概要
データベース・セキュリティ・ソリューションのIBM Security Guardium 10.1によるDB2 for IBM i のアクセス監視の検証を実施しました。DB2やOracleといった一般的なデータベース以外にも、IBM i のデータベースへのアクセス監視も問題なくできることを検証しました。
※CAMSSセンターは「IHCC(IGUAZU Hybrid Cloud Center)」に名称変更いたしました。
背景・課題
IBM i のお客様をターゲットにしたGuardiumの更なる拡販、提案の為、導入/構築ができるようになる必要がありました。
以前、IBM i のお客様に別件の提案/導入を行った際、IBM i のオペレーションに不慣れなこともあり設定等で苦労した経験がありました。そのため、今回はIBM i を確実に操作するスキルを取得しつつ、対IBM i のGuardium動作確認として、DB2 for IBM i のアクセスログ取得ができるところまで練習を兼ねて検証を行う必要がありました。
検証概要
使用したハード/ソフト
- IBM Power 720(8202-E4D)/ IBM i V7.1
- SUPERMICRO IAサーバ / IBM Security Guardium 10.1
(IBM Security Guardium Data Protection for Databases)
Guardiumのコンポーネントは、コレクターと呼ばれるサーバー・モジュールと、S-TAPと呼ばれるクライアント・モジュールから構成されます。
コレクターは、設定された監視ポリシーやルールに基づき、S-TAPから送信されてきたアクティビティをロギングと解析を行い、アラートを発する等の処理を実行します。
S-TAPは、システム上のすべてのデータベース・アクティビティを取得して、コレクターに送信します。
今回、コレクターは、IBMソフトウエア アクセス カタログからダウンロードしたコンポーネントファイル(=仮想アプライアンス:Guardium用にLinuxをカスタマイズした専用OSとGuardiumが同時に展開される)をIAサーバに導入。IBM i 用のS-TAPは、IBM Fix Centralより最新版をダウンロードして、IBM I V7.1に導入。
主な検証内容
- GuardiumとDB2 for IBM i との通信構成と疎通確認
- レポート作成と表示の検証
- ポリシー、ルールの動作検証
- フィルタルールの動作検証
- ルールに抵触した際のレポート表示確認
<GuardiumとDB2 for i との接続状況画面>
※Inspection Engine Status(検査エンジンの状況)が、「Unverified」になっていますが、DB2 for IBM i の場合は、このステータスで問題ありません。通常は、例えばDB2等の場合は、「Pass」になっている必要があります。
<レポート画面>
※設定したポリシーに違反したアクセスがあった場合、上記のようにレポートにアラートが表示されます。
今回、IBM i に、以前導入した旧バージョン(v9.5)を上書きする形で新しいバージョンのS-TAP(v10.1)を導入しましたが、Guardiumとの通信が上手くできませんでした。
原因は、旧バージョン導入時に構成したIBM i のコンフィギュレーション・ファイル(QSYS2.SYSAUDIT)が、古いままで更新されなかったことと判明。手作業(SQL文の発行)で正しい値に更新することで解決できました。
パートナーさまの声
- Guardium 10.1 を使用したDB2 for IBM i へのアクセス監視が出来ることを確認できました。これで、IBM i のお客様にも自信を持って提案できます。
- 「IBM i での基本動作やオペレーションも理解することができ大変助かりました。