A auditoria de segurança é uma parte importante da infraestrutura de segurança. A auditoria de segurança fornece um mecanismo para controle e arquivamento dos eventos auditáveis, garantindo a integridade dos registros.
Antes de Iniciar
Antes de ativar o subsistema de auditoria de segurança para integração de serviço, ative a segurança global em seu ambiente.
Sobre Esta Tarefa
A principal responsabilidade da infraestrutura de segurança é evitar o uso não autorizado de recursos. A auditoria de segurança tem dois objetivos principais:
- Confirmar a efetividade e a integridade da configuração de segurança existente.
- Identificar áreas em que pode ser necessário melhorar a configuração de
segurança.
A auditoria de segurança atinge esses objetivos fornecendo uma infraestrutura que permite implementar seu código para capturar e armazenar eventos de segurança auditáveis suportados. Todos os códigos diferentes do código do aplicativo corporativo Java™ é considerado confiável. Sempre que um aplicativo corporativo acessa um recurso, os processos internos do servidor de aplicativos que têm pontos de auditoria incluídos em seu código podem ser registrados como eventos auditáveis. O subsistema de auditoria de segurança captura os seguintes tipos de eventos auditáveis:
- Autenticação
- Autorização
- Mapeamento principal e de credenciais
- Gerenciamento de chaves
- Gerenciamento de sistemas
- Gerenciamento de políticas de segurança
- Gerenciamento de política de auditoria
- Gerenciamento de configuração administrativa
- Gerenciamento administrativo do tempo de execução
- Gerenciamento do registro e da identidade do usuário
- Mudanças de senha
- Delegação
Esses tipos de eventos podem ser registrados em arquivos de log de auditoria.
Os arquivos do log de auditoria podem ser assinados e criptografados para garantir a integridade de dados.
Esses arquivos de log de auditoria podem ser analisados para descobrir violações nos
mecanismos de segurança existentes e descobrir possíveis fragilidades na infra-estrutura de
segurança atual. Os registros da auditoria de evento de segurança também são úteis para fornecer uma análise de evidências, contabilidade e vulnerabilidade. A configuração de auditoria de
segurança fornece quatro filtros padrão, um provedor de serviços de auditoria padrão e um
depósito de informações do provedor de eventos padrão.
As etapas a seguir descrevem como customizar o subsistema de auditoria de segurança. Quando necessário, foram incluídas na descrição das etapas informações adicionais específicas para o sistema de mensagens.
Procedimento
- Ativando o Subsistema de Auditoria de Segurança
A auditoria de segurança não será executada, a menos que o subsistema de segurança de auditoria tenha sido ativado. A segurança global deve ser ativada para que o subsistema de auditoria de segurança funcione, já que não ocorrerão eventos de segurança se a segurança global também não estiver ativada.
Para permitir que os eventos de segurança do sistema de mensagens sejam auditorados, a segurança de auditoria deve ser ativada:
- Para cada barramento a ser auditorado, clique em , e marque a caixa de seleção Ativar Serviço de Auditoria para o Barramento.
- Para sistemas de mensagens de publicação/assinatura, também em cada espaço de tópico do barramento a ser auditorado, clique em , e marque a caixa de seleção Ativar Serviço de Auditoria para o Espaço de Tópico.
- Função do Auditor
Um usuário com a função de auditor precisa ativar e configurar o subsistema de
auditoria de segurança. É importante exigir controle de acesso rigoroso para o
gerenciamento de política de segurança. A função de auditor fornece granularidade para suportar a separação da função de auditoria da auditoria do administrador.
- Criando Filtros de Tipos de Eventos de Auditoria de Segurança
É possível configurar filtros de tipos de eventos para somente registrar um
subconjunto específico de tipos de eventos auditáveis nos logs de auditoria. A filtragem dos tipos de evento registrados facilita a análise dos registros de auditoria, garantindo que os registros mostrem apenas o que foi selecionado como importante para o ambiente.
Os eventos de auditoria que podem ser configurados para o sistema de mensagens são:
- SECURITY_AUTHN
- Esse evento é produzido quando a identidade de um cliente do sistema de mensagens ou de um mecanismo do sistema de mensagens que está conectando-se ao barramento é autenticada.
- SECURITY_AUTHZ
- Esse evento é produzido quando a identidade de um cliente do sistema de mensagens é verificada com relação à autoridade de acesso a um barramento ou a uma fila de mensagens ao enviar mensagens, diretamente ou por publicação, ou receber mensagens, diretamente ou por assinatura.
- SECURITY_AUTHN_TERMINATE
- Esse evento é produzido quando a conexão entre um cliente do sistema de mensagens ou mecanismo do sistema de mensagens e um barramento do sistema de mensagens é finalizada.
- SECURITY_MGMT_CONFIG
- Esse evento é produzido quando um cliente do sistema de mensagens altera o conteúdo de um repositório de Objetos de Dados de Serviço (SDO) em uma operação de importação ou remoção.
É possível criar filtros de eventos para cada permutação de um evento e seus possíveis resultados, como SUCCESS, DENIED ou condições de erro de diferentes níveis de gravidade.
Consulte Eventos de Segurança do Sistema de Mensagens, para obter informações adicionais sobre quais eventos de auditoria de segurança do sistema de mensagens são produzidos e quando eles são produzidos.
- Configurando os Provedores de Serviços de Auditoria para Auditoria de Segurança
O provedor de serviços de auditoria é usado para formatar o objeto de dados de auditoria que foi transmitido a ele antes de enviar os dados para um repositório.
- Configurando Factories de Eventos de Auditoria para a Auditoria de Segurança
O depósito de informações do provedor de eventos de auditoria reúne os dados
associados aos eventos auditáveis e cria um objeto de dados de auditoria. O objeto de dados de auditoria será enviado para o provedor de serviços de auditoria, para ser formatado e registrado no repositório.
- Protegendo Seus Dados da Auditoria de Segurança É importante que os dados de auditoria registrados sejam protegidos e a integridade de dados seja assegurada. Para assegurar que o acesso aos dados seja restrito e seguro, é possível criptografar e assinar os dados de auditoria.
- Configurando Notificações de Falha do Subsistema de Auditoria de Segurança
É possível ativar notificações para gerar alertas quando o subsistema de auditoria de segurança tiver uma falha. As notificações podem ser configuradas para registrar um alerta nos logs de auditoria ou pode ser configurada para enviar um alerta por email para uma lista de destinatários especificada.
Resultados
Depois que a tarefa for concluída com êxito, serão registrados os dados de auditoria dos eventos auditáveis selecionados especificados na configuração.
O que Fazer Depois
Após a configuração da auditoria de segurança, é possível analisar os dados de auditoria em busca de possíveis fragilidades na infraestrutura de segurança atual e para descobrir violações de segurança que podem ter ocorrido nos mecanismos de segurança existentes.