數據庫安(ān)全層

數據庫安(ān)全性分(fēn)為(wèi)三個主要層：

• 數據庫層
• 接入層
• 周邊層

下表提供了所有(yǒu)三個安(ān)全級别的說明：

數據庫安(ān)全最佳實踐

保護數據庫免受威脅需要結合采取不同的措施。這裏總共有(yǒu) 15 個最有(yǒu)效的數據庫安(ān)全最佳實踐來保護您的存儲系統。

1. 确保物(wù)理(lǐ)數據庫安(ān)全

無論數據庫服務(wù)器位于現場服務(wù)器機房還是雲提供商(shāng)的數據中(zhōng)心，設備都必須駐留在安(ān)全、氣候受控的環境中(zhōng)。

如果您依賴第三方提供商(shāng)進行托管，則您将外包與物(wù)理(lǐ)安(ān)全相關的所有(yǒu)措施。如果您管理(lǐ)本地數據中(zhōng)心，請通過以下方式保護數據庫服務(wù)器：

• 鎖。

• 雲端視頻監控。

• 專職保安(ān)人員。

• 不間斷電(diàn)源（UPS）。

• 消防系統。

• 适當的冷卻系統。

記錄對服務(wù)器的所有(yǒu)物(wù)理(lǐ)訪問，并确保隻有(yǒu)少數人有(yǒu)權配置設備。

2.使用(yòng)2FA和MFA

到 2022 年，超過 67% 的數據洩露事件至少涉及一組洩露的憑證。您不應使用(yòng)僅需要密碼即可(kě)登錄的有(yǒu)風險的單因素身份驗證 (SFA) 方法，而應使用(yòng)：

• 默認用(yòng)戶的雙因素身份驗證 (2FA)。

• 管理(lǐ)員帳戶的多(duō)重身份驗證 (MFA)。

對于最敏感的數據庫來說，對所有(yǒu)用(yòng)戶使用(yòng) MFA 是一個流行的選擇。您還應該通過僅允許經過驗證的IP 地址訪問文(wén)件來增強數據庫安(ān)全性（增強數據庫保護的多(duō)種端點安(ān)全措施之一）。

重要提示：使用(yòng) 2FA 和 MFA 并不能(néng)消除對難以破解的密碼的需要。了解如何創建易于記憶且不易猜測的強密碼。

3. 強制執行最小(xiǎo)特權原則

有(yǒu)權訪問數據庫的實際最小(xiǎo)用(yòng)戶數。有(yǒu)權訪問的人越少，保護文(wén)件就越容易。

将相同的原則應用(yòng)于各個數據庫元素以及員工(gōng)可(kě)以對文(wén)件執行的操作(zuò)。每個帳戶隻能(néng)訪問所需的表和操作(zuò)（例如 ｓｅｌｅｃｔ 或 ｉｎｓｅｒｔ）。同樣的邏輯也适用(yòng)于非人類賬戶，包括：

• 守護進程。

• 服務(wù)帳戶和主體(tǐ)。

• 應用(yòng)程序用(yòng)戶帳戶。

您還應該依賴零信任安(ān)全性。每次有(yǒu)人發出訪問請求時，該模型都會驗證身份和設備合規性。

4. 防止SQL注入

SQL注入主要有(yǒu)兩種：

• 經典 SQLi（黑客向數據庫發送命令并從輸出中(zhōng)收集結果）。

• 盲目 SQLi（黑客提出正确或錯誤的問題并評估應用(yòng)程序響應以獲得答(dá)案）。

您的團隊應采取以下措施停止這兩種類型的注射：

• 參數化查詢。

• 輸入驗證。

• 用(yòng)戶輸入的淨化。

• Web 應用(yòng)程序防火牆 (WAF)。

注意：我們關于SQL 注入的文(wén)章深入探讨了如何識别和有(yǒu)效防止此類網絡攻擊。

5.使用(yòng)代理(lǐ)服務(wù)器

代理(lǐ)服務(wù)器在将請求發送到數據庫服務(wù)器之前檢查請求。如果有(yǒu)人發送虛假流量或惡意請求（即 SQL 注入或受勒索軟件感染的可(kě)執行文(wén)件），代理(lǐ)服務(wù)器将包含影響并隔離威脅。

雖然有(yǒu)些公(gōng)司使用(yòng)基于 HTTP 的代理(lǐ)服務(wù)器，但您應該設置 HTTPS 服務(wù)器來保護包含敏感信息的數據庫。HTTPS 服務(wù)器對所有(yǒu)數據進行加密，為(wèi)數據庫提供了額外的安(ān)全層。

