Как защитить базу данных
Перейти к содержимому

Как защитить базу данных

  • автор:

Защита баз данных

Защита баз данных — это комплексный подход к обеспечению безопасности информации, хранящейся в них. Под этим понятием подразумеваются меры, направленные на предотвращение её потери, хищения или изменения.

База данных — это хранилище информации. В любой компании из любой сферы деятельности есть базы данных, которые различаются по типу содержимого и виду.

  • CRM-системы имеют базы данных контрагентов;
  • бухгалтерия имеет соответствующую базу данных;
  • операторы связи хранят данные своих клиентов, журналы звонков и сообщений;
  • медицинские учреждения заводят базы данных пациентов с историями болезней и персональной информацией.

Базы данных не только хранят ценную информацию для компаний и их клиентов, но и позволяют составлять аналитические отчёты.

Зачем необходима защита баз данных

Обеспечение безопасности баз данных позволяет защитить компанию от угроз:

  • непреднамеренный или преднамеренный несанкционированный доступ с последующим хищением или уничтожением конфиденциальной информации, изменением метаданных, структуры, программ или безопасности со стороны хакеров, неавторизованных пользователей, администратора базы данных;
  • ограничение пропускной способности, перегрузка, снижение производительности с последующим ограничением работы авторизованных пользователей;
  • ввод неверных данных, команд, ошибки администрирования, саботаж с последующим повреждением данных или их потерей;
  • хищение информации, получение запатентованных и личных данных, нанесение вреда программам, отказ в доступе к базам данных или его прерывание, сбой в работе вследствие инфекций вредоносных программ;
  • несанкционированная эскалация привилегий, программные ошибки;
  • преднамеренное или непреднамеренное причинение физического ущерба серверам баз данных.

Для защиты баз данных необходимо обеспечить им доступность, целостность и конфиденциальность.

Способы защиты

Защита базы данных требует комплексного подхода. Методов большое множество — рассмотрим только основные.

Штатный аудит и мониторинг

Это средство защиты часто используется коммерческими организациями и входит в состав систем управления базами данных (далее — СУБД). Механизм работы штатного аудита заключается в настройке и включении триггеров, а также создании специфических процедур, которые начинают срабатывать во время запроса доступа к чувствительной информации. При этом ведется журнал запросов и подключений к системе управления базами данных в виде таблицы, где указаны данные о том, в какое время, кем и какой запрос был сделан.

Штатный аудит отвечает основным отраслевым требованиям регуляторов, но бесполезен в случае необходимости проведения внутренних расследований инцидентов и решения задач информационной безопасности.

Резервное копирование

Настройка регулярного резервного копирования на жестком диске с дублированием на другом носителе позволяет восстановить информацию в случае сбоя в работе системы управления базами данных.

Шифрование

Это использование устойчивого криптоалгоритма для шифрования информации в базах данных. В случае применения такого метода защиты, злоумышленник увидит информацию в нечитаемом виде в отличие от пользователей, имеющих ключ доступа.

Проблема заключается в способе хранения ключей, так как нет гарантии того, что ключ не будет намеренно передан третьему лицу. Кроме того, шифрование не обеспечивает безопасность от администратора базы данных.

VPN и двухфакторная аутентификация

Организация доступа внутренних пользователей и администраторов к базам данных с применением VPN и двухфакторной аутентификацией (использование двух разных типов аутентификации) значительно повышает уровень защиты от несанкционированного проникновения.

Помимо стандартной пары логина и пароля для доступа к защищенному сегменту сети используется еще один фактор участвующий в аутентификации, например:

  • USB-ключи, смарт-карты, iButton;
  • одноразовый код в виде СМС или email;
  • генератор паролей (технология SecurID);
  • биометрические данные и т. д.

Автоматизированные системы защиты

Это специализированные системы обеспечения безопасности баз данных, представляющие собой решения DAM (Database Activity Monitoring) и DBF (Database Firewall). Применяются, когда уже реализованы вышеописанные меры защиты баз данных.

DAM производит мониторинг пользователей в системах управления базами данных. При этом не требуется специально изменять настройки или конфигурации систем управления базами данных. Поэтому это решение называется независимым. DAM может работать пассивно с копией трафика, тем самым не оказывая влияния на бизнес-процессы.

