Auditoría de la infraestructura de integración de servicios

La auditoría de seguridad es una parte importante de la infraestructura de seguridad. La auditoría de seguridad proporciona un mecanismo para llevar el seguimiento de, y archivar, los sucesos que se pueden auditar a la vez que se garantiza la integridad de los registros.

Antes de empezar

Antes de habilitar el subsistema de auditoría de seguridad para la integración de servicios, debe habilitar la seguridad global en el entorno.

Acerca de esta tarea

La responsabilidad principal de la infraestructura de seguridad es impedir el uso no autorizado de los recursos. La auditoría de seguridad tiene dos objetivos principales:
  • Confirmar la efectividad e integridad de la configuración de seguridad existente.
  • Identificar áreas donde pueda ser necesario mejorar la configuración de seguridad.
Para lograr estos objetivos, la auditoría de seguridad proporciona una infraestructura que puede utilizar que puede utilizar para implementar el código para capturar y almacenar los sucesos soportados de seguridad que se pueden auditar. Todo el demás código que no sea de aplicación de empresa Java™ se considera de confianza. Cada vez que una aplicación de empresa accede a un recurso, todos los procesos internos del servidor de aplicaciones que tienen puntos de auditoría añadidos a su código se graban como sucesos que se pueden auditar. El subsistema de auditoría de seguridad captura los tipos de sucesos que se pueden auditar siguientes:
  • Autenticación
  • Autorización
  • Correlación de credenciales y principal
  • Gestión de claves
  • Gestión de sistemas
  • Gestión de política de seguridad
  • Gestión de política de auditoría
  • Gestión de configuración administrativa
  • Gestión administrativa en tiempo de ejecución
  • Registro de usuarios y gestión de identidades
  • Cambios de contraseña
  • Delegación

Estos tipos de sucesos se pueden grabar en archivos de registro de auditoría. Los archivos de registro de auditoría se pueden firmar y cifrar para garantizar la integridad de datos. Estos archivos de registro de auditoría se pueden analizar para descubrir infracciones en los mecanismos de seguridad existentes y para descubrir las debilidades potenciales de la infraestructura de seguridad actual. Los registros de auditoría de sucesos de seguridad resultan de utilidad también para proporcionar análisis de pruebas, responsabilidades y vulnerabilidades. La configuración de la auditoría de seguridad proporciona cuatro filtros predeterminados, un proveedor de servicios de auditoría predeterminado y una fábrica de sucesos predeterminada. En estos pasos siguientes se describe cómo personalizar el subsistema de auditoría de seguridad. Cuando sea apropiado, se incluye información específica adicional de mensajería en la descripción de paso.

Procedimiento

  1. Habilitación del subsistema de auditoría de seguridad

    No se realiza la auditoría de seguridad a no ser que el subsistema de seguridad de auditoría se haya habilitado. La seguridad global debe estar habilitada para que funcione el subsistema de auditoría de seguridad, dado que no se producen sucesos de seguridad si no está habilitada la seguridad global.

    Para permitir que se auditen los sucesos de seguridad de mensajería, debe estar habilitada la seguridad de auditoría:

    1. Para que se audite cada bus, pulse Integración de servicios -> Buses -> valor_seguridad y active el recuadro de selección Habilitar el servicio de auditoría para este bus.
    2. Para la mensajería de publicación/suscripción, también en cada espacio de temas del bus que se va a auditar, pulse Integración de servicios -> Buses -> nombre_bus -> [Recursos de destino] Destinos -> nombre_espacio_temas y active el recuadro de selección Habilitar el servicio de auditoría para este espacio de tema.
  2. Rol de auditor

    Es necesario un usuario con el rol de auditor para habilitar y configurar el subsistema de auditoría de seguridad. Es importante requerir el control de acceso estricto para la gestión de política de seguridad. El rol de auditor proporciona granularidad para admitir la separación del rol de auditoría de la autoridad de administrador.

  3. Creación de filtros de tipo de suceso de auditoría de seguridad

    Puede configurar filtros de tipo de suceso para grabar sólo un subconjunto determinado de tipos de sucesos que se pueden auditar en los registros de auditoría. Se aplica el filtro de tipos de sucesos para simplificar el análisis de los registros de auditoría garantizando que los registros sólo muestran lo que ha seleccionado como importante para su entorno.

    Los sucesos de auditoría que se pueden configurar para mensajería son:

    SECURITY_AUTHN
    Este suceso se produce cuando se autentica la identidad de un cliente de mensajería o un motor de mensajería que se conecta a un bus de mensajería.
    SECURITY_AUTHZ
    Este suceso se produce cuando se comprueba la autoridad de acceso de la identidad de un cliente de mensajería a un bus o a una cola de mensajes cuando se envían, directamente o mediante publicación, o se reciben, directamente o mediante suscripción, los mensajes.
    SECURITY_AUTHN_TERMINATE
    Este suceso se produce cuando se termina la conexión entre un cliente de mensajería o un motor de mensajería y un bus de mensajería.
    SECURITY_MGMT_CONFIG
    Este suceso se produce cuando un cliente de mensajería cambia el contenido de un repositorio de objetos de datos de servicio (SDO) en una operación de eliminación o importación.

    Puede crear filtros de sucesos para cada permutación de un suceso y sus posibles resultados como SATISFACTORIO, DENEGADO o condiciones de error de distintos niveles de gravedad.

    Consulte el apartado sucesos de seguridad de mensajería para obtener más información sobre qué sucesos de auditoría de seguridad de mensajería se producen y cuándo se producen.

  4. Configuración de los proveedores de servicios de auditoría para la auditoría de seguridad

    El proveedor de servicios de auditoría se utiliza para dar formato al objeto de datos de auditoría que se le pasa antes de generar la salida de los datos en un repositorio.

  5. Configuración de fábricas de sucesos de auditoría para la auditoría de seguridad

    La fábrica de sucesos de auditoría reúne los datos asociados a los sucesos que se pueden auditar y crea un objeto de datos de auditoría. El objeto de datos de auditoría se envía a continuación al proveedor de servicios de auditoría para que se le dé formato y se grabe en el repositorio.

  6. Protección de los datos de auditoría de seguridad Es importante que los datos de auditoría grabados estén protegidos y tengan garantizada la integridad de los datos. Para asegurarse de que el acceso a los datos está restringido y es seguro, puede cifrar y firmar los datos de auditoría.
  7. Configuración de notificaciones de anomalía del subsistema de auditoría de seguridad

    Puede permitir que las notificaciones generen alertas cuando el subsistema de auditoría de seguridad experimenta una anomalía. Se pueden configurar las notificaciones para grabar una alerta en los registros de auditoría o se pueden configurar para enviar una alerta a través del correo electrónico a una lista especificada de destinatarios.

Resultados

Una vez finalizada satisfactoriamente la tarea, los datos de auditoría se graban para los sucesos que se pueden auditar seleccionados que se han especificado en la configuración.

Qué hacer a continuación

Después de configurar la auditoría de seguridad, puede analizar los datos de auditoría en busca de debilidades potenciales en la infraestructura de seguridad actual y para descubrir infracciones de seguridad que podrían producirse en los mecanismos de seguridad existentes.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjrsec_sa_secauditing
File name: tjrsec_sa_secauditing.html