數據庫安全層
數據庫安全性分為三個主要層:
下表提供了所有三個安全級別的說明:
|
安全層
|
描述
|
首要目標
|
常用技巧
|
|
數據庫層
|
保護數據庫中存儲的數據
|
確保只有授權用戶訪問和修改存儲的文件
|
活動監控、標記化、數據脫敏和加密
|
|
接入層
|
保護用于訪問數據庫的機制
|
確保每個訪問請求都經過身份驗證和授權
|
實施難以猜測的密碼、2FA和權限控制
|
|
周邊層
|
保護連接到數據庫的網絡
|
監控傳入流量是否存在可疑活動跡象
|
防火墻、VPN、IDPS 和網絡分段
|
數據庫安全最佳實踐
保護數據庫免受威脅需要結合采取不同的措施。這里總共有 15 個最有效的數據庫安全最佳實踐來保護您的存儲系統。
1. 確保物理數據庫安全
無論數據庫服務器位于現場服務器機房還是云提供商的數據中心,設備都必須駐留在安全、氣候受控的環境中。
如果您依賴第三方提供商進行托管,則您將外包與物理安全相關的所有措施。如果您管理本地數據中心,請通過以下方式保護數據庫服務器:
-
鎖。
-
云端視頻監控。
-
專職保安人員。
-
不間斷電源(UPS)。
-
消防系統。
-
適當的冷卻系統。
記錄對服務器的所有物理訪問,并確保只有少數人有權配置設備。
2.使用2FA和MFA
到 2022 年,超過 67% 的數據泄露事件至少涉及一組泄露的憑證。您不應使用僅需要密碼即可登錄的有風險的單因素身份驗證 (SFA) 方法,而應使用:
-
默認用戶的雙因素身份驗證 (2FA)。
-
管理員帳戶的多重身份驗證 (MFA)。
對于最敏感的數據庫來說,對所有用戶使用 MFA 是一個流行的選擇。您還應該通過僅允許經過驗證的IP 地址訪問文件來增強數據庫安全性(增強數據庫保護的多種端點安全措施之一)。
重要提示:使用 2FA 和 MFA 并不能消除對難以破解的密碼的需要。了解如何創建易于記憶且不易猜測的強密碼。
3. 強制執行最小特權原則
有權訪問數據庫的實際最小用戶數。有權訪問的人越少,保護文件就越容易。
將相同的原則應用于各個數據庫元素以及員工可以對文件執行的操作。每個帳戶只能訪問所需的表和操作(例如 select 或 insert)。同樣的邏輯也適用于非人類賬戶,包括:
您還應該依賴零信任安全性。每次有人發出訪問請求時,該模型都會驗證身份和設備合規性。
4. 防止SQL注入
SQL注入主要有兩種:
您的團隊應采取以下措施停止這兩種類型的注射:
-
參數化查詢。
-
輸入驗證。
-
用戶輸入的凈化。
-
Web 應用程序防火墻 (WAF)。
注意:我們關于SQL 注入的文章深入探討了如何識別和有效防止此類網絡攻擊。
5.使用代理服務器
代理服務器在將請求發送到數據庫服務器之前檢查請求。如果有人發送虛假流量或惡意請求(即 SQL 注入或受勒索軟件感染的可執行文件),代理服務器將包含影響并隔離威脅。
雖然有些公司使用基于 HTTP 的代理服務器,但您應該設置 HTTPS 服務器來保護包含敏感信息的數據庫。HTTPS 服務器對所有數據進行加密,為數據庫提供了額外的安全層。
6. 維護數據清單(或地圖)
存儲大量數據的公司通常不知道文件所在的確切位置以及如何保護它們的安全。為了避免這種情況,請維護一份詳細的清單,其中注明以下內容:
-
每個數據集駐留在哪里(以及處于什么狀態)。
-
哪些員工、帳戶和應用程序可以訪問文件。
-
您使用什么措施來保護個人數據集。
清單有助于更好地管理您的數據庫安全工作,還有助于:
-
風險管理。
-
業務影響分析 (BIA)。
-
監管合規性。
-
修補優先級。
或者,創建數據地圖以實現與清單相同的目的(或同時使用兩者)。
此外,定期進行訪問審查,以確保隨著團隊的成長和啟動新項目,數據庫權限沒有缺陷。這些審查使安全團隊能夠刪除舊的和不必要的權限。
7. 保持數據庫服務器和 DMS 平臺最新
