數據洩漏的成本是昂貴的,這之中(zhōng)包含着業務的中(zhōng)斷、客戶信任的喪失、損失的法律成本、監管罰款和勒索軟件攻擊。數據洩漏或導緻巨大(dà)的影響。最好的防禦是好的進攻,所以讓我(wǒ)們來看看保持數據庫安全的五個關鍵實踐:保護、審核、管理、更新和加密。
1.使用數據庫代理防止攻擊
數據庫代理或網關代理介于應用程序和數據庫之間,接收來自應用程序的鏈接,然後代表這些應用程序連接到數據庫。智能數據庫代理提供最大(dà)範圍的過濾,其模塊提供安全、可靠、可擴展性和性能優勢。
MaxScale數據庫防火(huǒ)牆過濾解析查詢可以阻止白(bái)名單上你不想通過的查詢類型的情況發生(shēng)。例如,您可能會說,給定的連接隻能執行更新和插入,而另一(yī)個連接必須與某些正則表達式相匹配,等等。
代理MaxScale也能保護你抵禦DDos攻擊:當太多的連接,直接進入數據庫服務器,它可以被重載。但是一(yī)個代理吸收了一(yī)些負載來限制這種攻擊的影響。
2.建立審計和日志(zhì)
審計和日志(zhì)記錄相互關聯,但是審計日志(zhì)比一(yī)般日志(zhì)複雜(zá)得多。審計日志(zhì)給你所有的信息,你需要調查可疑活動,并進行根本原因分(fēn)析,如果你确實經曆了違反。此外(wài),審計日志(zhì)幫助确保與規定如GDPR、PCI、HIPPA和SOX。
MariaDB審計插件可以記錄大(dà)量的信息:所有傳入連接,所有執行查詢,甚至所有的單個訪問。您可以看到誰在給定的時間内進行了訪問,以及誰插入或删除了數據。審計插件可以記錄到一(yī)個文件或日志(zhì),所以如果你現有的工(gōng)作流程,依靠日志(zhì),你可以直接綁定。
3.實行嚴格的用戶賬戶管理
仔細管理數據庫用戶帳戶是非常重要的。這幾乎适用于您IT生(shēng)态系統的所有方面,我(wǒ)們在此不一(yī)一(yī)詳述。相反,我(wǒ)們隻需要提醒您用戶帳戶管理的關鍵方面:
·隻允許本地客戶端訪問root權限。
·始終使用密碼。
·爲每個應用程序都有一(yī)個獨立的數據庫用戶帳戶。
·限制訪問數據庫服務器的IP地址的數量。
4.保持數據庫軟件和操作系統的更新
我(wǒ)們都知(zhī)道保持軟件更新的重要性,但這并不能阻止我(wǒ)們中(zhōng)的許多人運行遺留操作系統和幾個版本的舊(jiù)數據庫服務器。在此我(wǒ)們必須提醒您,保持當前的一(yī)切是保護您的數據免受所有最新威脅的唯一(yī)方法。
這不僅适用于您的服務器軟件,也适用于您的操作系統。别忘了,想哭勒索軟件攻擊就是因Windows操作系統的安全補丁lackadaisical應用爲由發生(shēng)的。
5.加密應用程序中(zhōng)的敏感數據
我(wǒ)們保存了最不常用的最後實現的實踐。許多組織忽視加密文件,但它可以是相當有價值的。畢竟如果在訪問之後試圖破解密碼,那麽就減少了黑客的動機。
在數據到達數據庫之前,第一(yī)階段的加密發生(shēng)在應用程序中(zhōng)。如果數據在應用程序中(zhōng)被加密,那麽破壞數據庫的黑客就看不到數據是什麽(這隻适用于那些不是密鑰的數據)。
接下(xià)來是對傳輸中(zhōng)數據的加密。這意味着數據在網絡從客戶端移動到數據庫服務器(或代理)時進行加密。這基本上與在Web浏覽器中(zhōng)使用HTTPS相同。顯然,服務器可以看到信息,因爲它需要讀取您填寫的表單,并且您可以讀取信息,因爲您将其輸入表單中(zhōng),但是服務器和服務器之間的任何人都不應該讀取它。
最後,我(wǒ)們對靜止數據進行加密。你可以使用這個加密InnoDB表空間,InnoDB聯機重做日志(zhì)和二進制日志(zhì)。這意味着你可以加密幾乎所有的事情都寫在MariaDB服務器盤裏。
上一(yī)篇:安全從業人員(yuán)的價值
下(xià)一(yī)篇:終端安全需要“高效能”