Para lograr estos objetivos, la auditoría de seguridad proporciona una infraestructura que puede utilizar que puede utilizar para implementar el código para capturar y almacenar los sucesos soportados de seguridad que se pueden auditar. Todo el demás código que no sea de aplicación de empresa Java™ se considera
de confianza. Cada vez que una aplicación de empresa accede a un recurso, todos
los procesos internos del servidor de aplicaciones que tienen puntos de auditoría añadidos
a su código se graban como sucesos que se pueden auditar. El subsistema de auditoría de
seguridad captura los tipos de sucesos que se pueden auditar siguientes:
- Autenticación
- Autorización
- Correlación de credenciales y principal
- Gestión de claves
- Gestión de sistemas
- Gestión de política de seguridad
- Gestión de política de auditoría
- Gestión de configuración administrativa
- Gestión administrativa en tiempo de ejecución
- Registro de usuarios y gestión de identidades
- Cambios de contraseña
- Delegación
Estos tipos de sucesos se pueden grabar en archivos de registro de auditoría.
Los
archivos de registro de auditoría se pueden firmar y cifrar para garantizar la integridad de datos.
Estos
archivos de registro de auditoría se pueden analizar para descubrir infracciones en los mecanismos de seguridad existentes
y para descubrir las debilidades potenciales de la infraestructura de seguridad actual. Los registros de auditoría de sucesos de seguridad resultan de utilidad también para proporcionar
análisis de pruebas, responsabilidades y vulnerabilidades. La configuración de la auditoría de seguridad
proporciona cuatro filtros predeterminados, un proveedor de servicios de auditoría predeterminado y una
fábrica de sucesos predeterminada.
En estos pasos siguientes se describe cómo personalizar el subsistema de
auditoría de seguridad. Cuando sea apropiado, se incluye información específica adicional de mensajería
en la descripción de paso.
Procedimiento
- Habilitación del subsistema de auditoría de seguridad
No se realiza la auditoría de seguridad a no ser que el subsistema de seguridad
de auditoría se haya habilitado. La seguridad global debe estar habilitada para que funcione
el subsistema de auditoría de seguridad, dado que no se producen sucesos de seguridad si no
está habilitada la seguridad global.
Para permitir que se auditen los sucesos de seguridad de mensajería, debe estar habilitada la seguridad de auditoría:
- Para que se audite cada bus, pulse
y active el recuadro de selección Habilitar el servicio de auditoría para este bus.
- Para la mensajería de publicación/suscripción, también en cada espacio de temas del bus que
se va a auditar, pulse
y active el recuadro de selección Habilitar el servicio de auditoría para este espacio de tema.
- Rol de auditor
Es necesario un usuario con el rol de auditor para habilitar y
configurar el subsistema de auditoría de seguridad. Es importante requerir
el control de acceso estricto para la gestión de política de seguridad. El rol de
auditor proporciona granularidad para admitir la separación del rol de auditoría de la
autoridad de administrador.
- Creación de filtros de tipo de suceso de auditoría de seguridad
Puede configurar filtros de tipo de suceso para grabar sólo un subconjunto
determinado de tipos de sucesos que se pueden auditar en los registros de auditoría. Se aplica el filtro de
tipos de sucesos para simplificar el análisis de los registros de auditoría garantizando
que los registros sólo muestran lo que ha seleccionado como importante para su entorno.
Los sucesos de auditoría que se pueden configurar para mensajería son:
- SECURITY_AUTHN
- Este suceso se produce cuando se autentica la identidad de un cliente de mensajería o un motor de mensajería
que se conecta a un bus de mensajería.
- SECURITY_AUTHZ
- Este suceso se produce cuando se comprueba la autoridad de acceso de la identidad de un
cliente de mensajería a un bus o a una cola de mensajes cuando se envían, directamente o
mediante publicación, o se reciben, directamente o mediante suscripción, los mensajes.
- SECURITY_AUTHN_TERMINATE
- Este suceso se produce cuando se termina la conexión entre un cliente de mensajería o un
motor de mensajería y un bus de mensajería.
- SECURITY_MGMT_CONFIG
- Este suceso se produce cuando un cliente de mensajería cambia el contenido de
un repositorio de objetos de datos de servicio (SDO) en una operación de eliminación o importación.
Puede crear filtros de sucesos para cada permutación de un suceso y sus posibles
resultados como SATISFACTORIO, DENEGADO o condiciones de error de distintos niveles de gravedad.
Consulte el apartado sucesos de seguridad de mensajería para obtener
más información sobre qué sucesos de auditoría de seguridad de mensajería se producen y cuándo se producen.
- Configuración de los proveedores de servicios de auditoría para la auditoría de seguridad
El proveedor de servicios de auditoría se utiliza para dar formato al objeto de datos de auditoría
que se le pasa antes de generar la salida de los datos en un repositorio.
- Configuración de fábricas de sucesos de auditoría para la auditoría de seguridad
La fábrica de sucesos de auditoría reúne los datos asociados a los sucesos que se pueden auditar
y crea un objeto de datos de auditoría. El objeto de datos de auditoría se envía a continuación al
proveedor de servicios de auditoría para que se le dé formato y se grabe en el repositorio.
- Protección de los datos de auditoría de seguridad Es importante que los datos de auditoría grabados estén protegidos y tengan garantizada la
integridad de los datos. Para asegurarse de que el acceso a los datos está restringido y es seguro, puede
cifrar y firmar los datos de auditoría.
- Configuración de notificaciones de anomalía del subsistema de
auditoría de seguridad
Puede permitir que las notificaciones generen alertas cuando el subsistema de
auditoría de seguridad experimenta una anomalía. Se pueden configurar las notificaciones
para grabar una alerta en los registros de auditoría o se pueden configurar para enviar
una alerta a través del correo electrónico a una lista especificada de destinatarios.
Resultados
Una vez finalizada satisfactoriamente la tarea, los datos de auditoría se
graban para los sucesos que se pueden auditar seleccionados que se han especificado en la configuración.
Qué hacer a continuación
Después de configurar la auditoría de seguridad, puede analizar los datos
de auditoría en busca de debilidades potenciales en la infraestructura de seguridad actual y
para descubrir infracciones de seguridad que podrían producirse en los mecanismos de seguridad existentes.