6. 維護數據清單（或地圖）

存儲大量數據的公(gōng)司通常不知道文(wén)件所在的确切位置以及如何保護它們的安(ān)全。為(wèi)了避免這種情況，請維護一份詳細的清單，其中(zhōng)注明以下内容：

• 每個數據集駐留在哪裏（以及處于什麽狀态）。

• 哪些員工(gōng)、帳戶和應用(yòng)程序可(kě)以訪問文(wén)件。

• 您使用(yòng)什麽措施來保護個人數據集。

清單有(yǒu)助于更好地管理(lǐ)您的數據庫安(ān)全工(gōng)作(zuò)，還有(yǒu)助于：

• 風險管理(lǐ)。

• 業務(wù)影響分(fēn)析 (BIA)。

• 監管合規性。

• 修補優先級。

或者，創建數據地圖以實現與清單相同的目的（或同時使用(yòng)兩者）。

此外，定期進行訪問審查，以确保随着團隊的成長(cháng)和啓動新(xīn)項目，數據庫權限沒有(yǒu)缺陷。這些審查使安(ān)全團隊能(néng)夠删除舊的和不必要的權限。

7. 保持數據庫服務(wù)器和 DMS 平台最新(xīn)

始終使用(yòng)最新(xīn)版本的 DMS。一旦供應商(shāng)發布補丁（服務(wù)包、安(ān)全修補程序、累積更新(xīn)等），請立即應用(yòng)它們，以确保犯罪分(fēn)子沒有(yǒu)時間利用(yòng)漏洞。

保持 DMS 最新(xīn)的另一個好處是可(kě)以提高數據庫性能(néng)的穩定性。

良好的補丁衛生也适用(yòng)于所有(yǒu)有(yǒu)權訪問數據庫的應用(yòng)程序和系統。如果具(jù)有(yǒu)過時且易受攻擊的插件的應用(yòng)程序可(kě)以直接訪問文(wén)件，那麽高級别的數據庫安(ān)全性将無濟于事。

8.充分(fēn)利用(yòng)加密 

使用(yòng)靜态加密來保護數據免遭盜竊、網絡間諜和洩露。加密使黑客和惡意内部人員（即沒有(yǒu)解密密鑰的任何人）都無法讀取文(wén)件。

您還應該使用(yòng)傳輸加密來保護文(wén)件在不同系統之間移動時的安(ān)全。确保與數據庫的所有(yǒu)連接都使用(yòng) TLS 加密。

重要提示：在開始加密業務(wù)數據之前，請了解密鑰管理(lǐ)和最佳實踐。

9.多(duō)次登錄嘗試後自動鎖定

如果用(yòng)戶多(duō)次輸錯密碼，數據庫服務(wù)器必須自動鎖定該帳戶，防止其再次嘗試登錄。您可(kě)以：

• 将帳戶鎖定預定的時間段。 

• 指示用(yòng)戶聯系安(ān)全團隊以重新(xīn)獲得對數據庫的訪問權限。

有(yǒu)人多(duō)次輸入錯誤的密碼是基于密碼的攻擊的迹象。限制攻擊者在這種情況下的嘗試次數對于将他(tā)們排除在數據庫之外至關重要。

10.隔離數據庫

避免将數據庫與應用(yòng)程序（甚至其他(tā)數據庫）保留在同一服務(wù)器上。雖然将所有(yǒu)内容都保存在一台服務(wù)器上更容易、更便宜，但這種策略會産(chǎn)生各種漏洞，使數據面臨風險。

作(zuò)為(wèi)額外的預防措施，請使用(yòng)軟件定義的邊界 (SDP)。此措施隔離數據庫，以防止其出現為(wèi)任何特定用(yòng)戶網絡的一部分(fēn)。這樣，入侵者就很(hěn)難通過橫向移動來定位和訪問數據庫。

11. 運行滲透測試

雇用(yòng)有(yǒu)道德(dé)的黑客對您的數據庫進行滲透測試。不要讓内部團隊提前了解測試，而是看看員工(gōng)和數據庫如何經受住真實的攻擊模拟。

偶爾執行滲透測試有(yǒu)助于發現團隊在無壓力分(fēn)析過程中(zhōng)可(kě)能(néng)忽略的漏洞。此類測試對于所有(yǒu)類型數據庫的安(ān)全至關重要。此外，通過定期漏洞評估來補充滲透測試的發現。