DAM (Database Activity Monitoring):

  • ведёт аудит ответов и SQL-запросов, классифицируя их по группам;
  • анализирует трафик пользователей, работающих с базами данных;
  • архивирует действия пользователей для расследования инцидентов;
  • обладает высокой степенью фильтрации потенциальных инцидентов среди миллионов запросов;
  • классифицирует информацию;
  • проверяет уязвимости;
  • получает матрицу доступа к информации, что помогает выявить неиспользуемые расширенные привилегии доступа, учётные записи.

DBF (Database Firewall) — это сетевой шлюз, смежное с DAM решение, которое может работать как в проактивном режиме, так и в пассивном с копией трафика.

Основные функции DBF (Database Firewall):

  • защита внутренних и внешних серверов баз данных;
  • независимый мониторинг пользователей;
  • поведенческий анализ;
  • блокировка подозрительных запросов;
  • выявление повышенных прав пользователей.

Решения

Ниже представлен перечень компаний, которые предоставляют решения в сфере безопасности баз данных:

  • «Аладдин Р.Д.»,
  • «КриптоПро»,
  • «Код Безопасности»,
  • «ИнфоТеКС»,
  • «Гарда Технологии»,
  • Fortinet,
  • IBM,
  • Oracle,
  • Acronis,
  • Veeam.

МЕТОДЫ ЗАЩИТЫ БАЗ ДАННЫХ Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Кучкин Владислав Павлович

в статье рассмотрены проблемы защиты информации баз данных от различных видов угроз.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Кучкин Владислав Павлович

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
Информационная безопасность средствами субд Oracle
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМАХ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
Анализ систем защиты информации в базах данных
Электронный портал с использованием программных средств open sourse
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «МЕТОДЫ ЗАЩИТЫ БАЗ ДАННЫХ»

МЕТОДЫ ЗАЩИТЫ БАЗ ДАННЫХ Кучкин В.П.

Кучкин Владислав Павлович — студент, факультет автоматизированных систем управления, филиал

Военная академия Ракетныа войск стратегического назначения им. Петра Великого, г. Серпухов, Московская область

Аннотация: в статье рассмотрены проблемы защиты информации баз данных от различных видов угроз.

Ключевые слова: информация, документооборот, атака, вирус, защита.

Системы управления базами данных СУБД является неотъемлемой частью автоматизированных систем управления (АСУ). При создании инфраструктуры корпоративной АСУ на базе современных компьютерных сетей неизбежно возникает вопрос ее защищенности.

Целью исследования являлся вопрос повышение уровня защиты баз данных.

Задачами исследования являлись: анализ существующих моделей баз данных, исследование методов защиты баз данных, анализ эффективности методов защиты баз данных.

Актуальность данной работы заключается в распространенности применения баз данных во всех сферах жизни общества, и в связи с этим решение проблемы защищенности информации, хранящейся в базах данных.

Существуют многочисленные аспекты проблемы защиты данных: правовые, физические, организационные, аппаратные средства защиты, возможности ОС, аспекты, имеющие отношение непосредственно к самим СУБД.

В современных СУБД обычно поддерживается один из двух широко распространенных методов организации защиты данных — избирательный или мандатный.

В случае избирательного контроля каждому пользователю обычно предоставляются различные права доступа. Обычно разные пользователи обладают различными правами доступа к одному и тому же объекту.

В случае мандатного контроля, наоборот, каждому объекту данных назначается некий классификационный уровень, а каждому пользователю присваивается некоторый уровень допуска. Непреодолимых систем защиты не бывает, настойчивый нарушитель может преодолеть системы контроля, поэтому при работе с важными данными возникает необходимость организации контрольного журнала, в который вносится информация обо всех событиях, происходящих в системе. Любая противоречивость результатов, может свидетельствовать о злонамеренном искажении информации. В этом случае для прояснения ситуации могут использоваться записи контрольного журнала. Журнал представляет собой файл или базу данных, в которую автоматически помещаются сведения обо всех операциях, выполненных пользователями при работе с основной базой данных.

Если пользователь пытается проникнуть в БД не с помощью средств системы, а минуя систему, т.е. перемещая внешние носители информации или подключаясь к линии связи, в таком случае наиболее эффективным методом борьбы является шифрование данных. В базах данных могут использоваться различные алгоритмы, например, AES или RSA.

Отсюда следует, что данные, хранящиеся в БД, должны быть защищены от несанкционированного доступа (НСД), для этого необходимо обеспечить следующие мероприятия:

1. Защита с помощью пароля — позволяет устанавливать права доступа авторизованным пользователям;

2. Ограничение прав доступа к объектам БД;

3. Введение контрольные журналов — предоставляются СУБД для контроля нарушений прав доступа;

4. Шифрование данных — нужно для того, чтобы неавторизованные пользователи, возможно, преодолевшие некоторые уровни защиты БД, не могли использовать данные напрямую.

