雲資料庫安全管控

安全劍客發表於2019-11-05
跨不同平臺和雲端計算提供商託管的資料庫和其他資料儲存設施為網路攻擊者提供了誘人的目標。透過在暗網市場上出售或加以利用竊取的大量資訊,網路攻擊者賺取鉅額資金,其中包括利用個人和財務資訊盜取資金或欺詐和勒索。企業的資料庫洩露行為違反GDPR法規和其他法規(例如即將的《加利福尼亞消費者保護法》),除了資料洩露遭受的損失之外,這些企業還有可能面臨鉅額罰款。

因此,各種規模企業的資料庫經常受到持續的網路攻擊。很多網路入侵通常在更長時間內未被檢測到,這意味著資料庫需要受到被動和主動安全系統的保護。

這說起來容易做起來難。隨著資料庫基礎設施變得越來越複雜,保護其中資訊的措施也變得越來越複雜。企業現在擁有可以託管在任何地方的資料庫(即內部部署資料中心、混合雲、公共雲和私有云),這意味著對於最終的保護需要統一的安全、風險和符合性問題的策略。由於雲端計算環境中缺乏安全性的標準,使其安全保護變得更加複雜。亞馬遜、微軟和其他雲端計算提供商經常使用非常不同的工具和流程,這使得企業在操作多雲設定時更加難以管理。

在尋求保護雲中資料庫的安全性時,企業必須採取通常用於內部部署資料中心的所有安全措施。例如,企業仍然有必要知道那裡有哪些資產,如何管理訪問以及有哪些資料驗證和保護。但是,許多企業組織錯誤地認為自己的雲端計算提供商將會滿足其所有隱私和安全需求,而實際上他們仍然必須自己承擔最終的安全責任。

瞭解自己的資產

隨著組織的成長、合併或收購其他組織,他們的資料庫資產和體系結構可能會擴充套件並變得越來越複雜。它們可以基於任何平臺上的任何位置,但是要確保無縫的業務流程,必須將它們連結在一起。在具有不同本地資料保護和隱私法律的國家中,這可能會構成嚴重的安全威脅,尤其是對於基於或已建立的資料庫而言。如果安全團隊不知道如何配置和保護資料庫,則威脅級別會增加。在更糟糕的情況下,安全團隊甚至根本不會意識到資料庫的存在。

雲資料庫安全管控雲資料庫安全管控

這些資料庫為威脅行為者提供了竊取資料或破壞系統的巨大機會,而且更糟的是,與透過其他受保護程度更高的資產相比,它提供了更深入企業網路的途徑。

企業準確瞭解資產是什麼以及資產的位置對於有效的資料庫安全至關重要。資產監控需要實時地進行細化,安全團隊這樣就可以直接獲得資料或架構的任何變化的警報,這表明其安全系統已經被滲透。

管理訪問

當使用者可以從任何地方訪問文件時,控制可以登入到特定資料庫的人員及其相關特權是必不可少的安全措施。特權使用者訪問需要基於角色的規則和特權的強大訪問管理機制來構建。

操作最低許可權的使用者許可權管理策略可確保使用者只能訪問資源,並執行其工作角色所需的操作。這限制了企業對員工或外部威脅參與者未經授權訪問的暴露。

加強職責隔離是政府和監管機構經常需要的最佳實踐指南。這種方法要求企業證明對敏感資料的有效控制,這不僅是限制風險的一個好方法,而且還是證明合規性的一個有效方法。

為了有效地實施此類策略,企業安全團隊需要對異構資料庫環境中的所有許可權進行監督和控制,以便能夠以一致的方式管理和消除過多的許可權。

這也需要定期進行監視,最好是實時監視。每隔30天左右檢視一次訪問日誌可能會發現可疑活動的跡象,但將為網路攻擊者留下未被發現的很大的時間視窗。精明的攻擊者也有可能竊取安全日誌並對其進行操作以掩蓋其入侵活動。

除了檢測潛在威脅之外,實時監視還可以顯示長期未使用的資料庫帳戶,這表明它們可能不再需要訪問,並且可以取消其特權。這是一個很好的實踐,因為相關人員可能已經更改了工作角色,並且需要訪問不同的資料集,或者根本不需要訪問。如果許可權不隨工作角色而改變,某些工作人員可能有權訪問整個資料庫區域,而他們不再有資格透過過度暴露的資料建立安全問題。當然如果需要,可以很容易地恢復特權。要實現對使用者許可權評估的這種監督和控制,每個資料庫例項可能需要80個工時。因此,企業應該尋求自動化。

資料庫活動監視(DAM)可以自動檢測資料洩露事件或看起來可疑的使用者活動。資料庫活動監視(DAM)解決方案可以自動應用操作,如終止使用者會話或鎖定帳戶,以及觸發其他 操作,例如啟動惡意軟體掃描。此外,該解決方案可用於立即通知安全小組,然後安全小組可以進行調查,並在必要時採取行動,防止任何可能的威脅。

加密和資料驗證

許多雲端計算提供商將為客戶提供執行冗餘資料例項作為備份措施的選擇,這意味著即使伺服器由於任何原因崩潰而不會丟失資訊。儘管這可能很有用,但這些冗餘例項可能與世界其他地方的伺服器位於完全不同的伺服器上。在這種情況下,企業有責任確保每個包含其資料副本的資料庫均已正確配置並保證安全。

這使得了解資料的安全性變得更加不確定。為了消除這種情況,組織應該考慮增加更多的加密和細粒度的資料控制。由於資料不是簡單地在企業網路中儲存、訪問和傳輸,而是透過不同的服務提供商在多個網路中,所有資訊都需要在空閒時、在使用中和在可能的情況下被加密。這意味著,即使有人確實訪問資料庫,它們也不能夠在沒有解密金鑰的情況下讀取資料。

結論

即使在最簡單的同質環境中,保護資料庫安全也是一項複雜但必要的任務,需要一系列安全策略和過程。跨平臺託管、本地部署、在雲中或以混合模型部署的資料庫是一個挑戰,即使大型企業的IT團隊也難以實施有效的保護。使用者越來越多地使用多個雲端計算服務提供商的服務這一事實使情況變得更加複雜。諸如GDPR法規和即將釋出的CCPA等資料安全和隱私法規,也意味著保護基於雲端計算的資料庫比以往任何時候都更加重要。

企業需要對基於雲端計算的資產採取基於風險的方法,評估安全事件的潛在威脅和影響,並將其與對安全的投資進行平衡。

自動化資料庫管理的關鍵要素是保護雲安全的最有效選擇之一。漏洞管理、使用者許可權管理和活動監視的關鍵元素都可以從自動化中受益,從而有助於確保資料的安全性,而不會給資源有限的安全團隊帶來更大的負擔。

原文地址: https://www.linuxprobe.com/cloud-database-security-control.html

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2662655/,如需轉載,請註明出處,否則將追究法律責任。

相關文章