12.創建定期數據備份

對數據庫中(zhōng)的所有(yǒu)文(wén)件執行定期數據備份。遵循 3-2-1 備份規則：

• 創建數據的三個副本。

• 使用(yòng)兩種不同類型的存儲。

• 将一份副本存儲在異地位置（例如，在雲中(zhōng)）。

如果數據庫中(zhōng)的文(wén)件出現任何問題（不需要的編輯、意外删除、惡意軟件加密數據等），您可(kě)以從最新(xīn)的備份中(zhōng)恢複信息并避免數據丢失。通過以下方式确保恢複過程快速且無錯誤：

• 定期測試可(kě)确保您備份的數據不會損壞。 

• 災難恢複計劃概述了數據發生問題時團隊應采取的具(jù)體(tǐ)步驟。

注意：作(zuò)為(wèi)額外的預防措施，請使用(yòng)不可(kě)變的備份，這是公(gōng)司應對勒索軟件威脅的最有(yǒu)效方法之一。

13.使用(yòng)實時數據庫監控

所有(yǒu)主要數據庫平台都具(jù)有(yǒu)内置的監控和日志(zhì)記錄功能(néng)。使用(yòng)這些工(gōng)具(jù)來保存日志(zhì)：

• 誰以及何時訪問數據庫。

• 數據庫中(zhōng)所有(yǒu)與數據相關的活動（編輯、删除、添加新(xīn)信息等）。

• 登錄嘗試失敗。

• 連接到數據庫的所有(yǒu)設備。

• 為(wèi)數據庫活動提供附加上下文(wén)的信息（例如，網絡連接、身份驗證、字節輸入/輸出、内存使用(yòng)情況等）。

請記住，您對數據庫洩露的反應越快，您限制爆炸半徑的時間就越多(duō)。使用(yòng)以下方法來加快對威脅的反應：

• 文(wén)件完整性監控 (FIM)： FIM 記錄在數據庫服務(wù)器上執行的所有(yǒu)操作(zuò)。當 FIM 檢測到可(kě)疑更改時，平台會立即向安(ān)全團隊發送警報。

• 安(ān)全信息和事件監控 (SIEM)：實時 SIEM 可(kě)幫助安(ān)全團隊在發生數據庫洩露企圖時立即采取行動。

設置基于行為(wèi)的監控規則，幫助檢測異常用(yòng)戶活動，例如進行過多(duō)編輯或在可(kě)疑時間登錄。

14. 制定嚴格的控制和政策

制定嚴格的全公(gōng)司政策，規定團隊使用(yòng)和管理(lǐ)數據庫的方式。定義并記錄以下三個規則集：

• 管理(lǐ)安(ān)裝(zhuāng)、更改和配置管理(lǐ)的管理(lǐ)控件。

• 管理(lǐ)訪問、加密和屏蔽規則的預防性控制。

• 檢測控制控制團隊如何監控數據庫活動并使用(yòng)數據丢失防護工(gōng)具(jù)。

将您的數據庫安(ān)全策略與其他(tā)網絡安(ān)全策略（例如，您的雲安(ān)全策略）集成。

通過組織定期意識培訓計劃，确保每個人都了解您的政策。此類活動也是向員工(gōng)介紹最新(xīn)網絡安(ān)全最佳實踐和威脅的機會。

15.使用(yòng)防火牆監控數據庫流量

使用(yòng)防火牆保護您的數據庫服務(wù)器免受基于流量的威脅。防火牆掃描所有(yǒu)傳入和傳出流量是否存在惡意數據包的迹象，并阻止數據庫啓動不必要的出站連接。

正确配置防火牆以避免安(ān)全漏洞。此外，請确保團隊使防火牆保持最新(xīn)狀态并安(ān)裝(zhuāng)最新(xīn)補丁，以跟上潛在的黑客攻擊。

大多(duō)數重視安(ān)全性的公(gōng)司都會部署不止一種類型的防火牆。在大多(duō)數情況下，這四種足以保護您的數據庫免受所有(yǒu)基于網絡的威脅：

• 包過濾防火牆。

• 狀态數據包檢查。

• 代理(lǐ)服務(wù)器防火牆。

• Web 應用(yòng)程序防火牆 (WAF)。

注意：了解不同類型的防火牆，并了解哪些最适合數據庫安(ān)全需求。

結論

實施上述數據庫安(ān)全最佳實踐對于保護業務(wù)數據至關重要。如果沒有(yǒu)這些預防措施，公(gōng)司就會對日常運營和利潤承擔太多(duō)不必要的風險。