Данные методы защиты можно считать основными. Они в той или иной форме присутствуют во всех рассматриваемых СУБД.

Для анализа эффективности методов защиты БД были выбраны наиболее распространенные СУБД.

Согласно исследованию ресурса, DB-Engines (датировано апрелем 2015 г.), таковыми являются Oracle Database, MySQL и Microsoft SQL Server. В рейтинге распространенности они расположены на первых трех позициях с большим отрывом от конкурентов.

Основными методами защиты баз данных используемыми в Oracle Database являются:

1. Ограничение доступа легальных пользователей (аутентификация);

2. Управление доступом к данным (авторизация);

3. Обеспечение подотчетности пользователей (аудит);

4. Защита основных данных в базе данных (шифрование).

Аутентификация БД в Oracle Database — это стандартная проверка полномочий доступа пользователя за счет применения паролей БД.

MySQL — система, по умолчанию настроенная на максимально быструю работу, поэтому в ней не предусмотрен встроенный механизм шифрования таблиц БД. Но при этом MySQL поддерживает шифрованные SSL-соединения. Это необходимо для того, чтобы передать данные между клиентом и сервером, без риска ознакомления с этими данными нарушителя. В протоколе SSL используются различные алгоритмы шифрования, обеспечивающие безопасность для данных, передаваемых через общедоступные сети. Этот протокол содержит средства, позволяющие обнаруживать любые изменения, потери и повторы данных.

Для того чтобы идентифицироваться в MySQL необходимо использовать логин и пароль, положительной стороной является то, что пароль хранится в зашифрованном виде, причем без возможности дешифрования и даже если злоумышленник получит доступ к паролю в зашифрованном виде, использовать он его не сможет. Недостатком является отсутствие навязываемой политики паролей, то есть пользователь сам определяет, какой сложности пароль у него будет, очевидно, что использование пароля типа «1111» недопустимо.

Авторизация пользователя представлена системой привилегий, для того чтобы выполнить определенное действие у пользователя должна быть привилегия на данное действие. Достоинством является разделение привилегий на уровни. Недостатком можно указать то, что данная система упрощена по сравнению с другими системами безопасности для СУБД.

Система аудита представлена в MySQL журналами учета, которые опять же реализованы в довольно упрощенном виде.

В MySQL отсутствует встроенная система шифрования таблиц БД, или БД целиком. Но присутствует поддержка защищенной передачи данных между клиентом и сервером с помощью зашифрованных SSL-соединений.

Таким образом, можно сделать вывод, что в MySQL реализованы все основные методы защиты БД, но реализованы в упрощенном виде.

В MS SQL Server представлены все основные методы защиты баз данных.

При создании пользователя БД можно настроить проверку подлинности личности на различных уровнях, как БД, так и ОС. Для реализации авторизации в MS SQL Server присутствуют механизмы разрешений и ролей. Для проверки действий пользователей в MS SQL Server реализована система автоматизированного аудита. В MS SQL Server также имеются системы шифрования данных на различных уровнях, включая как шифрование файлов, так и шифрование столбцов, данных и ключей.

Все сущности, которые могут запрашивать ресурсы SQL Sever — называются участниками. Участники имеют разные области влияния, которые выстраиваются в определенном иерархическом порядке:

1. Участник уровня Windows;

2. Участник уровня SQL Server, по умолчанию имя для входа администратора — «sa»;

3. Участник уровня БД — пользователь БД.

Каждый участник имеет определённое имя входа, которое является идентификатором пользователя или процесса, соединяющегося с SQL Server. Во время процесса установки MS SQL Server необходимо выбрать режим проверки подлинности и настроить его.

При смешанном режиме проверке подлинности, который включает в себя проверку подлинности как Windows, так и SQL Server, учетной записи «sa» необходимо задать и подтвердить надежный пароль.

Проверку подлинности Windows проверяет имя и пароль с помощью токена участника Windows, обеспечивает высокий более высокий уровень безопасности, чем проверка подлинности SQL Server, и имеет возможность реализовать политику паролей ОС, в отношении проверки сложности надежных паролей.

При использовании проверки подлинности SQL Server, в SQL Server создаются имена входа, которые не основаны на учетных записях пользователей Windows. Имя пользователя и пароль хранятся в SQL Server.

