數(shù)據(jù)庫(kù)安全實(shí)踐基本指南

金茹

在數(shù)字時(shí)代，攻擊的威脅無(wú)處不在，而且還在不斷增長(zhǎng)。如果您的公司或機(jī)構(gòu)未能遵守?cái)?shù)據(jù)庫(kù)安全最佳實(shí)踐，將面臨很大風(fēng)險(xiǎn)。有風(fēng)險(xiǎn)的項(xiàng)目包括寶貴數(shù)據(jù)、公眾信任和品牌的好名聲，福布斯報(bào)告稱，78 %的公司對(duì)當(dāng)前的安全態(tài)勢(shì)缺乏信心。

數(shù)據(jù)庫(kù)安全

數(shù)據(jù)庫(kù)安全是一種信息安全方法，包括工具、控制和流程。它用于通過(guò)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)免受未經(jīng)授權(quán)的訪問(wèn)、非法使用和惡意網(wǎng)絡(luò)攻擊來(lái)維護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)的機(jī)密性、完整性和可用性。

這意味著它有助于保護(hù)多項(xiàng)關(guān)鍵資產(chǎn)：數(shù)據(jù)庫(kù)管理系統(tǒng)；數(shù)據(jù)庫(kù)中的數(shù)據(jù)；任何相關(guān)的應(yīng)用程序或集成；數(shù)據(jù)庫(kù)服務(wù)器（物理和虛擬硬件）；人們用來(lái)訪問(wèn)數(shù)據(jù)庫(kù)的計(jì)算和網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

當(dāng)數(shù)據(jù)庫(kù)更容易訪問(wèn)和使用時(shí)，它更容易受到威脅，隨著安全團(tuán)隊(duì)增加保護(hù)措施，數(shù)據(jù)庫(kù)對(duì)威脅的抵抗力變得更強(qiáng)。但需要注意的是，訪問(wèn)和使用也變得更加困難。

然而，盡管用戶體驗(yàn)存在潛在沖突，但組織別無(wú)選擇，只能謹(jǐn)慎行事。近年來(lái)，由于不良行為者和高科技網(wǎng)絡(luò)攻擊盛行，數(shù)據(jù)泄露事件屢見(jiàn)不鮮。

2020年，下一代網(wǎng)絡(luò)攻擊增長(zhǎng)了430 %，隨著技術(shù)的進(jìn)步，網(wǎng)絡(luò)犯罪分子會(huì)嘗試新的策略來(lái)攻擊和破壞網(wǎng)絡(luò)。因此，安全團(tuán)隊(duì)必須保持警惕，以抵御破壞性攻擊。

以下是在2021年及以后，保持積極主動(dòng)的數(shù)據(jù)庫(kù)安全方法的原因。

數(shù)據(jù)保護(hù)就是資產(chǎn)保護(hù)

數(shù)據(jù)庫(kù)泄露并非小事，無(wú)論是內(nèi)部威脅還是威脅參與者訪問(wèn)您的網(wǎng)絡(luò)，都可以迅速對(duì)數(shù)據(jù)庫(kù)造成嚴(yán)重破壞。

2020年勒索軟件攻擊的激增嚴(yán)重打擊了教育和醫(yī)療保健行業(yè)，一些目標(biāo)面臨高達(dá)4 000萬(wàn)美元的贖金。另一個(gè)問(wèn)題是直接拒絕服務(wù)攻擊的威脅，對(duì)于趁著電子商務(wù)復(fù)蘇浪潮的零售公司來(lái)說(shuō)，這是一個(gè)擔(dān)憂。

投入更多資源來(lái)設(shè)計(jì)更強(qiáng)大的數(shù)據(jù)庫(kù)安全性，可以防止漏洞并減少病毒、勒索軟件和防火墻入侵等攻擊的機(jī)會(huì)。

減少人為錯(cuò)誤可提高數(shù)據(jù)安全性

根據(jù)Varonis的一份報(bào)告，95 %的網(wǎng)絡(luò)安全漏洞是人為錯(cuò)誤的結(jié)果，現(xiàn)在每天有30 000個(gè)網(wǎng)站遭到破壞。

值得慶幸的是，數(shù)據(jù)庫(kù)安全性和自動(dòng)化齊頭并進(jìn)，機(jī)器學(xué)習(xí)技術(shù)和自動(dòng)檢測(cè)可幫助實(shí)時(shí)檢測(cè)和識(shí)別漏洞及安全威脅。憑借更快的洞察力和更準(zhǔn)確的監(jiān)控和分析，誤報(bào)的機(jī)會(huì)更少，可以及時(shí)做出反應(yīng)以防止真正的網(wǎng)絡(luò)攻擊。

當(dāng)自動(dòng)化與數(shù)據(jù)庫(kù)安全結(jié)合使用時(shí)，可以讓團(tuán)隊(duì)騰出時(shí)間專注于其他任務(wù)并獲得全天候保護(hù)，還可以使用智能自動(dòng)化來(lái)管理安全補(bǔ)丁，從而進(jìn)一步減少人為錯(cuò)誤并節(jié)省時(shí)間和成本。

