數(shù)據(jù)庫安全措施與網(wǎng)站安全實踐略有不同。前者涉及物理措施、軟件解決方案,乃至員工安全教育。不過,保護站點免遭網(wǎng)絡罪犯利用潛在攻擊途徑入侵也同樣重要。
本文謹列出10個數(shù)據(jù)庫安全優(yōu)秀實踐,幫助讀者加強敏感數(shù)據(jù)安全。
1.部署物理數(shù)據(jù)庫安全措施
數(shù)據(jù)中心或自有服務器容易遭遇外部人甚或惡意內(nèi)部人的物理攻擊。只要能夠接觸實體數(shù)據(jù)庫服務器,網(wǎng)絡罪犯就能盜取數(shù)據(jù)、損壞數(shù)據(jù),甚至植入惡意軟件獲取遠程訪問權(quán)。如果缺乏額外的安全措施,我們就難以檢測此類攻擊,因為它們能夠繞過數(shù)字安全規(guī)程。
在選擇Web托管服務時,一定要確保服務提供商一貫重視安全,過往安全記錄良好。同時,最好避免選擇免費的托管服務,因為可能不安全。
如果自行保管服務器,強烈建議增配攝像頭、鎖具等物理安全措施,并配備安保人員。此外,還應保留全部物理服務器訪問記錄,并只允許特定人員接觸物理服務器,從而緩解惡意行為風險。
2.隔離數(shù)據(jù)庫服務器
需要采用專門的安全措施來保護數(shù)據(jù)庫免遭網(wǎng)絡攻擊。而將數(shù)據(jù)與網(wǎng)站放到同一臺服務器上,則是將數(shù)據(jù)暴露給了針對網(wǎng)站的各種攻擊方法。
假設你運營著一家在線商店,并且把你的網(wǎng)站、非敏感數(shù)據(jù)和敏感數(shù)據(jù)都放在同一臺服務器上。沒錯,你確實可以利用托管服務供應商提供的安全措施,以及電子商務平臺的安全功能來防止網(wǎng)絡攻擊和欺詐。但是,你的敏感數(shù)據(jù)就難以抵御通過網(wǎng)站和在線商店平臺實施的攻擊了。無論是網(wǎng)站還是在線商店平臺,網(wǎng)絡罪犯但凡能攻破其中一個,就可以訪問你的數(shù)據(jù)庫。
想要緩解這些安全風險,那就將你的數(shù)據(jù)庫服務器與其他一切隔離開來。此外,采用實時安全信息與事件管理(SIEM),這是專門用于數(shù)據(jù)庫安全的,可供企業(yè)在遭遇入侵時立即采取行動。
3.設置HTTPS代理服務器
從工作站發(fā)出的請求在訪問數(shù)據(jù)庫服務器之前會經(jīng)過代理服務器的評估。這樣一來,代理服務器就像守門員一樣攔住非授權(quán)請求。
最常見的代理服務器基于HTTP。然而,如果你要處理敏感信息,例如密碼、支付信息或個人信息,那就設置HTTPS服務器。這樣穿過代理服務器的數(shù)據(jù)就也是加密的,能夠多一層安全。
4.避免使用默認網(wǎng)絡端口
TCP和UDP協(xié)議用在服務器間傳輸數(shù)據(jù)的時候。設置這些協(xié)議時往往會自動使用默認網(wǎng)絡端口。由于太常見了,暴力破解攻擊就經(jīng)常使用默認端口。
如果你不使用默認端口,盯上你服務器的網(wǎng)絡攻擊者就必須嘗試不同端口號,不斷試錯。這額外的工作量很是勸退,攻擊者不會再在你身上耗時間。
不過,分配新端口的時候,記得查一下互聯(lián)網(wǎng)號碼分配機構(gòu)(IANA)的端口注冊表,確保新端口沒被其他服務占用。
5.使用實時數(shù)據(jù)庫監(jiān)測
主動掃描數(shù)據(jù)庫檢查入侵嘗試可以強化安全,也有助于應對潛在攻擊。
可以使用Tripwire的實時文件完整性監(jiān)測(FIM)記錄數(shù)據(jù)庫服務器上所有行為,發(fā)現(xiàn)異常及時報警。此外,還可以設置升級規(guī)程應對潛在攻擊,讓敏感數(shù)據(jù)更加安全。
另一個值得考慮的方面是定期審計數(shù)據(jù)庫安全并組織網(wǎng)絡安全滲透測試。這些措施有助于發(fā)現(xiàn)潛在安全漏洞,在數(shù)據(jù)泄露發(fā)生之前打上補丁。
6.采用數(shù)據(jù)庫防火墻和Web應用防火墻
防火墻是攔住惡意訪問的第一道防線。除網(wǎng)站防護措施之外,還應安裝防火墻來保護數(shù)據(jù)庫免遭不同攻擊方式侵害。
有三種類型的防火墻常用于保護網(wǎng)絡安全:
包過濾防火墻
有狀態(tài)包檢測(SPI)
代理服務器防火墻
防火墻的配置要確保正確覆蓋每個安全漏洞。另外,保持更新防火墻也是必需的,因為這樣才能保護站點和數(shù)據(jù)庫能抵御新型網(wǎng)絡攻擊方法。
7.部署數(shù)據(jù)加密協(xié)議
數(shù)據(jù)加密不僅能保護你的商業(yè)秘密,也是傳輸和存儲敏感用戶信息的重要防護措施。
設置數(shù)據(jù)加密協(xié)議可以降低數(shù)據(jù)泄露風險。換句話說,即使網(wǎng)絡罪犯拿到了你的數(shù)據(jù),這些信息也是安全的。
8.創(chuàng)建定期數(shù)據(jù)庫備份
創(chuàng)建網(wǎng)站備份算是常見操作了,但定期創(chuàng)建數(shù)據(jù)庫備份也很重要。這么做可以緩解因惡意攻擊或數(shù)據(jù)損壞而造成的敏感信息丟失風險。
在Windows和Linux等常見服務器上創(chuàng)建數(shù)據(jù)庫備份的方法可在官網(wǎng)上找到。此外,要想進一步強化安全,最好在單獨的服務器上加密并存儲備份。這樣,即使主數(shù)據(jù)庫服務器被黑或無法訪問,你的數(shù)據(jù)也可以恢復。
9.保持應用更新
研究顯示,90%的應用都包含過時軟件組件。而且,對WordPress插件的分析揭示,17,383個插件兩年來都沒更新過,13,655個插件三年沒更新過,3,990個插件甚至長達七年未更新。你用來管理數(shù)據(jù)庫甚至運營網(wǎng)站的軟件就是這些過時組件的集合,其間蘊含的巨大安全風險可想而知。
雖然你應該只用經(jīng)驗證的可信數(shù)據(jù)庫管理軟件,但也應該保持更新,在有可用補丁時及時安裝。同樣的更新原則也適用于小部件、插件和第三方應用,并且要加上一條建議:不要使用那些沒接收定期更新的。完全離它們遠遠的。
10.采用強用戶身份驗證
Verizon最新的研究揭示,80%的數(shù)據(jù)泄露事件由被盜密碼導致。這表明單靠密碼可不是什么良好的安全措施,因為不會設置強密碼的人太多了。
想要對抗密碼設置中的人為失誤問題,以及給你的數(shù)據(jù)庫安全增添另一層防護,不妨設立多因子身份驗證過程。(該方法并不完美。)這樣即使登錄憑證被盜,網(wǎng)絡罪犯也很難繞過這一安全規(guī)程。
此外,僅允許經(jīng)驗證的IP地址訪問數(shù)據(jù)庫也可以進一步緩解潛在數(shù)據(jù)泄露風險。盡管IP地址可被復制或屏蔽,但這好歹也要求攻擊者的技術(shù)水平要達到一定門檻,而且也更費事了不是?
強化數(shù)據(jù)庫安全,緩解數(shù)據(jù)泄露風險
保護數(shù)據(jù)庫免受惡意攻擊侵害是一項系統(tǒng)性工作,囊括從服務器物理位置到人為失誤風險緩解等諸多方面。
即使數(shù)據(jù)泄露越來越頻繁,維護健康的安全規(guī)程也能降低遭攻擊的風險,幫助避免真被攻擊者盜得數(shù)據(jù)。