Данная проверка позволяет использовать политику паролей, которую можно включить, выполнив инструкцию «ALTER LOGIN».

Из выше сказанного можно сделать следующие выводы:

1. Согласно исследованию ресурса, DB-Engines самыми распространёнными СУБД в мире являются Oracle Database, MySQL и Microsoft SQL Server, им уделяется основное внимание в работе;

2. Среди методов защиты БД, выделены четыре фундаментальных метода защиты баз данных: аутентификация, авторизация, аудит баз данных, шифрование;

3. Проанализированы основные достоинства и недостатки методов защиты СУБД, что позволит предложить рекомендации по устранению недостатков у имеющихся методов защиты, и повысить уровень защиты данных в БД.

1. Дейт К. Дж. Введение в системы баз данных, 8-е издание. М.: Издательский дом «Вильямс», 2005. 1328 с.

2. Алапати Сэм Р. Oracle Database 11g: руководство администратора баз данных. М.: Издательский дом «Вильямс», 2005. 1440 с.

3. КирилловВ.В. Введение в реляционные базы данных. СПб.: БХВ-Петербург, 2009. 464 с.

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА Лузгарев В.Ю.

Лузгарев Валерий Юрьевич — студент, факультет автоматизированных систем управления, Военная академия Ракетных войск стратегического назначения им. Петра Великого, г. Серпухов, Московская область

Аннотация: в данной статье рассмотрены средства защиты информации в системах электронного документооборота.

Ключевые слова: безопасность, аутентификация, защита, информация, документооборот, средства.

Проблема безопасной и гарантированной доставки электронных документов в настоящее время актуальна. Повсеместная компьютеризация производства привела к тому, что документы в электронном виде циркулируют в информационных системах, начиная и заканчивая свой жизненный цикл, зачастую не будучи ни разу распечатанными. Это большой плюс — экономия времени, бумаги, возможность моментально получить необходимый документ. Однако, такое ведение документооборота требует постоянного внимания службы информационной безопасности компании: лёгкость обращения документов в информационной системе может сослужить плохую службу, если защите информации в ней не уделено должного внимания.

В большинстве организаций циркулирует очень важная информация электронного документооборота. Поэтому при доступе к этой информации обычно используют такой подход, как аутентификация сотрудников.

Аутентификация сотрудников возможна по следующим направлениям:

1) парольная аутентификация (личный номер, криптографический ключ, сетевой адрес компьютера в сети);

2) аутентификация на основе информации хранящейся в электронном виде (смарт-карта, электронный ключ);

3) биометрическая аутентификация (внешность, голос, рисунок радужной оболочки глаз, отпечатки пальцев и другие биометрические характеристики).

В качестве достоинств аутентификации на основе использования паролей, можно выделить следующие:

Способы защиты баз данных

Способы защиты баз данных

В финансовой сфере и госогранах требования к защите баз данных предъявляют регуляторы, а безопасность СУБД коммерческих компаний остается на совести владельцев бизнеса. Хотя на первый взгляд вопрос безопасности баз данных кажется достаточно понятным, универсального решения для защиты СУБД нет. Автоматизированные банковские системы АБС, CRM, ERP, системы документооборота, интернет-банкинг, системы дистанционного банковского обслуживания (ДБО) — после первой попытки разобраться в «зоопарке» различных систем в одной компании любой специалист задумывается о специализированном решении для защиты баз данных.

Базовые средства защиты баз данных

Первая линия безопасности баз данных должна исходить от IT-отдела компании и от администраторов СУБД в частности. Базовая защита БД — это настройка межсетевых экранов перед СУБД, чтобы заблокировать любые попытки доступа от сомнительных источников, настройка и поддержание в актуальном состоянии парольной политики и ролевой модели доступа. Это действенные механизмы, которым должно уделяться внимание. Следующий этап защиты информации в базах данных — аудит действий пользователей, прямая задача отдела информационной безопасности. Значимость аудита объясняется тем, что в промышленной системе сложно тонко настроить права доступа к данным, к тому же бывают и исключительные ситуации.

Например, сотруднику отдела “А” временно понадобился доступ к клиенту отдела “Б”. С большой вероятностью внесение изменений в матрицу доступа к данным не будет иметь обратного характера, что в конечном итоге приводит к наличию учетных записей с сильно расширенными привилегиями, за использованием которых стоит следить.

