为云中的数据库创建企业级安全性

为云中的数据库创建企业级安全性

跨不同平台和云计算提供商托管的数据库和其他数据存储设施为网络攻击者提供了有吸引力的目标。通过在黑暗的网络市场上出售或使用大量被盗信息,网络攻击者赚取巨额金钱,包括窃取资金或利用个人和财务信息进行欺诈和勒索。企业的数据库披露违反了GDPR法规和其他法规(如即将出台的《加利福尼亚消费者保护法》)。除了数据披露造成的损失外,这些企业还可能面临巨额罚款。

因此,各种规模企业的数据库经常受到持续的网络攻击。许多网络入侵通常在较长一段时间内未被检测到,这意味着数据库需要受到被动和主动安全系统的保护。

说起来容易做起来难。随着数据库基础设施变得越来越复杂,保护其中信息的措施也变得越来越复杂。企业现在拥有可以托管在任何地方的数据库(即内部数据中心、混合云、公共云和私有云),这意味着最终保护需要统一的安全、风险和合规性策略。云计算环境中缺乏安全标准使得其安全保护更加复杂。亚马逊、微软和其他云计算提供商经常使用非常不同的工具和流程,这使得企业在操作云设置时更难管理。

当寻求保护云中数据库的安全时,企业必须采取所有通常用于内部部署数据中心的安全措施。例如,企业仍然需要知道有哪些资产、如何管理访问以及有哪些数据验证和保护。然而,许多企业组织错误地认为他们的云计算提供商将满足他们所有的隐私和安全需求,而事实上他们仍然必须承担最终的安全责任。

了解自己的资产

随着组织的成长、合并或收购其他组织,它们的数据库资产和体系结构可能会扩展并变得越来越复杂。它们可以基于任何平台的任何地方,但是为了确保无缝的业务流程,它们必须链接在一起。在具有不同本地数据保护和隐私法律的国家,这可能会构成严重的安全威胁,尤其是对于基于或创建的数据库。如果安全团队不知道如何配置和保护数据库,威胁级别将会增加。在更糟糕的情况下,安全团队甚至不会意识到数据库的存在。

这些数据库为威胁行为者窃取数据或破坏系统提供了绝佳的机会,更糟糕的是,它们提供了比通过其他更受保护的资产更深入的企业网络的访问。

企业对资产的准确理解及其位置对于有效的数据库安全至关重要。资产监控需要实时改进,以便安全团队可以直接获得数据或体系结构中任何变化的警报,这表明其安全系统已经被渗透。

管理访问

当用户可以从任何地方访问文档时,控制谁可以登录到特定的数据库及其相关权限是一项基本的安全措施。特权用户访问需要基于角色的规则和强大的访问管理机制来构建。

以最低权限运行的用户权限管理策略确保用户只能访问资源并执行其工作角色所需的操作。这限制了企业受到员工或外部威胁参与者未经授权的访问。

加强职责分离是政府和监管机构经常需要的最佳实践指南。这种方法要求企业证明对敏感数据的有效控制,这不仅是限制风险的好方法,也是证明合规性的有效方法。

为了有效实施这些策略,企业安全团队需要监督和控制异构数据库环境中的所有权限,以便能够以一致的方式管理和消除过多的权限。

这也需要定期监控,最好是实时监控。每隔30天左右检查一次访问日志可能会发现可疑活动的迹象,但这将为网络攻击者留下一个很大的时间窗口,让他们无法被发现。智能攻击者也可能窃取安全日志并操纵它们来掩盖其入侵活动。

除了检测潜在威胁之外,实时监控还可以显示长期未使用的数据库帐户,这表明它们可能不再需要访问,并且可以撤销其权限。这是一个很好的实践,因为相关人员可能已经改变了他们的工作角色,需要访问不同的数据集,或者根本不需要访问。如果权限不随职务角色而变化,某些员工可能有权访问整个数据库区域,并且他们不再有资格使用过度暴露的数据创建安全问题。当然,如果需要,特权可以很容易地恢复。为了实现对用户权限评估的这种监视和控制,每个数据库实例可能需要80个工时。因此,企业应该寻求自动化。

数据库活动监控(DAM)可以自动检测数据泄露事件或可疑的用户活动。数据库活动监控(DAM)解决方案可以自动应用终止用户会话或锁定帐户等操作,并触发启动恶意软件扫描等其他脚本操作。此外,该解决方案可以用于立即通知安全团队,然后安全团队以进行调查,并在必要时采取措施防止任何可能的威胁。

加密和数据验证

许多云计算提供商将为客户提供运行冗余数据实例作为备份措施,这意味着即使服务器因任何原因崩溃,也不会丢失信息。虽然这可能很有用,但是这些冗余实例可能位于与世界其他地方的服务器完全不同的服务器上。在这种情况下,企业有责任确保每个包含其数据副本的数据库都得到正确配置和保护。

这使得知道数据的安全性变得更加不确定。为了消除这种情况,组织应该考虑添加更多加密和细粒度数据控制。由于数据不是简单地在企业网络中存储、访问和传输的,而是通过不同的服务提供商在多个网络中存储、访问和传输的,所以在空闲、使用和可能的情况下,所有信息都需要加密。这意味着,即使有人访问数据库,如果没有解密密钥,他们也无法读取数据。

结论

即使在最简单的同构环境中,保护数据库安全也是一项复杂但必要的任务,需要一系列安全策略和过程。跨平台托管、部署在本地、云中或部署在混合模型中的数据库是一项挑战,即使大型企业中的信息技术团队也难以实施有效的保护。用户越来越多地使用多个云计算服务提供商的服务这一事实使情况更加复杂。GDPR法规和即将出台的CCPA法规等数据安全和隐私法规也意味着保护基于云的数据库比以往任何时候都更加重要。

企业需要对基于云计算的资产采用基于风险的方法,评估安全事件的潜在威胁和影响,并在它们与安全投资之间取得平衡。

自动化数据库管理的关键要素是保护云安全的最有效选项之一。漏洞管理、用户权限管理和活动监控的关键要素都可以从自动化中受益,从而有助于确保数据安全,而不会给资源有限的安全团队带来更大的负担。

极牛网精选文章《为云中的数据库创建企业级安全性》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4887.html

(38)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年10月10日 上午9:16
下一篇 2019年10月10日 上午10:10

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部