É possível usar o Recurso de Auditoria para relatar e rastrear eventos auditáveis para garantir a integridade do sistema.
Sobre Esta Tarefa
Nota: O subsistema de auditoria de segurança
foi introduzido como parte da infraestrutura de segurança.
A principal responsabilidade
da infraestrutura de segurança é impedir o acesso e o uso de
recursos não autorizados. A utilização da auditoria de segurança tem dois objetivos principais:
- Confirmar a efetividade e a integridade da configuração de segurança existente.
- Identificar áreas em que pode ser necessário melhorar a configuração de
segurança.
A auditoria de segurança atinge esses objetivos fornecendo a infraestrutura
que permite implementar seu código para capturar e armazenar eventos de segurança
auditáveis suportados. Durante o tempo de execução, todo código diferente do código do
aplicativo Java™ EE 5 é
considerado confiável. Sempre que um aplicativo Java EE acessa um
recurso seguro, qualquer processo interno do servidor de aplicativos com ponto de
auditoria incluído pode ser registrado como evento auditável.
O subsistema
de auditoria de segurança pode capturar os seguintes tipos de eventos
auditáveis:
- Autenticação
- Autorização
- Mapeamento de Credencial/Proprietário
- Gerenciamento de política de auditoria
- Delegação
Esses tipos de eventos podem ser registrados em arquivos de log de auditoria. Cada
log de auditoria tem a opção de ser assinado e criptografado para garantir a integridade de dados. Esses arquivos de log de auditoria podem ser analisados para descobrir violações nos
mecanismos de segurança existentes e descobrir possíveis fragilidades na infra-estrutura de
segurança atual. Os registros de auditoria de evento de segurança também são úteis para
fornecer comprovante de contabilidade e irrecusabilidade, além da análise de vulnerabilidade. A configuração de auditoria de
segurança fornece quatro filtros padrão, um provedor de serviços de auditoria padrão e um
depósito de informações do provedor de eventos padrão. A implementação padrão é gravada em um log baseado em arquivo de texto binário. Utilize este tópico para customizar o subsistema de auditoria de segurança.
- Ativando o Subsistema de Auditoria de Segurança
A auditoria de segurança não será executada a menos que o subsistema de segurança
de auditoria tenha sido ativado.
A segurança global deve ser ativada para que o subsistema de auditoria de segurança funcione, já que nenhuma auditoria de segurança será executada se a segurança global também não estiver ativada.
- Designe a função de auditor para um usuário
Um usuário com a função de auditor precisa ativar e configurar o subsistema de
auditoria de segurança.
É importante exigir controle de acesso rigoroso para o
gerenciamento de política de segurança. A função de auditor foi criada fornecendo
granularidade para permitir a separação da função de auditoria da autoridade do
administrador. Quando a Auditoria de Segurança é ativada inicialmente, o administrador de
célula tem privilégios de auditor. Se o ambiente exigir separação de privilégios, será
necessário fazer alterações nas designações de função padrão.
- Criando Filtros de Tipos de Eventos de Auditoria de Segurança
É possível configurar filtros de tipos de eventos para somente registrar um
subconjunto específico de tipos de eventos auditáveis nos logs de auditoria. A filtragem dos tipos de evento registrados facilita a análise dos registros de auditoria, garantindo que apenas os registros importantes para seu ambiente sejam arquivados.
- Configurando o provedor de serviços de auditoria.
O provedor de serviços de auditoria é utilizado para formatar o objeto de
dados de auditoria que foi transmitido a ele antes de enviar os dados para um
repositório. Uma implementação do provedor de serviços de auditoria padrão
está incluída.
Consulte Configurando os Provedores de Serviços de Auditoria Padrão para Auditoria de Segurança
para obter mais detalhes sobre a implementação padrão. Uma implementação de terceiros
também pode ser codificada e utilizada. Consulte Configuring a third party audit service providers for security auditing para obter mais detalhes sobre esta implementação.
Uma
implementação para o SMF também está disponível. Consulte Configuring the SMF audit service providers for security auditing para obter mais detalhes sobre esta implementação.
- Configurando Factories de Eventos de Auditoria para a Auditoria de Segurança
O depósito de informações do provedor de eventos de auditoria reúne os dados
associados aos eventos auditáveis e cria um objeto de dados de auditoria. O objeto de dados de auditoria será enviado para o provedor de serviços de auditoria, para ser formatado e registrado no repositório.
- Protegendo Seus Dados da Auditoria de Segurança
É importante proteger e assegurar a integridade dos dados de auditoria
registrados. Para assegurar que o acesso aos dados seja restrito e a prova de
falsificação, é possível criptografar e assinar seus dados de auditoria.
- Configurando Notificações de Falha do Subsistema de Auditoria de Segurança
Notificações podem ser ativadas para gerar alertas quando o subsistema de
auditoria de segurança tem uma falha. As notificações podem ser configuradas para registrar um alerta nos logs do sistema ou podem ser configuradas para enviar um alerta por email a uma lista especificada de destinatários.
O que Fazer Depois
Depois de configurar a auditoria de segurança, é possível analisar os dados de
auditoria quanto a uma possível fragilidade na infraestrutura da segurança atual, e para descobrir
violações de segurança que possam ocorrer nos mecanismos de segurança existentes. Também é possível utilizar o subsistema de auditoria de segurança para fornecer dados para determinação do problema. Se o provedor de serviços de auditoria padrão foi selecionado, o arquivo de log binário de auditoria resultante poderá ser lido utilizando o Leitor de Auditoria.