Штатный аудит баз данных

Для проведения такого мониторинга многие организации пользуются «штатным аудитом» – средствами защиты баз данных, входящими в состав коммерческих СУБД. Штатный режим защиты включает ведение журнала подключения к СУБД и выполнения запросов теми или иными пользователями. Если коротко, принцип работы штатного аудита – это включение и настройка триггеров и создание специфичных функций – процедур, которые будут срабатывать при доступе к чувствительной информации и вносить данные о подобном доступе (кто, когда, какой запрос делал) в специальную таблицу аудита. Этого бывает достаточно для выполнения ряда отраслевых требований регуляторов, но не принесет практически никакой пользы для решения внутренних задач информационной безопасности, таких как расследование инцидентов.

Ключевые недостатки штатного аудита как защиты баз данных:

  • Дополнительная нагрузка на серверы баз данных (10-40% в зависимости от полноты аудита).
  • Вовлечение администраторов баз данных в настройку аудита (невозможность контроля администраторов – основных привилегированных пользователей).
  • Отсутствие удобного интерфейса продукта и возможности централизованной настройки правил аудита (особенно актуально для крупных распределенных компаний, в задачи защиты которых входит целый перечень СУБД).
  • Невозможность контроля действий пользователей в приложениях с трехзвенной архитектурой (наличие WEB и SQL-сегмента, что сейчас используется повсеместно из соображений безопасности).

Автоматизированные системы защиты баз данных

Более эффективный подход – использование специализированных систем информационной безопасности в области защиты бд – решений классов DAM и DBF.

DAM (Database Activity Monitoring) – это решение независимого мониторинга действий пользователей в СУБД. Под независимостью здесь понимается отсутствие необходимости переконфигурации и донастройки самих СУБД. Системы такого класса могут ставиться пассивно, работая с копией трафика и не оказывая никакого влияния на бизнес-процессы, частью которых являются базы данных.

  • Классификации – определение местонахождения критичной для компании информации. Опция позволяет, просканировав СУБД, увидеть названия таблиц и полей, в которых могут содержаться персональные данные клиентов. Это крайне важно для упрощения последующей настройки политик безопасности.
  • Проверки на уязвимости – соответствие конфигурации и настройки СУБД лучшим практикам.
  • Получение матрицы доступа к данным – задача решается для выявления расширенных привилегий доступа, неиспользуемым правам, и наличие так называемых «мертвых» учетных записей, которые могли остаться после увольнения сотрудника из компании.

Преимущество систем такого класса – гибкая система отчетности и интеграции с SIEM-системами большинства вендоров, для более глубокого корреляционного анализа выполняемых запросов.

DBF (Database Firewall) – это смежное по классу решение, которое также обладает возможностью «проактивной» защиты информации. Достигается это блокировкой нежелательных запросов. Для решения этой задачи уже недостаточно работы с копией трафика, а требуется установка компонентов системы защиты «в разрыв».

Учитывая достаточно большие риски при таком способе внедрения, крайне редко компании выбирают активную защиту промышленных СУБД и ограничиваются функциями мониторинга. Происходит это по причине возможности неоптимальной настройки правил блокировки. В этом случае ответственность за ложно заблокированные запросы будет лежать на плечах офицера информационной безопасности. Еще одна причина в том, что в сетевой схеме появляется дополнительный узел отказа, — главный блокирующий фактор при выборе такого способа внедрения решения.

На российском рынке представлено решение класса DAM «Гарда БД» от компании «Гарда Технологии». Это программно-аппаратный комплекс, который проводит непрерывный мониторинг всех запросов к базам данных и веб-приложениям в реальном времени и хранит их в течение длительного срока. Система проводит сканирование и выявление уязвимостей СУБД, такие как незаблокированные учётные записи, простые пароли, неустановленные патчи. Реагирование на инциденты происходит мгновенно в виде оповещений на e-mail и в SIEM-систему.

Система защиты баз данных устанавливается пассивно, то есть не влияет на производительность сети компании. Интеллектуальная система хранения позволяет формировать архив запросов и ответов к базам данных за любой период времени для дальнейшего ретроспективного анализа и расследования инцидентов. Это первая система класса DAM, вошедшая в реестр отечественного ПО и установленная в ряде крупных российских банков.

В следующей статье мы более подробно рассмотрим задачи, которые часто стоят перед DAM-системами, расскажем, почему для DAM так важно умение работы с http/http’s трафиком и как обеспечить защиту от SQL инъекций.

