數(shù)據(jù)庫安全包括用于保護數(shù)據(jù)庫管理系統(tǒng)免受惡意網(wǎng)絡攻擊和非法使用的各種措施。數(shù)據(jù)庫安全程序旨在不僅保護數(shù)據(jù)庫中的數(shù)據(jù),而且保護數(shù)據(jù)管理系統(tǒng)本身以及訪問它的每個應用程序免受濫用、損壞和入侵。數(shù)據(jù)庫安全包括在數(shù)據(jù)庫環(huán)境中建立安全性的工具、流程和方法。
數(shù)據(jù)庫安全威脅
許多軟件漏洞、錯誤配置或誤用或粗心模式都可能導致違規(guī)。以下是一些最知名的數(shù)據(jù)庫安全網(wǎng)絡威脅的原因和類型。
內(nèi)部威脅
內(nèi)部威脅是來自以下三個來源之一的安全風險,每個來源都具有訪問數(shù)據(jù)庫的特權(quán)方法:
- 懷有惡意的內(nèi)幕人士
- 組織內(nèi)的疏忽大意的人,通過粗心的行動將數(shù)據(jù)庫暴露在攻擊之下
- 通過社會工程或其他方法獲得憑證,或獲得數(shù)據(jù)庫憑證訪問權(quán)限的局外人
內(nèi)部威脅是數(shù)據(jù)庫安全漏洞的最典型原因之一,它經(jīng)常發(fā)生,因為許多員工已被授予特權(quán)用戶訪問權(quán)限。
人為錯誤
弱密碼、密碼共享、意外刪除或損壞數(shù)據(jù)以及其他不良用戶行為仍然是報告的近一半數(shù)據(jù)泄露事件的原因。
數(shù)據(jù)庫軟件漏洞利用
攻擊者不斷嘗試隔離和定位軟件中的漏洞,而數(shù)據(jù)庫管理軟件是一個非常有價值的目標。每天都有新的漏洞被發(fā)現(xiàn),所有開源數(shù)據(jù)庫管理平臺和商業(yè)數(shù)據(jù)庫軟件廠商都會定期發(fā)布安全補丁。但是,如果您不快速使用這些補丁,您的數(shù)據(jù)庫可能會受到攻擊。即使您確實按時應用補丁,也總是存在零日攻擊的風險,即攻擊者發(fā)現(xiàn)漏洞,但尚未被數(shù)據(jù)庫供應商發(fā)現(xiàn)和修補。
SQL/NoSQL 注入攻擊
特定于數(shù)據(jù)庫的威脅涉及在數(shù)據(jù)庫查詢中使用任意非 SQL 和 SQL 攻擊字符串。通常,這些查詢是作為 Web 應用程序表單的擴展而創(chuàng)建的,或者是通過 HTTP 請求接收的。如果開發(fā)人員不遵守安全編碼實踐,并且組織不進行定期漏洞測試,任何數(shù)據(jù)庫系統(tǒng)都容易受到這些攻擊。
緩沖區(qū)溢出攻擊
當進程試圖將大量數(shù)據(jù)寫入固定長度的內(nèi)存塊時,會發(fā)生緩沖區(qū)溢出,超過了允許的容量。攻擊者可能會使用保存在相鄰內(nèi)存地址中的多余數(shù)據(jù)作為發(fā)起攻擊的起點。
拒絕服務 (DoS/DDoS) 攻擊
在拒絕服務 (DoS) 攻擊中,網(wǎng)絡犯罪分子使用大量虛假請求壓倒目標服務(在本例中為數(shù)據(jù)庫服務器)。結(jié)果是服務器無法執(zhí)行來自實際用戶的真實請求,并且經(jīng)常崩潰或變得不穩(wěn)定。
在分布式拒絕服務攻擊(DDoS) 中,大量計算機生成虛假流量,參與攻擊者控制的僵尸網(wǎng)絡。這會產(chǎn)生非常大的流量,如果沒有高度可擴展的防御架構(gòu),就很難停止。基于云的DDoS 保護服務可以動態(tài)擴展以應對非常大的DDoS 攻擊。
惡意軟件
惡意軟件是為利用漏洞或?qū)?shù)據(jù)庫造成損害而編寫的軟件。惡意軟件可以通過連接到數(shù)據(jù)庫網(wǎng)絡的任何端點設備到達。惡意軟件保護在任何端點上都很重要,尤其是在數(shù)據(jù)庫服務器上,因為它們具有很高的價值和敏感性。
不斷發(fā)展的 IT 環(huán)境
不斷發(fā)展的 IT 環(huán)境使數(shù)據(jù)庫更容易受到威脅。以下趨勢可能導致對數(shù)據(jù)庫的新型攻擊,或者可能需要新的防御措施:
- 不斷增長的數(shù)據(jù)量——幾乎所有組織的存儲、數(shù)據(jù)捕獲和處理都呈指數(shù)級增長。任何數(shù)據(jù)安全實踐或工具都必須具有高度可擴展性,才能滿足遙遠和近期的需求。
- 分布式基礎架構(gòu)——網(wǎng)絡環(huán)境越來越復雜,尤其是當企業(yè)將工作負載轉(zhuǎn)移到混合云或多云架構(gòu)時,這使得安全解決方案的部署、管理和選擇變得更加困難。
- 越來越嚴格的監(jiān)管要求——全球監(jiān)管合規(guī)環(huán)境變得越來越復雜,因此遵守所有規(guī)定變得更具挑戰(zhàn)性。
- 網(wǎng)絡安全技能短缺——全球缺乏熟練的網(wǎng)絡安全專業(yè)人員,組織發(fā)現(xiàn)很難填補安全角色。這會使保護包括數(shù)據(jù)庫在內(nèi)的關(guān)鍵基礎設施變得更加困難。
如何保護您的數(shù)據(jù)庫服務器?
