基于MariaDB打造數(shù)據(jù)庫安全的五項(xiàng)基本實(shí)踐

數(shù)據(jù)泄露的代價(jià)是昂貴的。包括對(duì)商業(yè)的影響、客戶信心的喪失、法律成本、罰金及所有因攻擊帶來的直接損失,可能會(huì)達(dá)數(shù)百萬。最好的防御也是最好的進(jìn)攻,所以采取以下五項(xiàng)基本實(shí)踐,可以讓數(shù)據(jù)更安全:防護(hù)、升級(jí)、管理、升級(jí)和加密。

1、使用數(shù)據(jù)庫代理來避免被攻擊

數(shù)據(jù)庫代理或者網(wǎng)關(guān)代理介于應(yīng)用和數(shù)據(jù)之間,接收來自應(yīng)用的連接,然后代表應(yīng)用去連接數(shù)據(jù)庫。設(shè)計(jì)良好的數(shù)據(jù)庫代理會(huì)提供過濾功能和安全模塊,幫助系統(tǒng)獲得更好的安全性、可靠性、可擴(kuò)展性和性能。
MaxScale Database Firewall Filter會(huì)解析通過過濾的請(qǐng)求,可以阻止那些不符合白名單的查詢類型,而讓我們正常的查詢可以順利通過。例如,你可以設(shè)置某一特定的連接只能做更新和插入,另外一個(gè)連接則必須滿足特定的正則要求等。
像MaxScale這樣的代理也可以保護(hù)數(shù)據(jù)庫免受DDoS攻擊:當(dāng)很多直接連接到數(shù)據(jù)庫服務(wù)時(shí),數(shù)據(jù)庫會(huì)發(fā)生過載,甚至被壓垮。但代理層吸收掉部分負(fù)載,從而起到限制此類攻擊影響的效果。

2、建立審計(jì)機(jī)制,加強(qiáng)日志機(jī)制

審計(jì)與日志相互關(guān)聯(lián)、密不可分,但審計(jì)日志比常規(guī)但日志要復(fù)雜很多。審計(jì)日志能提供管理員調(diào)查可疑活動(dòng)的信息,協(xié)助針對(duì)異常時(shí)間進(jìn)行根本原因分析。除此之外,審計(jì)日志還有助于確保與GDPR、PCI、HIPPA、SOX的一致性。
MariaDB的審計(jì)插件可以記錄大量信息,包括所有接入的連接,所有查詢的執(zhí)行,對(duì)每個(gè)表的訪問事件等。管理員可以看到誰,在什么時(shí)間,訪問了某張表,誰插入了數(shù)據(jù),誰又刪除了數(shù)據(jù)。審計(jì)插件可以將日志記錄到文件或系統(tǒng)日志(syslog)中,如果你已經(jīng)將業(yè)務(wù)分析流程建立在syslog中,就可以基于次分析審計(jì)信息了。

3、執(zhí)行嚴(yán)格的用戶賬號(hào)管理

仔細(xì)管理數(shù)據(jù)庫的用戶賬號(hào)對(duì)于數(shù)據(jù)庫安全至關(guān)重要。其重要性不言而喻,在此就不贅述了。只是簡(jiǎn)單提醒一下用戶賬號(hào)管理的幾個(gè)關(guān)鍵方面:

  • 只允許從本機(jī)客戶端以root用戶訪問
  • 要求使用強(qiáng)密碼
  • 針對(duì)不同應(yīng)用提供不同的數(shù)據(jù)庫用戶賬號(hào)
  • 限制可以訪問數(shù)據(jù)庫的IP地址

4、保持?jǐn)?shù)據(jù)庫軟件和OS的更新(有些挑戰(zhàn))

我們都知道為什么要保持軟件的更新,但現(xiàn)實(shí)中仍然會(huì)有各種原因?qū)е聲?huì)有很多老應(yīng)用必須泡在舊的OS上,而且使用的是非常舊的數(shù)據(jù)庫服務(wù)。它們可以作為一種提醒,保持系統(tǒng)更新是保護(hù)數(shù)據(jù)免受最新攻擊的唯一途徑。
這不僅限于服務(wù)器軟件,也包括OS。勒索軟件WannaCry就是利用一個(gè)Windows的安全漏洞。

5、加密敏感數(shù)據(jù),包括應(yīng)用、傳輸?shù)鹊?/h1>

我們統(tǒng)計(jì)記錄了最新的一些實(shí)踐經(jīng)驗(yàn)。很多企業(yè)不太看中加密,但它卻很有價(jià)值。畢竟,它能降低黑客攻擊的動(dòng)力,尤其是當(dāng)破解需要花費(fèi)的成本大于收益時(shí)。
第一階段加密發(fā)生在應(yīng)用層,即在數(shù)據(jù)庫傳入數(shù)據(jù)庫之前。如果應(yīng)用中的數(shù)據(jù)已經(jīng)加密,黑客即使突破了數(shù)據(jù)庫,也看不到數(shù)據(jù)。
下一階段數(shù)據(jù)加密是在傳輸過程中,即數(shù)據(jù)經(jīng)過加密后,再在客戶端和數(shù)據(jù)庫服務(wù)之間,以網(wǎng)絡(luò)方式傳輸。這個(gè)類似于瀏覽器使用HTTPS協(xié)議傳輸數(shù)據(jù)。顯然服務(wù)器可以看到信息,因?yàn)樗枰x取你提供的信息;你也可以讀取這些信息,因?yàn)槭悄闾顚懙倪@些表單,但除了你和服務(wù)器之外,其他人不能讀到。

其他

除了以上談到的5點(diǎn)基本內(nèi)容外,可以基于不同數(shù)據(jù)的加密技術(shù)來保證數(shù)據(jù)安全。像MariaDB可以將表空間、重做日志、二進(jìn)制日志等進(jìn)行加密。
參考MariaDB的《5-essential-practices-database-security》

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容