数据库安全如何保障?这五点是关键!

数据泄漏的成本是昂贵的,这之中包含着业务的中断、客户信任的丧失、损失的法律成本、监管罚款和勒索软件攻击。

数据泄漏或导致巨大的影响。最好的防御是好的进攻,所以让我们来看看保持数据库安全的五个关键实践:保护、审核、管理、更新和加密。

1 、用数据库代理防止攻击

数据库代理或网关代理介于应用程序和数据库之间,接收来自应用程序的链接,然后代表这些应用程序连接到数据库。

智能数据库代理提供最大范围的过滤,其模块提供安全、可靠、可扩展性和性能优势。

MaxScale数据库防火墙过滤解析查询可以阻止白名单上你不想通过的查询类型的情况发生。

例如,您可能会说,给定的连接只能执行更新和插入,而另一个连接必须与某些正则表达式相匹配,等等。

代理MaxScale也能保护你抵御DDos攻击:当太多的连接,直接进入数据库服务器,它可以被重载。但是一个代理吸收了一些负载来限制这种攻击的影响。

2建立审计和日志

审计和日志记录相互关联,但是审计日志比一般日志复杂得多。审计日志给你所有的信息,你需要调查可疑活动,并进行根本原因分析,如果你确实经历了违反。

此外,审计日志帮助确保与规定如GDPR、PCI、HIPPA和SOX。

MariaDB审计插件可以记录大量的信息:所有传入连接,所有执行查询,甚至所有的单个访问。您可以看到谁在给定的时间内进行了访问,以及谁插入或删除了数据。审计插件可以记录到一个文件或日志,所以如果你现有的工作流程,依靠日志,你可以直接绑定。

3实行严格的用户账户管理

仔细管理数据库用户帐户是非常重要的。这几乎适用于您IT生态系统的所有方面,我们在此不一一详述。相反,我们只需要提醒您用户帐户管理的关键方面:

只允许本地客户端访问root权限。

始终使用密码。

为每个应用程序都有一个独立的数据库用户帐户。

限制访问数据库服务器的IP地址的数量。

4保持数据库软件和操作系统的更新

我们都知道保持软件更新的重要性,但这并不能阻止我们中的许多人运行遗留操作系统和几个版本的旧数据库服务器。

在此我们必须提醒您,保持当前的一切是保护您的数据免受所有最新威胁的唯一方法。

这不仅适用于您的服务器软件,也适用于您的操作系统。别忘了,想哭勒索软件攻击就是因Windows操作系统的安全补丁lackadaisical应用为由发生的。

5加密应用程序中的敏感数据

我们保存了最不常用的最后实现的实践。许多组织忽视加密文件,但它可以是相当有价值的。毕竟如果在访问之后试图破解密码,那么就减少了黑客的动机。

在数据到达数据库之前,第一阶段的加密发生在应用程序中。如果数据在应用程序中被加密,那么破坏数据库的黑客就看不到数据是什么(这只适用于那些不是密钥的数据)。

接下来是对传输中数据的加密。这意味着数据在网络从客户端移动到数据库服务器(或代理)时进行加密。这基本上与在Web浏览器中使用HTTPS相同。

显然,服务器可以看到信息,因为它需要读取您填写的表单,并且您可以读取信息,因为您将其输入表单中,但是服务器和服务器之间的任何人都不应该读取它。

最后,我们对静止数据进行加密。

你可以使用这个加密InnoDB表空间,InnoDB联机重做日志和二进制日志。这意味着你可以加密几乎所有的事情都写在MariaDB服务器盘里。

转自:信诺瑞得

本文来自企鹅号 - 海航云媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

DarkHydrus使用Phishery在中东地区窃取凭证

在上周,Unit 42发表了一个篇关于介绍一个名为DarkHydrus的新威胁组织的博文,我们观察到该组织的目标是位于中东地区的政府实体。在这篇文章中,我们对通...

6920
来自专栏逢魔安全实验室

渗透基础-SSH后门分析总结

? ? 对于UNIX系统来说,ssh服务端作为最广泛应用的远程管理服务并且有一定对外开放的必然性,必然引起黑客关注,所以ssh类的后门也是uni...

83140
来自专栏FreeBuf

浅谈简易端口扫描威胁感知系统的设计与实现

一 前言: 正所谓善守者不知其所攻,善攻者不知其所守。网络攻防本来就是一场看不见硝烟的对抗。 本人设计的这套端口蜜罐检测程序,是在总结了大量的APT攻击方法和思...

47070
来自专栏FreeBuf

没有外部工具,如何快速发现Windows中毒了

从事应急响应工作几年之后,我认为总结一份快速确定计算机是否被感染木马和病毒的“方法论”是十分有用的。这显然不是那么简单的,可我却发现感染几乎存在于所有不复杂的攻...

22650
来自专栏FreeBuf

运维安全 | 等保视角下的SSH加固之旅

前段时间在搞等保,根据等保的安全要求,需要对公司的服务器进行安全加固,其中就涉及到对SSH Server的加固。正好最近有空,笔者将加固过程的一些经验,总结分享...

34430
来自专栏kevin-blog

介绍一个安卓远控木马

安全10月24日讯 新型安卓远程管理工具“AhMyth Android RAT”的源码出现在GitHub上,用户可在GitHub下载并测试这款RAT。今天就体验...

6.4K10
来自专栏小文博客

Android平台渗透测试套件zANTI v2.5发布(含详细说明)

53220
来自专栏安恒信息

Hacking Team 病毒测试环境分析

0x00 前言 安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test...

40450
来自专栏IT技术精选文摘

窥探Nginx内部实现:如何为性能和规模进行设计

NGINX在网络性能方面处于领先地位,这一切都是由于软件的设计方式。尽管许多Web服务器和应用程序服务器使用简单的线程或基于进程的架构,但NGINX具有复杂的事...

21750
来自专栏腾讯云安全的专栏

避免 MongoDB 被勒索详解,腾讯云上更安全

29940

扫码关注云+社区

领取腾讯云代金券