某程序員“因個人精神和生活等方面原因”,通過VPN登入公司內網,把公司生產環境的數據庫刪了,直接導致上市公司“微盟”(2013.HK)市值蒸發了10億。
我們今天的話題圍繞數據庫安全問題來聊一聊,企業如何有效的進行數據庫安全維護?
企業應該加強其數據庫安全做法。為了更好地抵御現代復雜威脅,應該遵循上述數據庫安全優秀做法:執行最小權限原則、定期審查賬戶訪問權限、監控數據庫活動和加密敏感數據、完善的數據庫備份機制。
1. 最小權限原則,防止再次出現“刪庫跑路”事件
最小權限原則確保僅為用戶提供完成其工作所需的最小權限。這個理論目標與企業數據庫的現實情況之間的差距是很重要的問題。為了對此進行評估,企業應該問自己幾個問題,其中包括:
· 開發人員是否擁有對生產數據庫的完全訪問權限?
· 系統工程師是否可以訪問他們所管理系統中的數據庫?
· 數據庫管理員是否具有對所有數據庫的完全訪問權限?還是僅對其職責范圍的數據庫具有訪問權限?盡可能限制訪問權限是防范內部威脅的重要方法。
2. 定期審核訪問權限
大家都知道,特權提升實際上會影響每個技術企業。隨著技術人員和非技術人員在工作角色和項目分配之間轉換,每次職責更改時,他們都會積累新的權限。由于缺少權限會阻礙工作,因此他們會迅速尋求并批準新的權限。但是,舊的和不必要的權限可能會持續數月或數年,因為這不會對員工的日常工作造成操作問題。但其實這會帶來嚴重影響,如果用戶變成惡意內部人員或淪為賬戶被盜的受害者,這些權限會幫助攻擊者擴大攻擊范圍。
企業應定期對數據庫訪問權限進行定期審查,以確保執行最小特權原則。請特別注意直接訪問數據庫的用戶,因為這種訪問可能會繞過應用程序級安全控制。
3. 監控數據庫活動
數據庫審核曾經會帶來巨大的性能負擔,這導致企業為了運營效率而犧牲日志記錄。幸運的是,那些日子已經過去了,因為現在所有主要的數據庫平臺提供商都提供可擴展的監視和日志記錄功能。
企業應確保已在其系統上啟用數據庫監視,并將日志發送到安全的存儲庫。另外,請確保實施基于行為的監視規則,以監視異常的用戶活動,特別是具有管理訪問權限的用戶。
4. 加密敏感數據
加密無疑是數據庫安全最佳做法。企業應遵循以下三種方式利用強加密來保護其數據庫:
1. 要求所有數據庫使用傳輸層安全加密來保護傳輸中的數據;
2. 加密包含數據存儲的磁盤,以防止其丟失、被盜或處理不當;
3. 用列級加密功能來保護你最敏感的數據以防被監聽
5. 完善的數據備份機制
做好全量備份、增量備份、延遲備份、多機房,異地備份