Защита баз данных

Защита баз данных является одной из наиболее важных задач в области безопасности информации. Под безопасностью баз данных понимается целый ряд инструментов, средств контроля и мер, предназначенных для установления и сохранения конфиденциальности, целостности и доступности БД.

Решение для защиты БД обеспечивают безопасность баз от внутренних и внешних угроз и должны учитывать:

• Данные в базе данных
• Система управления базами данных (СУБД)
• Любые сопутствующие приложения
• Физический сервер баз данных и/или виртуальный сервер баз данных и лежащее в его основе оборудование.
• Вычислительная и/или сетевая инфраструктура, используемая для доступа к базе данных.

Безопасность баз данных — это сложная задача, которая включает в себя все аспекты технологий и методов обеспечения информационной безопасности. Естественно, это также противоречит удобству использования базы данных. Чем более доступна и удобна база данных, тем более уязвима она для угроз безопасности; чем более неуязвима база данных для угроз, тем труднее к ней получить доступ и использовать ее.


Угрозы безопасности баз данных

Многие неправильные настройки программного обеспечения, уязвимости или неправильное использования БД могут привести к нарушениям. Ниже перечислены наиболее распространенные типы или причины атак на базы данных.

Инсайдерские угрозы. Являются одной из наиболее распространенных причин нарушения безопасности баз данных и часто являются результатом того, что слишком много сотрудников имеют привилегированный доступ.
Человеческая ошибка. Несчастные случаи, слабые пароли, совместное использование паролей и другие факторы поведения пользователей по-прежнему являются причиной почти половины (49%) всех зарегистрированных нарушений данных.
Эксплуатация уязвимостей программного обеспечения базы данных. Хакеры зарабатывают на жизнь тем, что находят и устраняют уязвимости во всех видах программного обеспечения, включая программное обеспечение для управления базами данных. Все крупные коммерческие поставщики ПО для работы с базами данных и платформы управления базами данных с открытым исходным кодом регулярно выпускают исправления безопасности для устранения этих уязвимостей, однако несвоевременное применение этих исправлений может увеличить вашу подверженность этим уязвимостям.
Атаки SQL/NoSQL инъекций. Включают в себя вставку произвольных строк SQL или не-SQL-атак в запросы к базе данных. Организации, которые не соблюдают правила безопасного кодирования веб-приложений и не проводят тестирование на уязвимости могут стать целью таких атак.
Атаки отказа в обслуживании (DoS/DDoS). При атаке типа «отказ в обслуживании» (DoS) злоумышленник обманывает целевой сервер — в данном случае сервер базы данных — с таким количеством запросов, что сервер больше не может выполнять легитимные запросы от реальных пользователей, и во многих случаях сервер становится нестабильным или выходит из строя.

Безопасность баз данных

Поскольку базы данных почти всегда доступны в сети, любая угроза безопасности любого компонента внутри или части сетевой инфраструктуры также является угрозой для базы данных, и любая атака, влияющая на пользовательское устройство или рабочую станцию, может угрожать базе данных. Таким образом, безопасность баз данных должна выходить далеко за пределы БД.

• Физическая безопасность. Независимо от того, находится ли ваш сервер баз данных на месте или в облачном центре, он должен быть расположен в безопасной, контролируемой зоне. (Если ваш сервер базы данных находится в «облачном» центре данных, об этом позаботится ваш «облачный» провайдер).
• Контроль доступа к сети. Практически минимальное количество пользователей должно иметь доступ к базе данных, а их доступы должны быть ограничены минимальными уровнями, необходимыми для выполнения ими своей работы. Аналогичным образом, доступ к сети должен быть ограничен минимальным уровнем необходимых привилегий.
• Безопасность учетной записи/устройства конечного пользователя. Всегда контролируйте, кто и когда обращается к базе данных, а также как и когда используются данные.
Решения по мониторингу данных могут предупредить вас, если действия с данными аномальны.
• Шифрование. Все данные должны быть защищены шифрованием в состоянии покоя и во время транзита. Все ключи шифрования должны обрабатываться в соответствии с лучшими практиками.
Безопасность программного обеспечения базы данных. Всегда используйте последнюю версию программного обеспечения для управления базой данных, а также применяйте все патчи сразу после их выпуска.
Безопасность приложений/веб-серверов. Любое приложение или веб-сервер, взаимодействующий с базой данных, может стать вектором атак и должен подвергаться постоянному тестированию на безопасность.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *