Audit de l'infrastructure de la sécurité d'intégration de services

L'audit de sécurité est une partie importante de l'infrastructure de la sécurité. L'audit de sécurité fournit un mécanisme pour le suivi et l'archivage des événements auditables, tout en assurant l'intégrité des enregistrements.

Avant de commencer

Avant d'activer le sous-système d'audit de sécurité pour l'intégration de services, vous devez activer la sécurité globale dans votre environnement.

Pourquoi et quand exécuter cette tâche

La responsabilité principale de l'infrastructure de sécurité consiste à empêcher l'utilisation non autorisée de ressources. L'audit de sécurité a deux objectifs clés :
  • Confirmation de l'efficacité et de l'intégrité de la configuration de sécurité existante.
  • Identification des domaines où il peut être nécessaire d'améliorer la configuration de la sécurité.
L'audit de sécurité contribue à atteindre ces objectifs en fournissant l'infrastructure qui permet d'implémenter le code afin de capturer et de stocker les événements auditables de sécurité pris en charge. Tout le code autre que celui de l'application d'entreprise Java est considéré digne de confiance. Chaque fois qu'une application d'entreprise accède à une ressource, un processus de serveur d'applications interne avec des points d'audit ajoutés dans le code peut être enregistré comme événement auditable. Le sous-système d'audit de sécurité capture les types suivants d'événements auditables :
  • Authentification
  • Autorisation
  • Mappage de principaux et de justificatifs
  • Gestion des clés
  • Gestion de système
  • Gestion des règles de sécurité
  • Gestion des règles d'audit
  • Gestion de la configuration d'administration
  • Gestion de l'exécution administrative
  • Gestion des identités et des registres d'utilisateurs
  • Modifications des mots de passe
  • Délégation

Ces types d'événement peuvent être enregistrés dans des fichiers journaux d'audit. Ceux-ci peuvent être signés et chiffrés pour garantir l'intégrité des données. Ces fichiers journaux d'audit peuvent être analysés pour découvrir les violations dans les mécanismes de sécurité existants et la faiblesse potentielle de l'infrastructure de sécurité en cours. Les enregistrements d'audit d'événements de sécurité sont également utiles pour l'analyse de justification, de responsabilité et de vulnérabilité. La configuration de l'audit de sécurité fournit quatre filtres par défaut, un fournisseur de services d'audit par défaut et une fabrique d'événements par défaut. Les étapes suivantes décrivent comment personnaliser votre sous-système d'audit de sécurité. Vous trouverez des informations supplémentaires spécifiques à la messagerie dans la description de l'étape lorsque approprié.

Procédure

  1. Activation du sous-système d'audit de sécurité

    L'audit de sécurité n'a pas lieu tant que le sous-système d'audit de sécurité n'est pas activé. La sécurité globale doit être activée pour que le sous-système d'audit de sécurité fonctionne, sachant qu'aucun événement de sécurité ne se produit si cette sécurité est désactivée.

    Pour permettre l'audit des événements de sécurité de messagerie, l'audit de sécurité doit être activé :

    1. Pour chaque bus devant faire l'objet d'un audit, cliquez sur Intégration des services -> Bus -> valeur_sécurité et cochez la case Activer le service d'audit pour ce bus.
    2. Pour la messagerie de publication/abonnement et dans chaque espace de sujet objet d'un audit dans le bus, cliquez sur Intégration des services -> Bus -> nom_bus -> [Ressources de la destination] Destinations -> nom_espace_sujet et cochez la case Activer le service d'audit pour cet espace de sujet.
  2. Rôle d'auditeur

    Un utilisateur ayant le rôle auditeur est requis pour activer et configurer le sous-système d'audit de sécurité. Il est important de demander un contrôle d'accès strict pour la gestion des règles de sécurité. Le rôle d'auditeur fournit une certaine granularité pour supporter la séparation entre lui et les droits de l'administrateur.

  3. Création de filtres de type d'événement d'audit de sécurité

    Vous pouvez configurer des filtres de type d'événement pour enregistrer uniquement un sous-ensemble spécifique de types d'événement auditables dans vos journaux d'audit. Le filtrage des types d'événements enregistrés simplifie l'analyse de vos enregistrements d'audit en garantissant que les enregistrements affichent uniquement ce qui vous avez sélectionné comme important dans votre environnement.

    Les événements d'audit pouvant être configurés pour la messagerie sont :

    SECURITY_AUTHN
    Cet événement se produit lorsque l'identité d'un client de messagerie ou d'un moteur de messagerie se connectant au bus de messagerie est authentifié.
    SECURITY_AUTHZ
    Cet événement se produit lorsque l'identité d'un client de messagerie est vérifiée pour les droits d'accès à un bus ou à une file d'attente de messages lors de l'envoi, directement ou par publication, et de la réception de messages, directement ou par abonnement.
    SECURITY_AUTHN_TERMINATE
    Cet événement se produit lorsque la connexion entre un client de messagerie ou un moteur de messagerie et un bus de messagerie est interrompue.
    SECURITY_MGMT_CONFIG
    Cet événement se produit lorsqu'un client de messagerie modifie le contenu d'un référentiel d'objet de données de service (SDO) lors d'une opération d'importation ou de suppression.

    Vous pouvez créer des filtres d'événements pour chaque permutation d'un événement et ses possibles sorties, comme SUCCESS, DENIED ou les conditions d'erreur de différents niveaux de gravité.

    Voir la rubrique sur les événements de sécurité de la messagerie pour plus d'informations sur les événements d'audit de sécurité de la messagerie qui se produisent et à quel moment ils ont lieu.

  4. Configuration de fournisseurs de services d'audit pour l'audit de sécurité

    Le fournisseur de services d'audit est utilisé pour formater l'objet de données d'audit qu'il reçoit avant la sortie des données dans un référentiel.

  5. Configuration des fabriques d'événements d'audit pour l'audit de sécurité

    Les fabriques d'événements d'audit rassemblent les données associées aux données auditables et créent un objet de données d'audit. Cet objet est ensuite envoyé au fournisseur de services d'audit pour être formaté et enregistré dans le référentiel.

  6. Protection de vos données d'audit de sécurité Il est important que les données d'audit enregistrées soient sécurisées et que leur intégrité soit assurée. Pour vérifier que l'accès aux données est limité et sécurisé, vous pouvez chiffrer et signer vos données d'audit.
  7. Configuration des notifications d'erreur de sous-système d'audit de sécurité

    Vous pouvez permettre aux notifications de générer des alertes en cas d'échec du sous-système d'audit de sécurité. Les notifications peuvent être configurées pour enregistrer une alerte dans les journaux d'audit ou pour envoyer une alerte par courrier électronique à une liste spécifiée de destinataires.

Résultats

Une fois cette tâche terminée, vos données d'audit sont enregistrées pour les événements auditables sélectionnés indiqués dans la configuration.

Que faire ensuite

Au terme de la configuration de l'audit de sécurité, vous pouvez analyser vos données d'audit en termes de faiblesse potentielle dans l'infrastructure de sécurité en cours et découvrir des violations de sécurité pouvant s'être produites dans les mécanismes de sécurité existants.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjrsec_sa_secauditing
Nom du fichier : tjrsec_sa_secauditing.html