提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發(fā)展
    關于美創(chuàng)

    申請試用
      數(shù)據(jù)安全:數(shù)據(jù)庫安全層及最佳實踐
      發(fā)布時間:2024-12-04 閱讀次數(shù): 1233 次

      數(shù)據(jù)庫安全層

      數(shù)據(jù)庫安全性分為三個主要層:

      • 數(shù)據(jù)庫層
      • 接入層
      • 周邊層

      下表提供了所有三個安全級別的說明:

      安全層 描述 首要目標 常用技巧
      數(shù)據(jù)庫層 保護數(shù)據(jù)庫中存儲的數(shù)據(jù) 確保只有授權用戶訪問和修改存儲的文件 活動監(jiān)控、標記化、數(shù)據(jù)脫敏和加密
      接入層 保護用于訪問數(shù)據(jù)庫的機制 確保每個訪問請求都經過身份驗證和授權 實施難以猜測的密碼、2FA和權限控制
      周邊層 保護連接到數(shù)據(jù)庫的網(wǎng)絡 監(jiān)控傳入流量是否存在可疑活動跡象 防火墻、VPN、IDPS 和網(wǎng)絡分段



      數(shù)據(jù)庫安全最佳實踐

      保護數(shù)據(jù)庫免受威脅需要結合采取不同的措施。這里總共有 15 個最有效的數(shù)據(jù)庫安全最佳實踐來保護您的存儲系統(tǒng)。

      1. 確保物理數(shù)據(jù)庫安全

      無論數(shù)據(jù)庫服務器位于現(xiàn)場服務器機房還是云提供商的數(shù)據(jù)中心,設備都必須駐留在安全、氣候受控的環(huán)境中。

      如果您依賴第三方提供商進行托管,則您將外包與物理安全相關的所有措施。如果您管理本地數(shù)據(jù)中心,請通過以下方式保護數(shù)據(jù)庫服務器:

      • 鎖。

      • 云端視頻監(jiān)控。

      • 專職保安人員。

      • 不間斷電源(UPS)。

      • 消防系統(tǒng)。

      • 適當?shù)睦鋮s系統(tǒng)。

      記錄對服務器的所有物理訪問,并確保只有少數(shù)人有權配置設備。

      2.使用2FA和MFA

      到 2022 年,超過 67% 的數(shù)據(jù)泄露事件至少涉及一組泄露的憑證。您不應使用僅需要密碼即可登錄的有風險的單因素身份驗證 (SFA) 方法,而應使用:

      • 默認用戶的雙因素身份驗證 (2FA)。

      • 管理員帳戶的多重身份驗證 (MFA)。

      對于最敏感的數(shù)據(jù)庫來說,對所有用戶使用 MFA 是一個流行的選擇。您還應該通過僅允許經過驗證的IP 地址訪問文件來增強數(shù)據(jù)庫安全性(增強數(shù)據(jù)庫保護的多種端點安全措施之一)。

      重要提示:使用 2FA 和 MFA 并不能消除對難以破解的密碼的需要。了解如何創(chuàng)建易于記憶且不易猜測的強密碼。


      3. 強制執(zhí)行最小特權原則

      有權訪問數(shù)據(jù)庫的實際最小用戶數(shù)。有權訪問的人越少,保護文件就越容易。

      將相同的原則應用于各個數(shù)據(jù)庫元素以及員工可以對文件執(zhí)行的操作。每個帳戶只能訪問所需的表和操作(例如 select 或 insert)。同樣的邏輯也適用于非人類賬戶,包括:

      • 守護進程。

      • 服務帳戶和主體。

      • 應用程序用戶帳戶。

      您還應該依賴零信任安全性。每次有人發(fā)出訪問請求時,該模型都會驗證身份和設備合規(guī)性。

      4. 防止SQL注入

      SQL注入主要有兩種:

      • 經典 SQLi(黑客向數(shù)據(jù)庫發(fā)送命令并從輸出中收集結果)。

      • 盲目 SQLi(黑客提出正確或錯誤的問題并評估應用程序響應以獲得答案)。

      您的團隊應采取以下措施停止這兩種類型的注射:

      • 參數(shù)化查詢。

      • 輸入驗證。

      • 用戶輸入的凈化。

      • Web 應用程序防火墻 (WAF)。

      注意:我們關于SQL 注入的文章深入探討了如何識別和有效防止此類網(wǎng)絡攻擊。

      5.使用代理服務器

      代理服務器在將請求發(fā)送到數(shù)據(jù)庫服務器之前檢查請求。如果有人發(fā)送虛假流量或惡意請求(即 SQL 注入或受勒索軟件感染的可執(zhí)行文件),代理服務器將包含影響并隔離威脅。

      雖然有些公司使用基于 HTTP 的代理服務器,但您應該設置 HTTPS 服務器來保護包含敏感信息的數(shù)據(jù)庫。HTTPS 服務器對所有數(shù)據(jù)進行加密,為數(shù)據(jù)庫提供了額外的安全層。

      6. 維護數(shù)據(jù)清單(或地圖)

      存儲大量數(shù)據(jù)的公司通常不知道文件所在的確切位置以及如何保護它們的安全。為了避免這種情況,請維護一份詳細的清單,其中注明以下內容:

      • 每個數(shù)據(jù)集駐留在哪里(以及處于什么狀態(tài))。

      • 哪些員工、帳戶和應用程序可以訪問文件。

      • 您使用什么措施來保護個人數(shù)據(jù)集。

      清單有助于更好地管理您的數(shù)據(jù)庫安全工作,還有助于:

      • 風險管理。

      • 業(yè)務影響分析 (BIA)。

      • 監(jiān)管合規(guī)性。

      • 修補優(yōu)先級。

      或者,創(chuàng)建數(shù)據(jù)地圖以實現(xiàn)與清單相同的目的(或同時使用兩者)。

      此外,定期進行訪問審查,以確保隨著團隊的成長和啟動新項目,數(shù)據(jù)庫權限沒有缺陷。這些審查使安全團隊能夠刪除舊的和不必要的權限。

      7. 保持數(shù)據(jù)庫服務器和 DMS 平臺最新

      始終使用最新版本的 DMS。一旦供應商發(fā)布補?。ǚ瞻踩扪a程序、累積更新等),請立即應用它們,以確保犯罪分子沒有時間利用漏洞。

      保持 DMS 最新的另一個好處是可以提高數(shù)據(jù)庫性能的穩(wěn)定性。

      良好的補丁衛(wèi)生也適用于所有有權訪問數(shù)據(jù)庫的應用程序和系統(tǒng)。如果具有過時且易受攻擊的插件的應用程序可以直接訪問文件,那么高級別的數(shù)據(jù)庫安全性將無濟于事。

      8.充分利用加密 

      使用靜態(tài)加密來保護數(shù)據(jù)免遭盜竊、網(wǎng)絡間諜和泄露。加密使黑客和惡意內部人員(即沒有解密密鑰的任何人)都無法讀取文件。

      您還應該使用傳輸加密來保護文件在不同系統(tǒng)之間移動時的安全。確保與數(shù)據(jù)庫的所有連接都使用 TLS 加密。

      重要提示:在開始加密業(yè)務數(shù)據(jù)之前,請了解密鑰管理和最佳實踐。

      9.多次登錄嘗試后自動鎖定

      如果用戶多次輸錯密碼,數(shù)據(jù)庫服務器必須自動鎖定該帳戶,防止其再次嘗試登錄。您可以:

      • 將帳戶鎖定預定的時間段。 

      • 指示用戶聯(lián)系安全團隊以重新獲得對數(shù)據(jù)庫的訪問權限。

      有人多次輸入錯誤的密碼是基于密碼的攻擊的跡象。限制攻擊者在這種情況下的嘗試次數(shù)對于將他們排除在數(shù)據(jù)庫之外至關重要。

      10.隔離數(shù)據(jù)庫

      避免將數(shù)據(jù)庫與應用程序(甚至其他數(shù)據(jù)庫)保留在同一服務器上。雖然將所有內容都保存在一臺服務器上更容易、更便宜,但這種策略會產生各種漏洞,使數(shù)據(jù)面臨風險。

      作為額外的預防措施,請使用軟件定義的邊界 (SDP)。此措施隔離數(shù)據(jù)庫,以防止其出現(xiàn)為任何特定用戶網(wǎng)絡的一部分。這樣,入侵者就很難通過橫向移動來定位和訪問數(shù)據(jù)庫。

      11. 運行滲透測試

      雇用有道德的黑客對您的數(shù)據(jù)庫進行滲透測試。不要讓內部團隊提前了解測試,而是看看員工和數(shù)據(jù)庫如何經受住真實的攻擊模擬。

      偶爾執(zhí)行滲透測試有助于發(fā)現(xiàn)團隊在無壓力分析過程中可能忽略的漏洞。此類測試對于所有類型數(shù)據(jù)庫的安全至關重要。此外,通過定期漏洞評估來補充滲透測試的發(fā)現(xiàn)。

