当接到安全咨询建议时,通常会提到强密码、备份数据、使用安全应用程序、保持系统最新,以及避免默认设置。一般而言,这是系统管理员必须考虑的最基本和必要的预防措施。但是,根据您要保护的系统,还有一些其他问题需要考虑。
鉴于信息窃取和泄漏的频率惊人,这里有五个关键的技巧来保持数据库的安全,特别是当他们被托管在云端或第三方提供商。
1、控制对数据库的访问权限
所有的孙子女都想帮助她做饭时,我祖母常说“太多的厨子在炖汤”。
事实证明,就信息安全而言,这句老话是很重要的:当许多人干涉某事时,结果很少是积极的。
更多的限制权限和特权,更好。
同样的事情适用于数据库:越限制权限和特权越好。
严格的访问控制是让攻击者远离您的信息的第一步。除了基本的系统权限之外,还应该考虑:
限制用户和程序访问敏感数据。换言之,只允许某些用户和程序对敏感信息进行查询。
仅将关键程序的使用限制于特定用户。
尽可能避免在正常或办公时间以外同时使用和访问。
禁用所有未使用的服务和程序也是一个好主意,以防止它们受到攻击。另外,只要有可能,数据库应该位于不能从互联网直接访问的服务器上,以避免信息暴露给远程攻击者。
2、确定敏感和关键的数据
在考虑保护技术和工具之前,第一步是分析和确定必须保护的重要信息。要做到这一点,了解数据库的逻辑和架构非常重要,以便更容易确定数据在哪里以及如何存储。
并非我们存储的所有数据都很关键或需要保护,因此在这类信息上花费时间和资源是没有意义的。
所以,建议保留公司数据库的清单,确保考虑到所有部门。有效管理和避免信息丢失的唯一方法是了解公司的所有实例和数据库并记录下来。
更重要的是,清单在进行信息备份时特别有用,可以避免将重要数据排除在方案之外。
3、信息加密处理
一旦识别出敏感和机密数据,最好使用强大的算法来加密数据。
当攻击者利用漏洞获取服务器或系统的访问权限时,他们将尝试窃取的第一件事是数据库。这些是最具价值的信息,因为它们通常包含许多千兆字节的有价值的信息。保护数据库的最好方法是任何人在未经授权的情况下都难以访问数据库。
4、匿名化非生产性数据库
许多公司投入时间和资源来保护他们的生产数据库,但是当开发一个项目或者创建一个测试环境时,他们只是复制原始数据库,并开始在不太严格控制的环境中使用敏感信息。
隐藏或匿名是创建类似版本的过程,保留与原始结构相同的结构,从而修改敏感数据以保持其安全。数据可以以不同的方式改变:混合在一起,加密,混合字符或替换字词。所使用的具体方法以及需要遵守的规则和格式将由管理员决定,但无论采用何种方法,都必须确保该过程不可逆转:也就是说,任何逆向工程都不能使任何人再次获得原始数据。
对于属于测试和开发环境的数据库,此技术特别有用,因为它允许您保留数据的逻辑结构,同时确保敏感的客户端信息在生产环境之外不可用。
5、数据库审计
了解审计和记录行动和数据移动意味着您知道哪些信息已经处理,何时以及如何以及由谁来处理。拥有完整的交易记录,可以让您了解数据访问和修改模式,从而避免信息泄露,控制欺诈性更改并实时检测可疑活动。
请记住遵循这些提示,并在管理和保护数据库时要非常小心。这些数据信息对公司来说是非常有价值的,对于攻击者来说也是非常有吸引力,所以它绝对值得你加倍关注。
