8步輕松實現整體數據庫安全
導讀:如今,數據庫是黑客攻擊的主要對象,由于數據庫中儲存著大量的非常重要的數據,數據庫安全工作一定要做到很好,那么本文中將為大家介紹的數據庫安全工作的8個步驟分別是:發現、漏洞和配置評估、加強安全保護、變更審計、數據庫活動監控(DAM)、審計、身份驗證與訪問控制和授權管理、加密。下文中將給出詳細的解析。
實現整體數據庫安全步驟:
1、保護數據庫并實現法規遵從
經濟利益驅使下的攻擊、內部人員的違法行為,以及各種法規要求正促使組織尋求新的途徑來保護他們的企業和客戶數據。
全球大部分敏感數據都存儲在商業數據庫中,比如 Oracle、 Microsoft SQL Server、IBM DB2和Sybase,這使數據庫日漸成為最主要的犯罪目標。這也許可以解釋為什么在 2008年SQL注入攻擊數量猛增了 134%,從平均每天數千次增加到每天數十萬次(根據IBM發布的報告)。
更嚴重的是,據Forrester報告,60%的企業沒有及時應用數據庫安全性補丁,而據 IBM分析,在2008年發現的所有 Web應用漏洞中的74%(其中 SQL注入漏洞占絕大多數)到2008年末甚至還沒有可用的補丁。
“您無法防御未知的攻擊。您需要很好地安排您的敏感資產,無論是數據庫實例還是數據庫中的敏感數據。”
但是,在以前,絕大部分注意力都集中在保護網絡邊緣和客戶端系統上(防火墻、 IDS/IPS、反病毒軟件等)。我們現在正步入一個嶄新的階段,在這一階段里,信息安全專業人員的使命是,確保企業數據庫免遭破壞與未經授權的操作。
以下列出了可同時保護數據庫和實現對關鍵法規(比如 SOX、PCI DSS、GLBA和數據保護法律)的遵從 的8項重要的最佳實踐。
您無法防御未知的攻擊。您需要很好地安排您的敏感數據,無論是數據庫實例還是數據庫中的敏感數據。而且,您應該自動化發現流程,因為敏感數據的位置不斷在變化,這源自于新的或修改的應用、合并和收購等因素。
有趣的是,一些發現工具還能夠發現SQL注入攻擊在您的數據庫中放置的惡意軟件。除了暴露機密信息,SQL注入漏洞還使攻擊者能夠在數據庫中嵌入其他攻擊代碼,然后攻擊訪問網站的用戶。
2.漏洞和配置評估
您需要評估數據庫配置,確保它們不存在安全漏洞。這包括驗證在操作系統上安裝數據庫的方式(比如檢查數據庫配置文件和可執行程序的文件權限),以及驗證數據庫自身內部的配置選項(比如多少次登錄失敗之后鎖定帳戶,或者為關鍵表分配何種權限)。此外,您需要確認您沒有運行帶有已知漏洞的數據庫版本。
傳統網絡漏洞掃描程序并不是針對這一目的而設計的,因為它們沒有嵌入關于數據庫結構和預期行為的知識,它們也不能發起 SQL查詢(通過需要憑證的數據庫訪問)來揭示數據庫配置信息。
3.加強保護
通過漏洞評估,得到的通常是一些具體的建議。這是加強數據庫保護的第一步。加強保護的其他要素還包括刪除不使用的所有功能和選項。
4.變更審計
一旦創建了加強了安全保護的配置,就必須持續跟蹤它,確保您沒有偏離您的“黃金”(安全)配置。可以通過變更審計工具來完成這一任務,這些工具能夠比較配置的快照(在操作系統和數據庫兩個級別上),并在發生可能影響數據庫安全的變更時,立即發出警告。
5.數據庫活動監控
對于通過及時檢測入侵和誤用來限制信息暴露,實時監控數據庫活動非常重要。例如,DAM可以警告暗示著SQL注入攻擊的異常訪問模式、對財務數據的未授權更改、帳戶特權提升,以及通過SQL命令執行的配置變更。
監控特權用戶也是SOX等數據治理法規和PCI DSS等數據隱私法規的一項要求。檢測入侵也很重要,因為攻擊經常會讓攻擊者獲得特權用戶訪問權限(比如通過由您的業務應用所有的憑證實現)。
DAM也是漏洞評估的一個重要要素,因為它支持您超越傳統靜態評估,以包括對“行為式漏洞”(比如多個用戶共享特權憑證或者數據庫登錄失敗次數過多)的動態評估。
“不是所有數據和所有用戶都是使用同等的方式創建的。您必須對用戶進行身份驗證,確保每個用戶擁有完整的責任,并通過管理特權來限制對數據的訪問。”
最后,一些DAM技術提供了應用層監控,允許您檢測通過多級應用(比如 PeopleSoft、SAP和Oracle e-Business Suite)執行的欺詐行為,而不是通過直接連接數據庫執行的欺詐行為。
6.審計
必須為影響安全性狀態、數據完整性或敏感數據查看的所有數據庫活動生成和維護安全、防否認的審計線索。除了是一種重要的遵從性要求,擁有細粒度審計線索對于法庭調查也很重要。
幸運的是,現在有了一類新的DAM解決方案,以極低的性能影響提供了細粒度、與DBMS獨立的審計,同時通過自動化、集中的跨DBMS策略和審計存儲庫、過濾和壓縮降低了操作成本。
大部分組織目前都采用手動審計形式,利用傳統的本機數據庫日志功能。但是,這些方法經常難以實施,因為它們實施起來很復雜,而且手動操作還具有很高的操作成本。其他缺點包括較高的性能開銷、缺乏職責分離(因為DBA可以輕松地篡改數據庫日志的內容,進而影響防否認性),還需要購買和管理大量存儲容量來處理大量未經過濾的事物信息。
7.身份驗證、訪問控制和授權管理
不是所有數據和所有用戶都是使用同等的方式創建的。您必須對用戶進行身份驗證,確保每個用戶擁有完整的責任,并通過管理特權來限制對數據的訪問。您還應該強制實施這些特權,即使是對于特權最高的數據庫用戶。您還需要定期審核授權報告(也稱為用戶權利證明報告),將其作為正式審計流程的一部分。
8.加密
使用加密來以不可讀的方式呈現敏感數據,這樣攻擊者就無法從數據庫外部對數據進行未授權訪問。這包括對傳輸中的數據進行加密,使攻擊者無法在網絡層竊聽信息并在將數據發送到數據庫客戶端時訪問數據,還包括對靜止數據進行加密,使攻擊者無法提取數據,即使能夠訪問媒體文件。
通過上文中介紹的這八步,就能夠輕松實現整體數據庫安全,對數據庫中數據起到了很好的保護作用,相信在大家以后遇到數據庫安全問題,本文將會幫助到大家。
【編輯推薦】
