در این پست از راهکارهای جامع دیتاسنتر قصد داریم به بررسی کامل امنیت پایگاه داده بپردازیم.
امنیت پایگاه داده شامل اقدامات مختلفی است که برای ایمن سازی سیستم های مدیریت پایگاه داده در برابر حملات سایبری مخرب و استفاده نامشروع به کار می رود. برنامه های امنیتی پایگاه داده برای محافظت نه تنها از داده های داخل پایگاه داده، بلکه از خود سیستم مدیریت داده و هر برنامه ای که به آن دسترسی دارد، در برابر سوء استفاده، آسیب و نفوذ محافظت می کند.
امنیت پایگاه داده یکی از زیرشاخه های مبحث امنیت اطلاعات می باشد که شامل ابزارها، فرآیندها و متدولوژی هایی است که امنیت را در محیط پایگاه داده ایجاد می کند.
بسیاری از آسیبپذیریهای نرمافزار، پیکربندیهای نادرست، یا الگوهای سوءاستفاده یا بیدقتی میتوانند منجر به نقض شوند. در اینجا تعدادی از شناخته شده ترین علل و انواع تهدیدات سایبری امنیت پایگاه داده آورده شده است.
یک تهدید داخلی یک خطر امنیتی از یکی از سه منبع زیر است که هر یک دارای ابزارهای ممتاز برای ورود به پایگاه داده هستند:
یک تهدید داخلی یکی از معمول ترین علل نقض امنیت پایگاه داده است و اغلب به این دلیل رخ می دهد که به بسیاری از کارمندان دسترسی کاربر ممتاز داده شده است.
گذرواژههای ضعیف، اشتراکگذاری رمز عبور، پاک کردن یا خراب شدن تصادفی دادهها و سایر رفتارهای نامطلوب کاربر هنوز هم علت تقریباً نیمی از نقضهای داده گزارششده هستند.
مهاجمان دائماً تلاش میکنند تا آسیبپذیریها را در نرمافزار جدا کرده و هدف قرار دهند و نرمافزار مدیریت پایگاه داده هدف بسیار ارزشمندی است. آسیبپذیریهای جدید روزانه کشف میشوند و همه پلتفرمهای مدیریت پایگاه داده منبع باز و فروشندگان نرمافزار پایگاه داده تجاری بهطور مرتب وصلههای امنیتی را منتشر میکنند. با این حال، اگر به سرعت از این وصله ها استفاده نکنید، پایگاه داده شما ممکن است در معرض حمله قرار گیرد.
حتی اگر وصله ها را به موقع اعمال کنید، همیشه خطر حملات روز صفر وجود دارد، زمانی که مهاجمان آسیب پذیری را کشف می کنند، اما هنوز توسط فروشنده پایگاه داده کشف و وصله نشده است.
یک تهدید خاص پایگاه داده شامل استفاده از رشته های حمله دلخواه غیر SQL و SQL در پرس و جوهای پایگاه داده است. به طور معمول، اینها پرس و جوهایی هستند که به عنوان یک فرمت برنامه کاربردی وب ایجاد می شوند یا از طریق درخواست های HTTP دریافت می شوند. هر سیستم پایگاه داده ای در برابر این حملات آسیب پذیر است، اگر توسعه دهندگان از شیوه های کدگذاری ایمن پیروی نکنند، و اگر سازمان تست آسیب پذیری منظم را انجام ندهد.
سرریز بافر زمانی اتفاق میافتد که یک فرآیند سعی میکند مقدار زیادی داده را در یک بلوک حافظه با طول ثابت بنویسد، بیش از مقدار مجاز. مهاجمان ممکن است از دادههای اضافی که در آدرسهای حافظه مجاور نگهداری میشوند، بهعنوان نقطه شروعی برای شروع حملات استفاده کنند.
در حمله انکار سرویس (DoS)، مجرم سایبری با استفاده از حجم زیادی از درخواستهای جعلی، سرویس مورد نظر - در این مثال سرور پایگاه داده را تحت تأثیر قرار میدهد. نتیجه این است که سرور نمی تواند درخواست های واقعی کاربران واقعی را انجام دهد و اغلب از کار می افتد یا ناپایدار می شود.
در یک حمله انکار سرویس توزیع شده (DDoS)، ترافیک جعلی توسط تعداد زیادی کامپیوتر که در یک بات نت که توسط مهاجم کنترل می شود شرکت می کنند، تولید می شود. این حجم ترافیک بسیار زیادی را ایجاد می کند که توقف آن بدون معماری دفاعی بسیار مقیاس پذیر دشوار است. سرویسهای حفاظتی DDoS مبتنی بر ابر میتوانند به صورت پویا برای مقابله با حملات DDoS بسیار بزرگ افزایش یابند.
بدافزار نرم افزاری است که برای استفاده از آسیب پذیری ها یا آسیب رساندن به پایگاه داده نوشته شده است. بدافزار می تواند از طریق هر دستگاه نقطه پایانی متصل به شبکه پایگاه داده وارد شود. حفاظت از بدافزار در هر نقطه پایانی مهم است، به ویژه در سرورهای پایگاه داده، به دلیل ارزش و حساسیت بالا.
محیط در حال تحول IT پایگاههای داده را در برابر تهدیدات مستعدتر میکند. در اینجا روندهایی وجود دارد که می تواند منجر به انواع جدیدی از حملات به پایگاه داده ها شود یا ممکن است به اقدامات دفاعی جدیدی نیاز داشته باشد:
سرور پایگاه داده یک ماشین فیزیکی یا مجازی است که پایگاه داده را اجرا می کند. ایمن سازی یک سرور پایگاه داده، همچنین به عنوان "سخت کردن" شناخته می شود، فرآیندی است که شامل امنیت فیزیکی، امنیت شبکه و پیکربندی امن سیستم عامل است.
اگر پایگاه داده شما حاوی داده های حساس است، از اشتراک گذاری سرور برای برنامه های کاربردی وب و برنامه های پایگاه داده خودداری کنید. اگرچه میزبانی سایت و پایگاه داده خود روی یک ارائه دهنده هاست می تواند ارزان تر و آسان تر باشد، اما امنیت داده های خود را در دستان دیگری قرار می دهید.
اگر برای مدیریت پایگاه داده خود به یک سرویس میزبانی وب با hosting متکی هستید، باید اطمینان حاصل کنید که این یک شرکت با سابقه امنیتی قوی است. بهتر است به دلیل عدم امنیت احتمالی از خدمات هاست رایگان دوری کنید.
اگر پایگاه داده خود را در یک مرکز داده داخلی مدیریت می کنید، به خاطر داشته باشید که مرکز داده شما نیز مستعد حملات خارجی یا تهدیدات داخلی است. اطمینان حاصل کنید که اقدامات امنیتی فیزیکی، از جمله قفل، دوربین، و پرسنل امنیتی در مرکز فیزیکی خود دارید. هرگونه دسترسی به سرورهای فیزیکی باید ثبت شود و فقط به افراد مجاز اعطا شود.
علاوه بر این، پشتیبانگیری از پایگاه داده را در مکانهایی که برای عموم قابل دسترسی هستند، مانند پارتیشنهای موقت، پوشههای وب، یا سطلهای ذخیرهسازی ابری ناامن، رها نکنید.
بیایید سرور پایگاه داده اوراکل را در نظر بگیریم. پس از نصب پایگاه داده، دستیار پیکربندی پایگاه داده Oracle (DBCA) به طور خودکار منقضی می شود و اکثر حساب های کاربر پایگاه داده پیش فرض را قفل می کند.
اگر پایگاه داده Oracle را به صورت دستی نصب کنید، این اتفاق نمی افتد و حساب های دارای امتیاز پیش فرض منقضی یا قفل نمی شوند. رمز عبور آنها به طور پیش فرض مانند نام کاربری آنها باقی می ماند. یک مهاجم سعی می کند ابتدا از این اعتبارنامه ها برای اتصال به پایگاه داده استفاده کند.
بسیار مهم است که اطمینان حاصل شود که هر حساب ممتاز در یک سرور پایگاه داده با یک رمز عبور قوی و منحصر به فرد پیکربندی شده است. اگر حساب ها مورد نیاز نیست، باید منقضی شده و قفل شوند.
برای حسابهای باقیمانده، دسترسی باید به حداقل مطلق مورد نیاز محدود شود. هر حساب فقط باید به جداول و عملیات (مثلاً SELECT یا INSERT) مورد نیاز کاربر دسترسی داشته باشد. از ایجاد حساب های کاربری با دسترسی به هر جدول در پایگاه داده خودداری کنید.
اطمینان حاصل کنید که برنامه آپدیت شما در جریان هست. مدیریت آپدیت پایگاه داده موثر یک عمل امنیتی بسیار مهم است زیرا مهاجمان به طور فعال به دنبال نقص های امنیتی جدید در پایگاه داده هستند و ویروس ها و بدافزارهای جدید به صورت روزانه ظاهر می شوند.
استقرار بهموقع نسخههای بهروز بستههای سرویس پایگاه داده، رفعهای فوری امنیتی حیاتی، و بهروزرسانیهای تجمعی، پایداری عملکرد پایگاه داده را بهبود میبخشد.
سازمان ها برنامه های کاربردی خود را در پایگاه های داده ذخیره می کنند. در اکثر سناریوهای دنیای واقعی، کاربر نهایی نیازی به دسترسی مستقیم به پایگاه داده ندارد. بنابراین، شما باید تمام دسترسی شبکه عمومی به سرورهای پایگاه داده را مسدود کنید، مگر اینکه یک ارائه دهنده میزبانی وب باشید. در حالت ایده آل، یک سازمان باید سرورهای دروازه (تونل های VPN یا SSH) را برای مدیران راه دور راه اندازی کند.
صرف نظر از اینکه دفاع شما چقدر قوی است، همیشه این احتمال وجود دارد که یک هکر به سیستم شما نفوذ کند. با این حال، مهاجمان تنها تهدیدی برای امنیت پایگاه داده شما نیستند. کارمندان شما نیز ممکن است برای کسب و کار شما خطر ایجاد کنند. همیشه این احتمال وجود دارد که یک خودی مخرب یا بی دقت به فایلی دسترسی پیدا کند که اجازه دسترسی به آن را ندارد.
رمزگذاری داده های شما باعث می شود هم برای مهاجمان و هم برای کارمندان غیرقابل خواندن باشد. بدون کلید رمزگذاری، آنها نمی توانند به آن دسترسی داشته باشند، این آخرین خط دفاعی را در برابر نفوذهای ناخواسته فراهم می کند. فایل های برنامه، فایل های داده و نسخه های پشتیبان بسیار مهم را رمزگذاری کنید تا کاربران غیرمجاز نتوانند داده های مهم شما را بخوانند.
در اینجا چندین بهترین روش وجود دارد که می توانید برای بهبود امنیت پایگاه های داده حساس استفاده کنید.
اگر سازمان بزرگی دارید، باید به فکر مدیریت خودکار دسترسی از طریق مدیریت رمز عبور یا نرم افزار مدیریت دسترسی باشید. این به کاربران مجاز یک رمز عبور کوتاه مدت با حقوقی که در هر زمان نیاز به دسترسی به پایگاه داده نیاز دارند، ارائه می دهد.
همچنین فعالیتهای انجامشده در آن بازه زمانی را ردیابی میکند و مدیران را از اشتراکگذاری رمزهای عبور باز میدارد. اگرچه ممکن است مدیران احساس کنند که اشتراک گذاری رمزهای عبور راحت است، اما انجام این کار مسئولیت پذیری و امنیت پایگاه داده موثر را تقریبا غیرممکن می کند.
علاوه بر این، اقدامات امنیتی زیر توصیه می شود:
هنگامی که زیرساخت امنیتی پایگاه داده خود را ایجاد کردید، باید آن را در برابر یک تهدید واقعی آزمایش کنید. ممیزی یا انجام تستهای نفوذ در پایگاه داده خود به شما کمک میکند تا در ذهنیت یک مجرم سایبری قرار بگیرید و هر آسیبپذیری را که ممکن است نادیده گرفته باشید، جدا کنید.
