Безопасность базы данных (общие правила использования)

В последнее время проблема безопасности баз данных широко распространилась в средствах массовой информации и новостной сети Интернет. Первый — это червь Slammer, а совсем недавно — незаконный доступ к более чем 8 миллионам номеров кредитных карт.

Многие задают вопрос: « Системные администраторы управляют колесом после работы? . Как будто интернет бомбили. Люди часто используют более дешевые средства сетевых информационных систем, поэтому им становится лень применять базовые меры безопасности.

Проблема здесь в том, чтобы применить меры безопасности к мудрому системному администратору. Первый вопрос к руководству обычно такой: Как быстро это ‘, нет ‘ Сколько опасностей ‘ как прежде. Чтобы решить текущую проблему, мы должны сначала настроить сознание и мысли у каждого человека.

Теперь мы предлагаем некоторые из следующих основных методов безопасности. Надеюсь, они помогут вам более или менее защитить важные базы данных.

Базовая структура безопасности

Компании теперь кажутся слишком сосредоточенными на каждом компоненте безопасности, но забывают об общей картине: Если нет базовой системы организации безопасности, любая политика безопасности потерпит неудачу. .

Системный администратор часто управляет безопасностью в соответствии со своими предпочтениями, без или с несколькими супервизорами от более высокого менеджера. Это вызывает вопросы:

  1. Кто гарантирует, что системный администратор соблюдает правила безопасности?

  2. Как организация гарантирует, что все системные администраторы обновят последние исправления?
  3. Что предпринимает организация, чтобы убедиться, что последнее исправление было протестировано, чтобы убедиться, что оно не стало причиной сбоя системы?
  4. Кто проверяет безопасность всей корпорации или корпорации?

Рисунок 1: Безопасность базы данных (общие рекомендации по использованию)

Пример эффективной и понятной организации сетевой безопасности

Несмотря на правильную структуру, вы все равно сталкиваетесь с беспорядком в таких важных вопросах, как безопасность. Эти неприятные проблемы вызывают множество серьезных колебаний, например:

Джим из офиса на восточном побережье обновил все исправления, но у него была небезопасная связь с Биллом на западном побережье. Этот брат не смог настроить подходящую конфигурацию брандмауэра. И этого достаточно для тотальной атаки.

Перед такими случаями вам необходимо полностью изучить настройку базовой структуры безопасности.

Теперь, когда у нас есть базовая организация безопасности для системы, мы приступим к рассмотрению технических вопросов безопасности базы данных.

Уязвимость базы данных (хотите войны с безопасностью!)

Безопасность базы данных в основном может быть атакована в следующих областях:

  1. Службы безопасности (Безопасность сервера)

  2. Подключения к базе данных (подключение к базе данных)

  3. Контроль доступа к таблицам (Table Access Control)

  4. Ограничить доступ к базе данных (Ограничение доступа к базе данных)

Услуги безопасности (Безопасность сервера)

Server Security — это программа, ограничивающая реальный доступ к службам баз данных. Это самый важный аспект безопасности, поэтому его следует тщательно спланировать.

Его основная идея: ‘ Вы не можете получить доступ к тому, чего не видите ‘. Это не веб-сервер и не должно быть анонимным подключением. Когда вам нужно предоставить информацию в динамический Интернет, вашу базу данных не следует размещать на том же компьютере, что и веб-сервер. Это не только в целях безопасности, но и для процесса реализации. Если база данных отвечает веб-серверу, конфигурация разрешает подключение только к этому веб-серверу.

Изображение 2 безопасности базы данных (общие рекомендации по использованию)

Доступ к доверенным IP-адресам, ограничение служб базы данных только в ответах на запросы от известных IP-веб-серверов

Надежный IP-адрес

Каждый сервер должен настраивать разрешения только для доверенных IP-адресов. Как и в вашем доме, вы не позволяете своему ребенку разговаривать с незнакомцами, поэтому здесь вы должны точно знать, кто имеет право «разговаривать» с сервером базы данных.

Если конечная точка является веб-сервером, она должна разрешать доступ только этому адресу веб-сервера к серверу базы данных. Если сервер базы данных предоставляет информацию для основного приложения, работающего в локальной сети, то ограничение адреса должно быть ограничено только локальной сетью.

Не оставляйте слабое состояние веб-баз данных на одном сервере с внутренней информацией базы данных.

Подключения к базе данных (подключение к базе данных)

Динамические приложения сейчас становятся причиной, по которой многие люди обновляют базы данных напрямую, без оценки. Если вы разрешаете пользователям обновлять базу данных через веб-сайт, убедитесь, что обновление безопасно. Например, с исходным кодом SQL обычный пользователь никогда не должен вводить данные, если эти данные никогда не рассматривались.

