Como o nome já entrega, o Oracle AVDF é um firewall de banco de dados (também conhecido por proxy SQL), além de um grande cofre de dados de auditoria (logs) para uso em perícia foresense (!). Além de não ser novidade, já existem há muito tempo, alguns ” concorrentes”, ou, melhor dizendo, alternativas, tais como: IBM Guardiam, DB Protect, Imperva SecureSphere, MySQL Proxy, Heimdall, ProxySQL, etc.
A GDPR (regulamentação européia) tem feito mais pela governança de dados do que HIPAA, PCI, e SOX juntas. E, tem trazido à luz a necessidade de um melhor controle do que é inserido e manipulado dentro de nossas bases de dados. Aí, o AVDF entra em cena.
O AVDF intercepta requisições para o banco de dados, e, analisa seu conteúdo quanto a sua sintaxe, semântica, objetivo e resultado. Como todo firewall baseia-se em listas brancas (white lists ou aquilo que pode ser feito), listas negras (black lists ou aquilo que não é permitido), e, ainda, em políticas (policies ou grupo de coisas que podem ou não ser feitas, por exemplo, pode-se proibir qualquer comando DDL para não DBA’s).
Uma grande sacada do AVDF é atuar além das paredes da “big red”, ou seja, além de funcionar com Oracle Database, funciona com outros RDBMS como: MySQL, IBM DB2, Microsoft SQL Server, SAP Sybase, etc.
É claro que todo acesso ao banco de dados é registrado em um cofre seguro, imutável. Sendo que os acessos não autorizados são destacados, e, devidamente alertados. Pode, ainda, ser configurado para trabalhar em modo silencioso, permitindo o acesso, mesmo que conflite com regras e políticas, apenas, registrando e alertando, mas, não bloqueando.
Uma utilidade interessante é bloquear os acessos dos DBA’s em tabelas com dados sensíveis, porém, sem revogar-lhes os devidos direitos de manutenção.
Outra coisa muito bacana é poder concentrar logs de segurança de sistema operacional e banco de dados, de múltiplos servidores, num único ponto de controle.
Vem com um inteligente modo de auto-aprendizagem, semelhante ao de ferramentas anti-spam, auxiliando no entendimento das requisições (SQL) para formação de políticas mais coerentes.
Repleto de relatórios e gráficos, agrupados por categorias, tais como: Compliance (PCI, HIPAA, etc), Atividades, etc.
Das ferramentas que eu testei, e, dentre as quais eu opero, o Oracle AVDF é sem dúvida o melhor. E sim, é pago.
Recomendo a leitura do data sheet.