Настройка ведения журнала MySQL для проверяемой среды, такой как SOX
Как вы настраиваете пользователей MySQL и ведение журналов, чтобы удовлетворить аудиторов SOX?
Например, если вам нужно регистрировать запросы и источник запроса для последующего просмотра внутренней группой управления SOX.
Существует ли простой способ отличить запросы, сгенерированные приложением, от запросов, сгенерированных (потенциально злонамеренным) пользователем, "входящим непосредственно в базу данных"?
Существуют ли какие-либо сторонние инструменты или сценарии, которые вы считаете полезными?
1 ответ
Решение
Конфигурация
- Отделяйте пользователей приложения от людей, работающих вручную.
- Используйте отдельного пользователя для каждого приложения
- Белый список хостов, с которых могут подключаться все пользователи, до необходимого минимума. Пользователь приложения должен подключаться только с серверов для этого приложения. Пользователи, работающие в ручном режиме, должны подключаться только с ограниченного набора серверов, которые НЕ являются серверами приложений.
- Ограничьте привилегии всех пользователей до необходимого минимума, вплоть до уровня таблицы
- Включите общий журнал запросов MySQL.
- Это может повлиять на производительность. Если вы уже выполняете репликацию, двоичный журнал уже содержит все запросы, которые изменяют данные, что может быть достаточно (хотя не уверен, что двоичный журнал содержит исходный IP-адрес / пользователя).
- Если вы находитесь в среде PCI, журналы запросов должны находиться на зашифрованном томе или в зашифрованной таблице. Помните, что открытый текст, передаваемый в функции шифрования mysql, будет зарегистрирован как часть запроса!
инструменты
- БД Lumigent Audit
- SoftTree DB Audit
связи