數(shù)據(jù)庫安全措施與網(wǎng)站安全實踐略有不同。前者涉及物理措施、軟件解決方案,乃至員工安全教育。不過,保護(hù)站點(diǎn)免遭網(wǎng)絡(luò)罪犯利用潛在攻擊途徑入侵也同樣重要。
本文謹(jǐn)列出10個數(shù)據(jù)庫安全優(yōu)秀實踐,幫助讀者加強(qiáng)敏感數(shù)據(jù)安全。
1.部署物理數(shù)據(jù)庫安全措施
數(shù)據(jù)中心或自有服務(wù)器容易遭遇外部人甚或惡意內(nèi)部人的物理攻擊。只要能夠接觸實體數(shù)據(jù)庫服務(wù)器,網(wǎng)絡(luò)罪犯就能盜取數(shù)據(jù)、損壞數(shù)據(jù),甚至植入惡意軟件獲取遠(yuǎn)程訪問權(quán)。如果缺乏額外的安全措施,我們就難以檢測此類攻擊,因為它們能夠繞過數(shù)字安全規(guī)程。
在選擇Web托管服務(wù)時,一定要確保服務(wù)提供商一貫重視安全,過往安全記錄良好。同時,最好避免選擇免費(fèi)的托管服務(wù),因為可能不安全。
如果自行保管服務(wù)器,強(qiáng)烈建議增配攝像頭、鎖具等物理安全措施,并配備安保人員。此外,還應(yīng)保留全部物理服務(wù)器訪問記錄,并只允許特定人員接觸物理服務(wù)器,從而緩解惡意行為風(fēng)險。
2.隔離數(shù)據(jù)庫服務(wù)器
需要采用專門的安全措施來保護(hù)數(shù)據(jù)庫免遭網(wǎng)絡(luò)攻擊。而將數(shù)據(jù)與網(wǎng)站放到同一臺服務(wù)器上,則是將數(shù)據(jù)暴露給了針對網(wǎng)站的各種攻擊方法。
假設(shè)你運(yùn)營著一家在線商店,并且把你的網(wǎng)站、非敏感數(shù)據(jù)和敏感數(shù)據(jù)都放在同一臺服務(wù)器上。沒錯,你確實可以利用托管服務(wù)供應(yīng)商提供的安全措施,以及電子商務(wù)平臺的安全功能來防止網(wǎng)絡(luò)攻擊和欺詐。但是,你的敏感數(shù)據(jù)就難以抵御通過網(wǎng)站和在線商店平臺實施的攻擊了。無論是網(wǎng)站還是在線商店平臺,網(wǎng)絡(luò)罪犯但凡能攻破其中一個,就可以訪問你的數(shù)據(jù)庫。
想要緩解這些安全風(fēng)險,那就將你的數(shù)據(jù)庫服務(wù)器與其他一切隔離開來。此外,采用實時安全信息與事件管理(SIEM),這是專門用于數(shù)據(jù)庫安全的,可供企業(yè)在遭遇入侵時立即采取行動。
3.設(shè)置HTTPS代理服務(wù)器
從工作站發(fā)出的請求在訪問數(shù)據(jù)庫服務(wù)器之前會經(jīng)過代理服務(wù)器的評估。這樣一來,代理服務(wù)器就像守門員一樣攔住非授權(quán)請求。
最常見的代理服務(wù)器基于HTTP。然而,如果你要處理敏感信息,例如密碼、支付信息或個人信息,那就設(shè)置HTTPS服務(wù)器。這樣穿過代理服務(wù)器的數(shù)據(jù)就也是加密的,能夠多一層安全。
4.避免使用默認(rèn)網(wǎng)絡(luò)端口
TCP和UDP協(xié)議用在服務(wù)器間傳輸數(shù)據(jù)的時候。設(shè)置這些協(xié)議時往往會自動使用默認(rèn)網(wǎng)絡(luò)端口。由于太常見了,暴力破解攻擊就經(jīng)常使用默認(rèn)端口。
如果你不使用默認(rèn)端口,盯上你服務(wù)器的網(wǎng)絡(luò)攻擊者就必須嘗試不同端口號,不斷試錯。這額外的工作量很是勸退,攻擊者不會再在你身上耗時間。
不過,分配新端口的時候,記得查一下互聯(lián)網(wǎng)號碼分配機(jī)構(gòu)(IANA)的端口注冊表,確保新端口沒被其他服務(wù)占用。
5.使用實時數(shù)據(jù)庫監(jiān)測
主動掃描數(shù)據(jù)庫檢查入侵嘗試可以強(qiáng)化安全,也有助于應(yīng)對潛在攻擊。
可以使用Tripwire的實時文件完整性監(jiān)測(FIM)記錄數(shù)據(jù)庫服務(wù)器上所有行為,發(fā)現(xiàn)異常及時報警。此外,還可以設(shè)置升級規(guī)程應(yīng)對潛在攻擊,讓敏感數(shù)據(jù)更加安全。
