【51CTO.com快譯】數據泄漏的成本是昂貴的，這之中包含著業務的中斷、客戶信任的喪失、損失的法律成本、監管罰款和勒索軟件攻擊。數據泄漏或導致巨大的影響。最好的防御是好的進攻，所以讓我們來看看保持數據庫安全的五個關鍵實踐：保護、審核、管理、更新和加密。

[[209628]]

1.使用數據庫代理防止攻擊

數據庫代理或網關代理介于應用程序和數據庫之間，接收來自應用程序的鏈接，然后代表這些應用程序連接到數據庫。智能數據庫代理提供最大范圍的過濾，其模塊提供安全、可靠、可擴展性和性能優勢。

MaxScale數據庫防火墻過濾解析查詢可以阻止白名單上你不想通過的查詢類型的情況發生。例如，您可能會說，給定的連接只能執行更新和插入，而另一個連接必須與某些正則表達式相匹配，等等。

代理MaxScale也能保護你抵御DDos攻擊：當太多的連接，直接進入數據庫服務器，它可以被重載。但是一個代理吸收了一些負載來限制這種攻擊的影響。

2.建立審計和日志

審計和日志記錄相互關聯，但是審計日志比一般日志復雜得多。審計日志給你所有的信息，你需要調查可疑活動，并進行根本原因分析，如果你確實經歷了違反。此外，審計日志幫助確保與規定如GDPR、PCI、HIPPA和SOX。

MariaDB審計插件可以記錄大量的信息：所有傳入連接，所有執行查詢，甚至所有的單個訪問。您可以看到誰在給定的時間內進行了訪問，以及誰插入或刪除了數據。審計插件可以記錄到一個文件或日志，所以如果你現有的工作流程，依靠日志，你可以直接綁定。

3.實行嚴格的用戶賬戶管理

仔細管理數據庫用戶帳戶是非常重要的。這幾乎適用于您IT生態系統的所有方面，我們在此不一一詳述。相反，我們只需要提醒您用戶帳戶管理的關鍵方面：

·只允許本地客戶端訪問root權限。
·始終使用密碼。
·為每個應用程序都有一個獨立的數據庫用戶帳戶。
·限制訪問數據庫服務器的IP地址的數量。

4.保持數據庫軟件和操作系統的更新

我們都知道保持軟件更新的重要性，但這并不能阻止我們中的許多人運行遺留操作系統和幾個版本的舊數據庫服務器。在此我們必須提醒您，保持當前的一切是保護您的數據免受所有最新威脅的唯一方法。

這不僅適用于您的服務器軟件，也適用于您的操作系統。別忘了，想哭勒索軟件攻擊就是因Windows操作系統的安全補丁lackadaisical應用為由發生的。

5．加密應用程序中的敏感數據

我們保存了最不常用的最后實現的實踐。許多組織忽視加密文件，但它可以是相當有價值的。畢竟如果在訪問之后試圖破解密碼，那么就減少了黑客的動機。

在數據到達數據庫之前，第一階段的加密發生在應用程序中。如果數據在應用程序中被加密，那么破壞數據庫的黑客就看不到數據是什么（這只適用于那些不是密鑰的數據）。

接下來是對傳輸中數據的加密。這意味著數據在網絡從客戶端移動到數據庫服務器（或代理）時進行加密。這基本上與在Web瀏覽器中使用HTTPS相同。顯然，服務器可以看到信息，因為它需要讀取您填寫的表單，并且您可以讀取信息，因為您將其輸入表單中，但是服務器和服務器之間的任何人都不應該讀取它。

最后，我們對靜止數據進行加密。你可以使用這個加密InnoDB表空間，InnoDB聯機重做日志和二進制日志。這意味著你可以加密幾乎所有的事情都寫在MariaDB服務器盤里。

作者：ShaneJohnson
原文鏈接：https://dzone.com/articles/5-essential-practices-for-database-security
劉妮娜譯

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】