始終使用最新版本的 DMS。一旦供應商發布補丁(服務包、安全修補程序、累積更新等),請立即應用它們,以確保犯罪分子沒有時間利用漏洞。
保持 DMS 最新的另一個好處是可以提高數據庫性能的穩定性。
良好的補丁衛生也適用于所有有權訪問數據庫的應用程序和系統。如果具有過時且易受攻擊的插件的應用程序可以直接訪問文件,那么高級別的數據庫安全性將無濟于事。
8.充分利用加密
使用靜態加密來保護數據免遭盜竊、網絡間諜和泄露。加密使黑客和惡意內部人員(即沒有解密密鑰的任何人)都無法讀取文件。
您還應該使用傳輸加密來保護文件在不同系統之間移動時的安全。確保與數據庫的所有連接都使用 TLS 加密。
重要提示:在開始加密業務數據之前,請了解密鑰管理和最佳實踐。
9.多次登錄嘗試后自動鎖定
如果用戶多次輸錯密碼,數據庫服務器必須自動鎖定該帳戶,防止其再次嘗試登錄。您可以:
有人多次輸入錯誤的密碼是基于密碼的攻擊的跡象。限制攻擊者在這種情況下的嘗試次數對于將他們排除在數據庫之外至關重要。
10.隔離數據庫
避免將數據庫與應用程序(甚至其他數據庫)保留在同一服務器上。雖然將所有內容都保存在一臺服務器上更容易、更便宜,但這種策略會產生各種漏洞,使數據面臨風險。
作為額外的預防措施,請使用軟件定義的邊界 (SDP)。此措施隔離數據庫,以防止其出現為任何特定用戶網絡的一部分。這樣,入侵者就很難通過橫向移動來定位和訪問數據庫。
11. 運行滲透測試
雇用有道德的黑客對您的數據庫進行滲透測試。不要讓內部團隊提前了解測試,而是看看員工和數據庫如何經受住真實的攻擊模擬。
偶爾執行滲透測試有助于發現團隊在無壓力分析過程中可能忽略的漏洞。此類測試對于所有類型數據庫的安全至關重要。此外,通過定期漏洞評估來補充滲透測試的發現。
12.創建定期數據備份
對數據庫中的所有文件執行定期數據備份。遵循 3-2-1 備份規則:
-
創建數據的三個副本。
-
使用兩種不同類型的存儲。
-
將一份副本存儲在異地位置(例如,在云中)。
如果數據庫中的文件出現任何問題(不需要的編輯、意外刪除、惡意軟件加密數據等),您可以從最新的備份中恢復信息并避免數據丟失。通過以下方式確保恢復過程快速且無錯誤:
注意:作為額外的預防措施,請使用不可變的備份,這是公司應對勒索軟件威脅的最有效方法之一。
13.使用實時數據庫監控
所有主要數據庫平臺都具有內置的監控和日志記錄功能。使用這些工具來保存日志:
請記住,您對數據庫泄露的反應越快,您限制爆炸半徑的時間就越多。使用以下方法來加快對威脅的反應:
設置基于行為的監控規則,幫助檢測異常用戶活動,例如進行過多編輯或在可疑時間登錄。
14. 制定嚴格的控制和政策
制定嚴格的全公司政策,規定團隊使用和管理數據庫的方式。定義并記錄以下三個規則集:
將您的數據庫安全策略與其他網絡安全策略(例如,您的云安全策略)集成。
通過組織定期意識培訓計劃,確保每個人都了解您的政策。此類活動也是向員工介紹最新網絡安全最佳實踐和威脅的機會。
15.使用防火墻監控數據庫流量
使用防火墻保護您的數據庫服務器免受基于流量的威脅。防火墻掃描所有傳入和傳出流量是否存在惡意數據包的跡象,并阻止數據庫啟動不必要的出站連接。
正確配置防火墻以避免安全漏洞。此外,請確保團隊使防火墻保持最新狀態并安裝最新補丁,以跟上潛在的黑客攻擊。
大多數重視安全性的公司都會部署不止一種類型的防火墻。在大多數情況下,這四種足以保護您的數據庫免受所有基于網絡的威脅:
-
包過濾防火墻。
-
狀態數據包檢查。
-
代理服務器防火墻。
-
Web 應用程序防火墻 (WAF)。
注意:了解不同類型的防火墻,并了解哪些最適合數據庫安全需求。
結論
實施上述數據庫安全最佳實踐對于保護業務數據至關重要。如果沒有這些預防措施,公司就會對日常運營和利潤承擔太多不必要的風險。
浙公網安備 33010502006954號 