      12.創(chuàng)建定期數(shù)據(jù)備份

      對數(shù)據(jù)庫中的所有文件執(zhí)行定期數(shù)據(jù)備份。遵循 3-2-1 備份規(guī)則:

      • 創(chuàng)建數(shù)據(jù)的三個副本。

      • 使用兩種不同類型的存儲。

      • 將一份副本存儲在異地位置(例如,在云中)。

      如果數(shù)據(jù)庫中的文件出現(xiàn)任何問題(不需要的編輯、意外刪除、惡意軟件加密數(shù)據(jù)等),您可以從最新的備份中恢復信息并避免數(shù)據(jù)丟失。通過以下方式確保恢復過程快速且無錯誤:

      • 定期測試可確保您備份的數(shù)據(jù)不會損壞。 

      • 災難恢復計劃概述了數(shù)據(jù)發(fā)生問題時團隊應采取的具體步驟。

      注意:作為額外的預防措施,請使用不可變的備份,這是公司應對勒索軟件威脅的最有效方法之一。

      13.使用實時數(shù)據(jù)庫監(jiān)控

      所有主要數(shù)據(jù)庫平臺都具有內置的監(jiān)控和日志記錄功能。使用這些工具來保存日志:

      • 誰以及何時訪問數(shù)據(jù)庫。

      • 數(shù)據(jù)庫中所有與數(shù)據(jù)相關的活動(編輯、刪除、添加新信息等)。

      • 登錄嘗試失敗。

      • 連接到數(shù)據(jù)庫的所有設備。

      • 為數(shù)據(jù)庫活動提供附加上下文的信息(例如,網(wǎng)絡連接、身份驗證、字節(jié)輸入/輸出、內存使用情況等)。

      請記住,您對數(shù)據(jù)庫泄露的反應越快,您限制爆炸半徑的時間就越多。使用以下方法來加快對威脅的反應:

      • 文件完整性監(jiān)控 (FIM): FIM 記錄在數(shù)據(jù)庫服務器上執(zhí)行的所有操作。當 FIM 檢測到可疑更改時,平臺會立即向安全團隊發(fā)送警報。

      • 安全信息和事件監(jiān)控 (SIEM):實時 SIEM 可幫助安全團隊在發(fā)生數(shù)據(jù)庫泄露企圖時立即采取行動。

      設置基于行為的監(jiān)控規(guī)則,幫助檢測異常用戶活動,例如進行過多編輯或在可疑時間登錄。

      14. 制定嚴格的控制和政策

      制定嚴格的全公司政策,規(guī)定團隊使用和管理數(shù)據(jù)庫的方式。定義并記錄以下三個規(guī)則集:

      • 管理安裝、更改和配置管理的管理控件。

      • 管理訪問、加密和屏蔽規(guī)則的預防性控制。

      • 檢測控制控制團隊如何監(jiān)控數(shù)據(jù)庫活動并使用數(shù)據(jù)丟失防護工具。

      將您的數(shù)據(jù)庫安全策略與其他網(wǎng)絡安全策略(例如,您的云安全策略)集成。

      通過組織定期意識培訓計劃,確保每個人都了解您的政策。此類活動也是向員工介紹最新網(wǎng)絡安全最佳實踐和威脅的機會。

      15.使用防火墻監(jiān)控數(shù)據(jù)庫流量

      使用防火墻保護您的數(shù)據(jù)庫服務器免受基于流量的威脅。防火墻掃描所有傳入和傳出流量是否存在惡意數(shù)據(jù)包的跡象,并阻止數(shù)據(jù)庫啟動不必要的出站連接。

      正確配置防火墻以避免安全漏洞。此外,請確保團隊使防火墻保持最新狀態(tài)并安裝最新補丁,以跟上潛在的黑客攻擊。

      大多數(shù)重視安全性的公司都會部署不止一種類型的防火墻。在大多數(shù)情況下,這四種足以保護您的數(shù)據(jù)庫免受所有基于網(wǎng)絡的威脅:

      • 包過濾防火墻。

      • 狀態(tài)數(shù)據(jù)包檢查。

      • 代理服務器防火墻。

      • Web 應用程序防火墻 (WAF)。

      注意:了解不同類型的防火墻,并了解哪些最適合數(shù)據(jù)庫安全需求。

      結論

      實施上述數(shù)據(jù)庫安全最佳實踐對于保護業(yè)務數(shù)據(jù)至關重要。如果沒有這些預防措施,公司就會對日常運營和利潤承擔太多不必要的風險。

      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部