數(shù)據(jù)庫服務器是運行數(shù)據(jù)庫的物理機或虛擬機。保護數(shù)據(jù)庫服務器,也稱為“加固”,是一個包括物理安全、網(wǎng)絡安全和安全操作系統(tǒng)配置的過程。
確保物理數(shù)據(jù)庫安全
如果您的數(shù)據(jù)庫包含敏感數(shù)據(jù),請避免為 Web 應用程序和數(shù)據(jù)庫應用程序共享服務器。盡管將您的網(wǎng)站和數(shù)據(jù)庫一起托管在托管服務提供商上可能更便宜、更容易,但您將數(shù)據(jù)的安全性交給了其他人。如果您確實依賴網(wǎng)絡托管服務來管理您的數(shù)據(jù)庫,您應該確保它是一家擁有強大安全記錄的公司。由于可能缺乏安全性,最好不要使用免費托管服務。
如果您在本地數(shù)據(jù)中心管理數(shù)據(jù)庫,請記住,您的數(shù)據(jù)中心也容易受到來自外部或內(nèi)部威脅的攻擊。確保您有物理安全措施,包括您的物理設施中的鎖、攝像頭和安全人員。對物理服務器的任何訪問都必須記錄下來,并且只授予經(jīng)過授權(quán)的個人。此外,不要將數(shù)據(jù)庫備份留在可公開訪問的位置,例如臨時分區(qū)、Web 文件夾或不安全的云存儲桶。
鎖定帳戶和權(quán)限
讓我們考慮 Oracle 數(shù)據(jù)庫服務器。安裝數(shù)據(jù)庫后,Oracle 數(shù)據(jù)庫配置助手 (DBCA) 會自動過期并鎖定大部分默認數(shù)據(jù)庫用戶帳戶。如果您手動安裝 Oracle 數(shù)據(jù)庫,則不會發(fā)生這種情況,并且默認特權(quán)帳戶不會過期或鎖定。默認情況下,他們的密碼與用戶名相同。攻擊者將首先嘗試使用這些憑據(jù)連接到數(shù)據(jù)庫。確保為數(shù)據(jù)庫服務器上的每個特權(quán)帳戶配置一個強而唯一的密碼至關(guān)重要。如果不需要帳戶,則應將其過期并鎖定。對于其余帳戶,必須將訪問權(quán)限限制在所需的絕對最小值。每個帳戶只能訪問用戶所需的表和操作(例如,SELECT 或 INSERT)。避免創(chuàng)建可以訪問數(shù)據(jù)庫中每個表的用戶帳戶。
定期修補數(shù)據(jù)庫服務器
確保補丁保持最新。有效的數(shù)據(jù)庫補丁管理是一項至關(guān)重要的安全實踐,因為攻擊者正在積極尋找數(shù)據(jù)庫中的新安全漏洞,并且每天都會出現(xiàn)新的病毒和惡意軟件。及時部署最新版本的數(shù)據(jù)庫服務包、關(guān)鍵安全修補程序和累積更新將提高數(shù)據(jù)庫性能的穩(wěn)定性。
禁用公共網(wǎng)絡訪問
組織將其應用程序存儲在數(shù)據(jù)庫中。在大多數(shù)實際場景中,最終用戶不需要直接訪問數(shù)據(jù)庫。因此,除非您是托管服務提供商,否則您應該阻止對數(shù)據(jù)庫服務器的所有公共網(wǎng)絡訪問。理想情況下,組織應該為遠程管理員設置網(wǎng)關(guān)服務器(VPN 或 SSH 隧道)。
加密所有文件和備份
