Veri Tabanı Güvenliği için Sox Denetim Süreci

Veri Tabanı Güvenliği için Sox Denetim Süreci

Veri Tabanı Güvenliği için Sox Denetim Süreci

SOX (Sarbanes-Oxley Act) denetimleri kapsamında, özellikle veri tabanı güvenliği kritik bir rol oynar. Denetçiler, finansal raporlamayla ilişkili tüm sistemlerin güvenli olmasını ve verilerin bütünlüğünü sağlamaya yönelik kontrollerin yapıldığını görmek isterler. Bu denetimlere uyumluluk güvenlik açısından kritik öneme sahiptir ve denetim isterlerinin kurum içinde etkin şekilde işletilmesi beklenir. Veri tabanı güvenliği açısından SOX denetiminde bakılan başlıca kontroller ve talepler şunlardır:

  1. Erişim Kontrolleri

Denetçiler, veri tabanına kimlerin erişebileceğini kontrol eder. Bu kapsamda:

  • Kullanıcı erişim yetkileri: Kimlerin hangi verilere erişebildiği, hangi işlemleri yapabildiği incelenir. Yetkisiz kişilerin kritik verilere erişimi olmamalıdır.
  • Rol bazlı erişim denetimi (RBAC): Kullanıcıların yalnızca görev tanımlarına uygun yetkilere sahip olup olmadıkları değerlendirilir.
  • Sistem ve veri erişim logları: Kullanıcı aktivitelerinin kaydedildiği iz kayıtları incelenir, yetkisiz erişim veya anormal davranışlar izlenir.
  1. Değişiklik Yönetimi

Veri tabanında yapılan değişiklikler dikkatle izlenir. Denetçiler, sistemde yapılan her türlü değişikliğin kayıt altına alındığını görmek ister. Bu kapsamda:

  • Yama ve güncellemelerin uygulanma süreci: Güvenlik açıklarını kapatmaya yönelik yamalar ve güncellemeler doğru bir şekilde uygulanıyor mu?
  • Veri tabanı yapılandırma değişiklikleri: Yapılan konfigürasyon değişiklikleri izleniyor mu ve yetkili kişiler tarafından mı yapılıyor?
  1. Loglama ve İzleme

Denetçiler, veri tabanının yeterli şekilde loglama yaptığını ve bu logların düzenli olarak izlendiğini kontrol ederler. SOX uyumluluğu için:

  • Veri tabanı erişim logları: Kim, ne zaman, hangi veriye ne şekilde erişti? Bu bilgiler detaylı bir şekilde kayıt altına alınıyor mu?
  • Veri değişiklik logları: Verilerde yapılan değişiklikler detaylı bir şekilde kaydediliyor ve gerektiğinde denetçilerle paylaşılabiliyor mu?
  • Anormallik tespiti: Sistem anormalliklerini tespit eden izleme mekanizmaları var mı?
  • Görevler ayrılığı ilkesi: Loglama mekanizması görevler ayrılığı ilkesine göre çalışıyor mu? İzlen grup loglama mekanizmasını bypass edebiliyor mu?
  • Log kayıtlarının bütünlüğü: Elde edilen log kayıtlarının değişmezliği garanti altına alınabiliyor mu?
  • Geçmiş log kayıtlarının raporlaması: Yasal zorunluluk çerçevesinde geçmişte yapılan işlemlere ait log kayıtları raporlanabiliyor mu?
  1. Veri Şifreleme

SOX kapsamında finansal bilgilerin korunması için veri şifreleme mekanizmaları önemli bir kontrol noktasıdır. Denetçiler şunları talep edebilir:

  • Hassas verilerin şifrelenmesi: Veri tabanında tutulan kritik finansal bilgiler (örneğin, müşteri verileri, hesap bilgileri) şifreleniyor mu ve şifrelenmiyorsa ayrıcalıklı kullanıcıların kritik veriye erişimi için dinamik veri maskeleme kuralları işletiliyor mu?
  • Şifreleme anahtarı yönetimi: Şifreleme anahtarları kimler tarafından ve nasıl yönetiliyor? Anahtarların güvenli bir şekilde saklandığına dair kanıtlar talep edilebilir.
  1. Yedekleme ve Kurtarma

Denetçiler, veri kaybı durumunda sistemlerin hızlı bir şekilde geri yüklenebilir olduğundan emin olmak isterler. Bu kapsamda:

  • Yedekleme süreçleri: Veri tabanının düzenli olarak yedeklenip yedeklenmediği, yedekleme stratejisinin ve politikasının doğruluğu kontrol edilir.
  • Felaket kurtarma senaryoları: Veri kaybı veya felaket durumunda yedeklerin kurtarma süreçlerinin test edilip edilmediği incelenir.
  • Felaket kurtarma senaryolarının test edilmesi: Belirli aralıklarla felaket kurtarma sistemleri test ediliyor mu? Test neticesinde, sistemler felaket durumunda temel fonksiyonlarını yerine getirmeye devam edebiliyor mu?
  1. Yetki Ayrımı (SoD – Segregation of Duties)

SOX kapsamında yetki ayrımı önemli bir kontrol noktasıdır. Denetçiler, veri tabanı yönetiminde:

  • Yönetici yetkilerinin ayrımı: Bir kişinin hem veri tabanını yönetme hem de veri değiştirme yetkilerine sahip olup olmadığı kontrol edilir. Bu tür yetkilerin ayrılması beklenir.
  1. Denetim Raporları

Denetçiler, yukarıda belirtilen tüm kontrollerin yapıldığına dair kanıt niteliğinde raporlar görmek ister. Bu raporlar:

  • Kullanıcı Erişim Raporları (Başarılı/Başarısız): Kimlerin veri tabanına eriştiği ve ne tür yetkilere sahip olduklarına dair raporlar.
  • Başarısız Erişim Raporları: Veri tabanı sistemlerine yapılan başarısız erişim denemelerin raporları.
  • Kritik Veriye Erişim Raporları: Kritik verilere yapılan DML, DDL, DCL ve Select işlemlerine ait raporlar.
  • Kullanıcı Hesap Yönetim Raporları: Veri tabanı sistemleri üzerinde Create User, Create Login, Alter User, Alter Login, Drop User, Drop Login ve kritik işlemlere ait parola değişiklik işlemlerinin raporlanması.
  • Yetkilendirme Raporları: Veri tabanı sistemleri üzerinde yapılan tüm Grant ve Revoke işlemlerine ait raporlar.
  • Kritik Hatalı İşlem Raporları: Veri tabanı üzerinde yetkisiz işlemlerin raporlanması.
  • Servis Hesapları Erişim Raporu: Servis hesaplarının sadece uygulama sunucuları üzerinden geldiği gösteren raporlar, gerçek kullanıcıların servis hesaplarını kullanmaması beklenir.
  • Ön Tanımlı Hesap Erişim Raporu: SA, SYS, SYSTEM, ADMIN, ROOT gibi ön tanımlı hesaplarla yapılan erişim raporu.
  • Güvenlik Olayları ve Log Raporları: Güvenlik olaylarıyla ilgili detaylı raporlar.
  • Yedekleme ve Kurtarma Test Raporları: Yedekleme süreçlerinin ve kurtarma testlerinin düzenli olarak yapıldığını gösteren raporlar.
  1. Kullanıcı Kimlik Doğrulama

SOX denetçileri, kullanıcıların güvenli bir şekilde kimlik doğrulama süreçlerinden geçmesini bekler:

  • İki faktörlü kimlik doğrulama (2FA): Kritik verilere erişim için iki faktörlü kimlik doğrulama uygulanıyor mu?
  • Active Directory engegrasyonu: Veri tabanı sistemlerine erişimlerin kurumsal ve merkezi Active Directory hesapları ile işletilmesi.
  • Parola politikaları: Parolaların güçlü ve düzenli olarak güncellendiğinden emin olunmalıdır.

Bu kontroller, SOX uyumluluğunun sağlanmasında büyük rol oynar ve denetçilerin veri tabanı güvenliğiyle ilgili tüm bu süreçlerin düzgün işlediğini doğrulaması gerekir.