另一個值得考慮的方面是定期審計數(shù)據(jù)庫安全并組織網(wǎng)絡(luò)安全滲透測試。這些措施有助于發(fā)現(xiàn)潛在安全漏洞,在數(shù)據(jù)泄露發(fā)生之前打上補(bǔ)丁。
6.采用數(shù)據(jù)庫防火墻和Web應(yīng)用防火墻
防火墻是攔住惡意訪問的第一道防線。除網(wǎng)站防護(hù)措施之外,還應(yīng)安裝防火墻來保護(hù)數(shù)據(jù)庫免遭不同攻擊方式侵害。
有三種類型的防火墻常用于保護(hù)網(wǎng)絡(luò)安全:
包過濾防火墻
有狀態(tài)包檢測(SPI)
代理服務(wù)器防火墻
防火墻的配置要確保正確覆蓋每個安全漏洞。另外,保持更新防火墻也是必需的,因為這樣才能保護(hù)站點(diǎn)和數(shù)據(jù)庫能抵御新型網(wǎng)絡(luò)攻擊方法。
7.部署數(shù)據(jù)加密協(xié)議
數(shù)據(jù)加密不僅能保護(hù)你的商業(yè)秘密,也是傳輸和存儲敏感用戶信息的重要防護(hù)措施。
設(shè)置數(shù)據(jù)加密協(xié)議可以降低數(shù)據(jù)泄露風(fēng)險。換句話說,即使網(wǎng)絡(luò)罪犯拿到了你的數(shù)據(jù),這些信息也是安全的。
8.創(chuàng)建定期數(shù)據(jù)庫備份
創(chuàng)建網(wǎng)站備份算是常見操作了,但定期創(chuàng)建數(shù)據(jù)庫備份也很重要。這么做可以緩解因惡意攻擊或數(shù)據(jù)損壞而造成的敏感信息丟失風(fēng)險。
在Windows和Linux等常見服務(wù)器上創(chuàng)建數(shù)據(jù)庫備份的方法可在官網(wǎng)上找到。此外,要想進(jìn)一步強(qiáng)化安全,最好在單獨(dú)的服務(wù)器上加密并存儲備份。這樣,即使主數(shù)據(jù)庫服務(wù)器被黑或無法訪問,你的數(shù)據(jù)也可以恢復(fù)。
9.保持應(yīng)用更新
研究顯示,90%的應(yīng)用都包含過時軟件組件。而且,對WordPress插件的分析揭示,17,383個插件兩年來都沒更新過,13,655個插件三年沒更新過,3,990個插件甚至長達(dá)七年未更新。你用來管理數(shù)據(jù)庫甚至運(yùn)營網(wǎng)站的軟件就是這些過時組件的集合,其間蘊(yùn)含的巨大安全風(fēng)險可想而知。
雖然你應(yīng)該只用經(jīng)驗證的可信數(shù)據(jù)庫管理軟件,但也應(yīng)該保持更新,在有可用補(bǔ)丁時及時安裝。同樣的更新原則也適用于小部件、插件和第三方應(yīng)用,并且要加上一條建議:不要使用那些沒接收定期更新的。完全離它們遠(yuǎn)遠(yuǎn)的。
10.采用強(qiáng)用戶身份驗證
Verizon最新的研究揭示,80%的數(shù)據(jù)泄露事件由被盜密碼導(dǎo)致。這表明單靠密碼可不是什么良好的安全措施,因為不會設(shè)置強(qiáng)密碼的人太多了。
想要對抗密碼設(shè)置中的人為失誤問題,以及給你的數(shù)據(jù)庫安全增添另一層防護(hù),不妨設(shè)立多因子身份驗證過程。(該方法并不完美。)這樣即使登錄憑證被盜,網(wǎng)絡(luò)罪犯也很難繞過這一安全規(guī)程。
此外,僅允許經(jīng)驗證的IP地址訪問數(shù)據(jù)庫也可以進(jìn)一步緩解潛在數(shù)據(jù)泄露風(fēng)險。盡管IP地址可被復(fù)制或屏蔽,但這好歹也要求攻擊者的技術(shù)水平要達(dá)到一定門檻,而且也更費(fèi)事了不是?
強(qiáng)化數(shù)據(jù)庫安全,緩解數(shù)據(jù)泄露風(fēng)險
保護(hù)數(shù)據(jù)庫免受惡意攻擊侵害是一項系統(tǒng)性工作,囊括從服務(wù)器物理位置到人為失誤風(fēng)險緩解等諸多方面。
即使數(shù)據(jù)泄露越來越頻繁,維護(hù)健康的安全規(guī)程也能降低遭攻擊的風(fēng)險,幫助避免真被攻擊者盜得數(shù)據(jù)。