不管你的防御有多堅固,黑客總是有可能滲透到你的系統(tǒng)中。然而,攻擊者并不是對數(shù)據(jù)庫安全的唯一威脅。您的員工也可能對您的業(yè)務構(gòu)成風險。惡意或粗心的內(nèi)部人員總是有可能訪問他們無權(quán)訪問的文件。加密您的數(shù)據(jù)會使攻擊者和員工都無法讀取它。如果沒有加密密鑰,他們就無法訪問它,這為不受歡迎的入侵提供了最后一道防線。加密所有重要的應用程序文件、數(shù)據(jù)文件和備份,使未經(jīng)授權(quán)的用戶無法讀取您的關(guān)鍵數(shù)據(jù)。
數(shù)據(jù)庫安全最佳實踐
您可以使用以下幾個最佳實踐來提高敏感數(shù)據(jù)庫的安全性。
主動管理密碼和用戶訪問
如果您有一個大型組織,您必須考慮通過密碼管理或訪問管理軟件自動化訪問管理。這將為允許的用戶提供一個短期密碼,該密碼具有他們每次需要訪問數(shù)據(jù)庫時所需的權(quán)限。它還跟蹤在該時間范圍內(nèi)完成的活動,并阻止管理員共享密碼。雖然管理員可能覺得共享密碼很方便,但是這樣做幾乎不可能實現(xiàn)有效的數(shù)據(jù)庫責任和安全性。此外,建議采取以下安全措施:
- 必須強制使用強密碼
- 密碼哈希必須加鹽并加密存儲
- 多次登錄嘗試后必須鎖定帳戶
- 如果員工轉(zhuǎn)移到不同的角色、離開公司或不再需要相同級別的訪問權(quán)限,則必須定期審查和停用帳戶
測試您的數(shù)據(jù)庫安全性
一旦建立了數(shù)據(jù)庫安全基礎設施,就必須針對真正的威脅對其進行測試。對您自己的數(shù)據(jù)庫進行審計或執(zhí)行滲透測試將幫助您進入網(wǎng)絡犯罪分子的思維模式并隔離您可能忽略的任何漏洞。為確保測試全面,請讓道德黑客或公認的滲透測試服務參與您的安全測試。滲透測試人員提供列出數(shù)據(jù)庫漏洞的大量報告,快速調(diào)查和修復這些漏洞非常重要。每年至少在關(guān)鍵數(shù)據(jù)庫系統(tǒng)上運行一次滲透測試。
使用實時數(shù)據(jù)庫監(jiān)控
持續(xù)掃描您的數(shù)據(jù)庫以查找違規(guī)企圖可提高您的安全性,并讓您對可能的攻擊做出快速反應。特別是,文件完整性監(jiān)控(FIM) 可以幫助您記錄在數(shù)據(jù)庫服務器上執(zhí)行的所有操作,并提醒您潛在的違規(guī)行為。當 FIM 檢測到重要數(shù)據(jù)庫文件發(fā)生更改時,請確保安全團隊收到警報并能夠調(diào)查和響應威脅。
使用 Web 應用程序和數(shù)據(jù)庫防火墻
您應該使用防火墻來保護您的數(shù)據(jù)庫服務器免受數(shù)據(jù)庫安全威脅。默認情況下,防火墻不允許訪問流量。它還需要阻止您的數(shù)據(jù)庫啟動出站連接,除非有特殊原因這樣做。除了使用防火墻保護數(shù)據(jù)庫外,您還必須部署Web 應用程序防火墻(WAF)。這是因為針對 Web 應用程序的攻擊(包括SQL 注入)可用于非法訪問您的數(shù)據(jù)庫。數(shù)據(jù)庫防火墻不會阻止大多數(shù) Web 應用程序攻擊,因為傳統(tǒng)防火墻運行在網(wǎng)絡層,而 Web 應用程序?qū)舆\行在應用程序?qū)樱∣SI 模型的第 7 層)。WAF 在第 7 層運行,能夠檢測惡意 Web 應用程序流量,例如 SQL 注入攻擊,并在它損害您的數(shù)據(jù)庫之前將其阻止。