برای اطمینان از جامع بودن آزمون، هکرهای اخلاقی یا خدمات تست نفوذ شناخته شده را در تست امنیتی خود مشارکت دهید. تسترهای نفوذ گزارشهای گستردهای را ارائه میکنند که آسیبپذیریهای پایگاه داده را فهرست میکند، و بررسی سریع و اصلاح این آسیبپذیریها مهم است. حداقل سالی یک بار تست نفوذ را روی یک سیستم پایگاه داده حیاتی اجرا کنید.
اسکن مداوم پایگاه داده خود برای تلاش برای نقض امنیت شما را افزایش می دهد و به شما امکان می دهد به سرعت نسبت به حملات احتمالی واکنش نشان دهید.
به طور خاص، نظارت بر یکپارچگی فایل (FIM) می تواند به شما کمک کند تمام اقدامات انجام شده در سرور پایگاه داده را ثبت کنید و به شما در مورد نقض احتمالی هشدار دهد. هنگامی که FIM تغییری را در فایل های پایگاه داده مهم تشخیص داد، مطمئن شوید که تیم های امنیتی هشدار داده شده و قادر به بررسی و پاسخ به تهدید هستند.
شما باید از فایروال برای محافظت از سرور پایگاه داده خود در برابر تهدیدات امنیتی پایگاه داده استفاده کنید. به طور پیش فرض، فایروال اجازه دسترسی به ترافیک را نمی دهد. همچنین باید پایگاه داده شما را از شروع اتصالات خروجی متوقف کند، مگر اینکه دلیل خاصی برای انجام این کار وجود داشته باشد.
علاوه بر محافظت از پایگاه داده با فایروال، باید فایروال برنامه وب (WAF) را نیز مستقر کنید. این به این دلیل است که حملاتی که به برنامه های کاربردی وب، از جمله تزریق SQL، برای دستیابی به دسترسی غیرقانونی به پایگاه داده شما مورد استفاده قرار می گیرند.
فایروال پایگاه داده اکثر حملات برنامه های وب را متوقف نمی کند، زیرا فایروال های سنتی در لایه شبکه عمل می کنند، در حالی که لایه های برنامه وب در لایه برنامه (لایه 7 مدل OSI) عمل می کنند. یک WAF در لایه 7 کار می کند و می تواند ترافیک برنامه های وب مخرب مانند حملات SQL injection را شناسایی کند و قبل از اینکه به پایگاه داده شما آسیب برساند، آن را مسدود کند.
فایروال Imperva یک فایروال برنامه وب پیشرو در صنعت ارائه می دهد که می تواند از حملات برنامه های وب که بر پایگاه داده ها تأثیر می گذارد، از جمله تزریق SQL جلوگیری کند. ما همچنین حفاظت از یکپارچگی فایل (FIM) و فناوری امنیت فایل را ارائه میکنیم و از فایلهای حساس در برابر مجرمان سایبری و افراد مخرب دفاع میکنیم.
علاوه بر این، Imperva از تمام ذخیرههای داده مبتنی بر ابر برای اطمینان از انطباق و حفظ چابکی و مزایای هزینهای که از سرمایهگذاریهای ابری خود به دست میآورید، محافظت میکند:
امنیت دادههای ابری - امنیت پایگاه دادههای ابری خود را برای رسیدن به DevOps و حفظ آنها ساده کنید. راه حل Imperva به کاربران خدمات ابری امکان می دهد تا به سرعت داده های ابری را مشاهده و کنترل کنند.
امنیت پایگاه داده - Imperva تجزیه و تحلیل، حفاظت و پاسخ را در سراسر دارایی های داده شما، در محل و در فضای ابری ارائه می دهد - به شما امکان مشاهده خطر را برای جلوگیری از نقض داده ها و جلوگیری از حوادث مطابقت می دهد. با هر پایگاه داده ای ادغام شوید تا فوراً دیده شوید، سیاست های جهانی را اجرا کنید و زمان را به ارزش افزایش دهید.
تجزیه و تحلیل ریسک داده ها – تشخیص رفتار دسترسی به داده های غیرمنطبق، مخاطره آمیز یا مخرب در تمام پایگاه های داده خود در سطح سازمانی را به صورت خودکار انجام دهید تا اصلاح را تسریع کنید.