加強(qiáng)客戶關(guān)系

數(shù)據(jù)隱私不僅是讓監(jiān)管機(jī)構(gòu)滿意的打勾練習(xí)，消費(fèi)者對(duì)在網(wǎng)上分享的內(nèi)容以及與誰(shuí)分享內(nèi)容持謹(jǐn)慎態(tài)度，使得數(shù)據(jù)庫(kù)安全對(duì)于與目標(biāo)市場(chǎng)建立信任至關(guān)重要。

德勤表示，如果73 %的消費(fèi)者認(rèn)為組織對(duì)如何使用數(shù)據(jù)保持透明，他們會(huì)更愿意分享細(xì)節(jié)。因此，解決人們對(duì)隱私的擔(dān)憂，明確如何使用數(shù)據(jù)來(lái)改善用戶體驗(yàn)，以此與客戶建立更牢固的聯(lián)系。

通過(guò)數(shù)據(jù)安全保護(hù)品牌名稱

這可能是一個(gè)數(shù)據(jù)驅(qū)動(dòng)的時(shí)代，但客戶仍然是王道，如果失去了客戶的信任，就很難恢復(fù)。SecureLink報(bào)告稱，87%的消費(fèi)者在遭受數(shù)據(jù)泄露后再也不會(huì)與公司做生意。正如信任可以培養(yǎng)客戶忠誠(chéng)度一樣，失去信任會(huì)讓他們跑向競(jìng)爭(zhēng)對(duì)手。

人們想知道他們分享的內(nèi)容是否受到保護(hù)和保密，如果他們對(duì)這方面有任何疑問(wèn)，可能很難吸引客戶或擴(kuò)大業(yè)務(wù)規(guī)模。一旦人們看到一個(gè)組織在涉及數(shù)據(jù)隱私的情況下處于不利地位，就幾乎不可能恢復(fù)。

很明顯，為什么數(shù)據(jù)庫(kù)安全在2021年很重要。但是如何改善安全狀況以提高網(wǎng)絡(luò)彈性？以下是數(shù)據(jù)庫(kù)安全的最佳實(shí)踐。越早將這些投入使用就越有準(zhǔn)備。

將數(shù)據(jù)庫(kù)服務(wù)器分開(kāi)

是否將數(shù)據(jù)和網(wǎng)站保存在同一臺(tái)服務(wù)器上？如果是這樣，將面臨失去一切的風(fēng)險(xiǎn)。例如，攻擊者可能會(huì)破壞電子商務(wù)的網(wǎng)站，然后在網(wǎng)絡(luò)中橫向移動(dòng)以訪問(wèn)數(shù)據(jù)庫(kù)。

通過(guò)保持?jǐn)?shù)據(jù)庫(kù)服務(wù)器隔離來(lái)避免這個(gè)陷阱，它不僅應(yīng)該位于單獨(dú)的物理機(jī)器上，而且不應(yīng)連接到任何其他服務(wù)器或應(yīng)用程序。

添加HTTPS代理服務(wù)器

代理服務(wù)器是一種特定的應(yīng)用程序，它評(píng)估HTTP請(qǐng)求并將其從工作站路由到數(shù)據(jù)庫(kù)服務(wù)器，可以將其視為防止未經(jīng)授權(quán)訪問(wèn)的守門人。

隨著在線業(yè)務(wù)、電子商務(wù)和信息共享的興起，代理服務(wù)器是數(shù)據(jù)庫(kù)安全的重要原則。將此功能添加到安全基礎(chǔ)設(shè)施以加密所有數(shù)據(jù)，并在共享敏感信息（如密碼或付款詳細(xì)信息）時(shí)讓用戶更安心。

一個(gè)防火墻不足以提供良好的數(shù)據(jù)保護(hù)

一個(gè)防火墻在默認(rèn)情況下拒絕流量，提供數(shù)據(jù)庫(kù)安全框架堅(jiān)固的第一層。可以使用防火墻保護(hù)數(shù)據(jù)庫(kù)，但它不會(huì)阻止SQL注入攻擊，這些攻擊可能來(lái)自允許的Web應(yīng)用程序，使犯罪者能夠潛入或刪除數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

因此，需要添加不止一種類型的防火墻。大多數(shù)情況使用以下3種覆蓋網(wǎng)絡(luò)：

包過(guò)濾防火墻；

狀態(tài)包檢測(cè)；

代理服務(wù)器防火墻。

請(qǐng)記住正確配置它們并保持更新。

經(jīng)常更新所有軟件和應(yīng)用程序

95 %的網(wǎng)站使用過(guò)時(shí)的軟件產(chǎn)品。無(wú)論是Word Press插件還是遺留軟件，太多企業(yè)讓他們的網(wǎng)絡(luò)受到過(guò)時(shí)軟件的攻擊。

應(yīng)該養(yǎng)成更新站點(diǎn)和網(wǎng)絡(luò)上所有插件、小部件和第三方應(yīng)用程序的習(xí)慣，此外，避免使用開(kāi)發(fā)人員不經(jīng)常更新的任何軟件。