Если вам нужно использовать соединение ODBC, убедитесь, что только некоторые пользователи имеют доступ к общим файлам. Имеет ли каждый сотрудник вашей компании право иметь все ключи от каждой комнаты в компании? Поэтому никогда не позволяйте учетным записям пользователей использовать все подключения и источники данных на сервере.

Контроль доступа к таблицам (Table Access Control)

Контроль доступа к таблицам — одна из самых недооцененных форм безопасности базы данных. Потому что унаследовать и применить это очень сложно. Правильное использование управления доступом к таблицам требует сотрудничества как системных администраторов, так и разработчиков баз данных. И все мы знаем, что «сотрудничество» — это странное слово в ИТ-индустрии.

Многие пользователи будут взимать плату за доступ к системе со стороны системного администратора, чтобы база данных была общедоступной. Или, если таблица используется только на системном уровне, почему у нее есть другие права доступа помимо прав администратора.

К сожалению, правильная структура таблицы, реляционная база данных и вопросы разработки не рассматриваются в этой статье. Возможно, мы обсудим более подробно в следующей статье.

Ограничить доступ к базе данных (Ограничение доступа к базе данных)

Это последняя веха в проверке безопасности базы данных, которую мы рассматриваем. Основная проблема в этом разделе — это система доступа к сети, в которой основное внимание уделяется базам данных в Интернете. Большинство целевых атак — это сетевые базы данных, все веб-приложения имеют порты, которые злоумышленники могут «прослушивать».

Киберпреступники сейчас в основном используют простые методы «сканирования портов» для поиска открытых портов, которые по умолчанию используются в общей системе баз данных. По умолчанию используется сообщение, потому что вы можете изменить порты на службу прослушивателя, что является хорошим способом избежать атак.

Сначала они попытаются определить, есть ли у машины конкретный адрес. Они используют команды ping, просто открывая окно командной строки и набирая ключевое слово ping, например:

C: пинг 127.0.0.1
хорошо
корень @ localhost: ~ $: пинг 127.0.0.1

Ответы могут быть в форме:

Пинг 127.0.0.1 с 32 байтами данных:
Ответ от 127.0.0.1: bytes = 32 timeReply от 127.0.0.1: bytes = 32 timeReply from 127.0.0.1: bytes = 32 timeReply from 127.0.0.1: bytes = 32 timePing статистика для 127.0.0.1:
Пакетов: отправлено = 4, принято = 4, потеряно = 0 (потеря 0%),
Приблизительное время приема-передачи в миллисекундах:
Минимум = 0 мс, максимум = 0 мс, средний = 0 мс

Рисунок 3: Безопасность базы данных (общие рекомендации по использованию)

Пример команды ping

Сегодняшние киберпреступники хорошо знают ответы системы на эти адреса. Первая превентивная мера — отключить ICMP-пакеты. Это также может предотвратить ответы на запросы ping.

Есть много способов предотвратить доступ в Интернет. Каждая система баз данных имеет уникальный набор компонентов, а также операционную систему. Вот всего несколько способов:

  1. Надежные IP-адреса: службы UNIX настроены для ответа только на команды ping в списке доверенных узлов. В UNIX завершите это настройкой файла rhosts, ограничив доступ к серверу определенным списком пользователей.

  2. Отключение учетной записи сервера: если вы приостанавливаете работу ID-сервера после трех неправильных паролей, вы отложили атаку. В противном случае злоумышленник может запустить программу, которая генерирует миллионы паролей, пока не угадает правильный идентификатор пользователя и пароль.

  3. Специальные функции: вы можете использовать некоторые продукты, такие как RealSecure от ISS. Он отправляет предупреждение, когда внешняя служба пытается нарушить безопасность вашей системы.

База данных Oracle имеет множество методов тестирования:

  1. Kerberos Security: это популярный «билет», помогающий избежать использования базовой системы аутентификации.

  2. Виртуальная частная база данных ( VPD ): Технология VPD может ограничивать доступ, выбирая несколько строк столбцов.

  3. Предоставление безопасности выполнения: привилегия на выполнение подпрограммы может быть тесно связана с пользователем. Когда пользователь выполняет подпрограмму, ему предоставляется доступ к базе данных, но только в рамках этой подпрограммы.

  4. Службы аутентификации: службы аутентификации безопасности предоставляют заранее заданные идентификаторы внешним пользователям.

  5. Безопасность доступа к портам: все приложения Oracle прослушиваются непосредственно на определенном порту на сервере. Как и любую другую стандартную службу HTTP, Oracle Web Listener можно настроить для ограничения доступа.

<

p style=»text-align: justify;»>Надеюсь, что с помощью вышеупомянутых базовых знаний вы сможете устранить или, по крайней мере, минимизировать риск атаки на базу данных. Безопасность базы данных очень важна, и ей нужно уделять пристальное внимание.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.