 

Guardium ile Otomatikleşen SOX Denetimleri

Loglama

Guardium çözümü gelişmiş loglama fonksiyonları ile görevler ayrılığı ilkesini karşılar ve veri tabanı sistemlerinin audit loglarına ihtiyaç duymadan kernel seviyesinde loglama operasyonlarını gerçek zamanlı yapabilmektedir. Loglama operasyonları Guardium’un gelişmiş ajan mimarisi ile yapılır, S-TAP ajanı hem lokal hem de ağ üzerinden ……Loglama politikaları güvenlik ekipleri tarafından yönetilir ve her kurumun ihtiyaçlarını karşılayacak use-case entegrasyonları kolaylıkla yapılabilmektedir. Toplanan iz kayıtları Guardium cihazları üzerinde değişmezliği garanti altına alınarak uzun süreli saklanabilmektedir. Gelişmiş arşivleme mimarisi ile yasal yükümlülük süresince(5 yıl veya 10 yıl) geçmiş log kayıtları kolaylıkla raporlanabilmektedir. Arşiv alanında bulunan Guardium log kayıtları sıkıştırılmış ve şifrelenmiş şekilde saklanır, arşiv kayıtları sadece kuruma ait Guardium cihazlarına geri yüklenebilmektedir. Geri yükleme işlemlerinde bütünlük kontrolü yapılır.

Raporlama

Guardium veri tabanı güvenlik çözümü gelişmiş raporlama mimarisi ile SOX denetimi için gerekli olan raporları kolay ve hızlı şekilde sunar. Raporları kolayca dizayn ettikten sonra çalışma periyodunu belirlemeniz yeterlidir. Belirlenen periyotlarda raporlar istenilen formatlara(PDF, CSV, HTML) alıcılara iletilir ve denetim süreci için gerekli raporlama süreci otomatikleştirilir. Raporların

Yetki-Durum Matrisleri

Yetki-durum matrisleri ile hangi kullanıcı hangi rollere sahip veya hangi rol hangi yetkilere sahip sorularının cevaplarını kolayla bulabilirsiniz. Fazladan verilmiş yetkileri tespit edebilir ve sıkılaştırma süreçleriniz daha etkin şekilde yönetebilirsiniz. Yetki-Durum raporları sayesinde gereksiz yetki ve rollere sahip kullanıcıları kolaylıkla tespit edilebilmektedir.

Veri Sınıflandırma

Guardium gelişmiş veri sınıflandırma modülü ile SOX regülasyonuna konu olan kritik verileri tüm veri tabanı sistemlerinde kolayca tespit edebilmektedir. Veri sınıflandırma modülü ile hassas verilerin geçtiği tablo ve kolonlar sürekli olacak şekilde keşfedilebilmektedir. Kopyalanan tablolar, yeni eklenen kritik alanlar, şemanıza yeni eklenen kritik objeler kolaylıkla tespit edilebilmektedir. Guardium tespit ettiği kritik veriler için ayrıca doğrulama adımları da uygulayabilmektedir, Java dili ile yazılan doğrulama algoritmaları kolaylıkla uygulanıp false-positive sonuçlar kolaylıkla minimum seviyelere indirilebilmektedir. Veri sınıflandırma modülü ile riskinizi güncel olarak ölçebilir ve çıktıları politika, raporlama ve yetki durum matrisleri içinde değerlendirebilirsiniz.

Zafiyet Analizi

Guardium zafiyet tarama modülü ile veri tabanı sistemlerine özel güvenlik testlerini gerçekleştirmektedir. CIS, STIG ve CVE test setlerinin bilinen en iyi pratikleri uygulanır ve zafiyet çıktıları çözümleri ile raporlanır. Zafiyet tarama işlemi versiyon, kimlik doğrulama, yetkilendirme ve konfigürasyonu başlıklarını kapsar. Bu başlıklar altında detaylı testleri her veri tabanı tipine göre ayrı ayrı gerçekleştirir. Guardium bilinen birçok veri tabanı sistemi üzerinde zafiyet taraması yapabilir bunlar MS SQL Server, MS SQL Server (Azure), Oracle, Oracle Exadata, Mysql, Postgresql, Mongodb, Cassandra, Sap HANA, DB2 LUW, DB2i, DB2 z/OS, Sybase ASE, Sybase IQ, Teradata, Dynamodb, Couchbase.

 

 

Konu Başlıkları
Hizmetlerimiz
Blog

Size Nasıl Yardımcı Olabiliriz?

Sizi Arayalım

Siber Güvenlik alanında 20 yılı aşkın süredir danışmanlık hizmetleri veren Mernus Bilişim Teknolojileri müşterilerine bilgi birikimlerini aktarmak ve onları siber tehditlere karşı korumak için yola çıktı.

Bülten
Bağlantılar
Adres

Ata 2 Sitesi, Çengelköy, İstanbul

E-MAIL
Copyright 2023 – Mernus | Software & Design – Powered by Much Better.