資料洩漏的成本是昂貴的,這之中包含着業務的中斷、客戶信任的喪失、損失的法律成本、監管罰款和勒索軟體攻擊。資料洩漏或導緻巨大的影響。最好的防禦是好的進攻,是以讓我們來看看保持資料庫安全的五個關鍵實踐:保護、稽核、管理、更新和加密。
<a href="http://s4.51cto.com/oss/201711/13/61568eb3f95bbf39358a0a4b366ec6ea.jpg-wh_651x-s_2576758010.jpg" target="_blank"></a>
1.使用資料庫代理防止攻擊
資料庫代理或網關代理介于應用程式和資料庫之間,接收來自應用程式的連結,然後代表這些應用程式連接配接到資料庫。智能資料庫代理提供最大範圍的過濾,其子產品提供安全、可靠、可擴充性和性能優勢。
MaxScale資料庫防火牆過濾解析查詢可以阻止白名單上你不想通過的查詢類型的情況發生。例如,您可能會說,給定的連接配接隻能執行更新和插入,而另一個連接配接必須與某些正規表達式相比對,等等。
代理MaxScale也能保護你抵禦DDos攻擊:當太多的連接配接,直接進入資料庫伺服器,它可以被重載。但是一個代理吸收了一些負載來限制這種攻擊的影響。
2.建立審計和日志
審計和日志記錄互相關聯,但是審計日志比一般日志複雜得多。審計日志給你所有的資訊,你需要調查可疑活動,并進行根本原因分析,如果你确實經曆了違反。此外,審計日志幫助確定與規定如GDPR、PCI、HIPPA和SOX。
MariaDB審計插件可以記錄大量的資訊:所有傳入連接配接,所有執行查詢,甚至所有的單個通路。您可以看到誰在給定的時間内進行了通路,以及誰插入或删除了資料。審計插件可以記錄到一個檔案或日志,是以如果你現有的工作流程,依靠日志,你可以直接綁定。
3.實行嚴格的使用者賬戶管理
仔細管理資料庫使用者帳戶是非常重要的。這幾乎适用于您IT生态系統的所有方面,我們在此不一一詳述。相反,我們隻需要提醒您使用者帳戶管理的關鍵方面:
·隻允許本地用戶端通路root權限。
·始終使用密碼。
·為每個應用程式都有一個獨立的資料庫使用者帳戶。
·限制通路資料庫伺服器的IP位址的數量。
4.保持資料庫軟體和作業系統的更新
我們都知道保持軟體更新的重要性,但這并不能阻止我們中的許多人運作遺留作業系統和幾個版本的舊資料庫伺服器。在此我們必須提醒您,保持目前的一切是保護您的資料免受所有最新威脅的唯一方法。
這不僅适用于您的伺服器軟體,也适用于您的作業系統。别忘了,想哭勒索軟體攻擊就是因Windows作業系統的安全更新檔lackadaisical應用為由發生的。
5.加密應用程式中的敏感資料
我們儲存了最不常用的最後實作的實踐。許多組織忽視加密檔案,但它可以是相當有價值的。畢竟如果在通路之後試圖破解密碼,那麼就減少了黑客的動機。
在資料到達資料庫之前,第一階段的加密發生在應用程式中。如果資料在應用程式中被加密,那麼破壞資料庫的黑客就看不到資料是什麼(這隻适用于那些不是密鑰的資料)。
接下來是對傳輸中資料的加密。這意味着資料在網絡從用戶端移動到資料庫伺服器(或代理)時進行加密。這基本上與在Web浏覽器中使用HTTPS相同。顯然,伺服器可以看到資訊,因為它需要讀取您填寫的表單,并且您可以讀取資訊,因為您将其輸入表單中,但是伺服器和伺服器之間的任何人都不應該讀取它。
最後,我們對靜止資料進行加密。你可以使用這個加密InnoDB表空間,InnoDB聯機重做日志和二進制日志。這意味着你可以加密幾乎所有的事情都寫在MariaDB伺服器盤裡。
原文釋出時間為:2017-11-13
本文作者:劉妮娜
本文來自雲栖社群合作夥伴51CTO,了解相關資訊可以關注51CTO。
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)