主動(dòng)進(jìn)行實(shí)時(shí)數(shù)據(jù)庫(kù)監(jiān)控

數(shù)據(jù)庫(kù)安全就是保持警惕，監(jiān)控的越多，錯(cuò)過(guò)的就越少，借助可靠的實(shí)時(shí)監(jiān)控軟件進(jìn)行以下安全活動(dòng)：

監(jiān)控所有操作系統(tǒng)的登錄嘗試；

定期審查所有日志以檢查異常情況；

創(chuàng)建警報(bào)以通知安全團(tuán)隊(duì)任何潛在威脅或可疑行為；

設(shè)計(jì)升級(jí)協(xié)議以確保敏感數(shù)據(jù)在發(fā)生攻擊時(shí)保持安全。

創(chuàng)建備份并使用數(shù)據(jù)加密協(xié)議

許多人沒(méi)有意識(shí)到在移動(dòng)中加密數(shù)據(jù)的重要性。確保按計(jì)劃創(chuàng)建備份并將這些加密備份與解密密鑰分開(kāi)存儲(chǔ)，這樣，即使數(shù)據(jù)落入壞人之手，信息也能保持安全。

密切關(guān)注端口（停止使用默認(rèn)端口）

默認(rèn)網(wǎng)絡(luò)端口在某種程度上是現(xiàn)代數(shù)據(jù)庫(kù)安全性的致命弱點(diǎn)，攻擊者將通過(guò)暴力破解攻擊這些端口，這些攻擊使用自動(dòng)化來(lái)嘗試密碼和用戶名的組合以獲得訪問(wèn)權(quán)限。數(shù)據(jù)竊取勒索軟件PonyFinal就使用這種方法破壞網(wǎng)絡(luò)。

確保所有端口都關(guān)閉，除非將它們用于已記錄、審查和批準(zhǔn)的活動(dòng)業(yè)務(wù)案例。監(jiān)控網(wǎng)絡(luò)中的所有端口，并調(diào)查任何奇怪的事件或意外的開(kāi)放端口。最后，停止使用默認(rèn)端口，因?yàn)椴恢档妹斑@個(gè)險(xiǎn)。

用戶認(rèn)證

密碼提供了薄薄的防御，但僅靠密碼是不夠的，人們通常傾向于使用易于記憶的密碼，而不是能夠增強(qiáng)安全性的、長(zhǎng)而獨(dú)特的密碼。

可以通過(guò)采用多因素身份驗(yàn)證來(lái)加強(qiáng)訪問(wèn)，有了這項(xiàng)措施，即使攻擊者得到了登錄憑據(jù)，也不太可能訪問(wèn)數(shù)據(jù)庫(kù)。

不要忽視物理數(shù)據(jù)庫(kù)安全措施

當(dāng)世界轉(zhuǎn)向云時(shí)，物理服務(wù)器并非沒(méi)有優(yōu)點(diǎn)。首先，將擁有更多的網(wǎng)絡(luò)訪問(wèn)和控制權(quán)，并且通常可以確保更長(zhǎng)的運(yùn)行時(shí)間。

如果擁有混合網(wǎng)絡(luò)（由物理服務(wù)器和虛擬服務(wù)器組成），請(qǐng)確保使用基本安全措施保護(hù)物理硬件，如鎖、攝像頭和配備安全人員。還可以監(jiān)控對(duì)服務(wù)器的訪問(wèn)并記錄所有入口。

嘗試攻擊自己：滲透測(cè)試和紅隊(duì)

當(dāng)擁有網(wǎng)絡(luò)安全框架和協(xié)議，并且團(tuán)隊(duì)遵守?cái)?shù)據(jù)庫(kù)安全最佳實(shí)踐時(shí)，就該對(duì)其進(jìn)行測(cè)試了。

安全團(tuán)隊(duì)可以審核自己的數(shù)據(jù)庫(kù)安全性，并運(yùn)行網(wǎng)絡(luò)安全滲透測(cè)試，以發(fā)現(xiàn)缺陷或漏洞。采用網(wǎng)絡(luò)罪犯的思維模式，可以突破安全態(tài)勢(shì)的極限，在真正的攻擊者發(fā)現(xiàn)弱點(diǎn)之前識(shí)別并修復(fù)弱點(diǎn)。

隨著網(wǎng)絡(luò)攻擊性質(zhì)的演變，阻止威脅的挑戰(zhàn)變得更加復(fù)雜，去年保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)安全的措施明年可能就行不通了。采用本文的數(shù)據(jù)庫(kù)安全最佳實(shí)踐將幫助構(gòu)建更強(qiáng)大的網(wǎng)絡(luò)安全框架，以保護(hù)您的數(shù)據(jù)、服務(wù)器和用戶。

最終，預(yù)防攻擊和保護(hù)敏感數(shù)據(jù)方面越積極主動(dòng)，在建立持久的客戶關(guān)系和持續(xù)、可靠的業(yè)務(wù)合作伙伴關(guān)系，以及幫組織發(fā)展方面就越成功。