不可不知的10個數據庫安全最佳實踐

據Flashpoint公司的《2022年年度回顧報告》顯示，2022年1月到12月間約有390億條數據記錄被盜。雖然這個結果令人相當吃驚，但也明確地傳達出了組織需要采取有效的數據庫安全措施這一訊號。

數據庫安全措施與網站安全實踐略有不同。前者涉及物理措施、軟件解決方案，甚至員工安全教育。然而，保護站點盡量減少網絡犯罪分子可能利用的潛在攻擊途徑同樣重要。

下面列出了10個數據庫安全最佳實踐，可以幫助貴組織加強敏感數據的安全性。

1. 部署物理數據庫安全措施

數據中心或自有服務器很容易遭到外部人員或者甚至惡意內部威脅的物理攻擊。如果網絡犯罪分子能夠接觸物理數據庫服務器，就能盜取數據、破壞數據，甚至植入有害的惡意軟件以獲取遠程訪問權。如果缺乏額外的安全措施，常常難以檢測這種類型的攻擊，因為它們能夠繞過數字安全規程。

如果貴組織保管自己的服務器，強烈建議增添物理安全措施，比如攝像頭和鎖具，并配備安保人員。此外，還應將任何訪問物理服務器的活動記入日志，只允許特定人員訪問，從而緩解惡意活動的風險。確保服務器機房物理安全的標準包括如下：

ISO 27001

ISO 20000-1

NIST SP（SP 800-14、SP 800-23和SP 800-53）

美國國防部信息保證技術框架

SSAE 18 SOC 1 Type II、SOC 2 Type II和SOC 3

2. 隔離數據庫服務器

數據庫需要采取專門的安全措施來免遭網絡攻擊。此外，將數據與網站放到同一臺服務器上也將數據暴露在了針對網站的不同攻擊途徑的面前。

假設你在運營一家在線商店，并且把網站、非敏感數據和敏感數據統統放在同一臺服務器上。當然，你可以利用托管服務供應商提供的安全措施以及電子商務平臺的安全功能來防范網絡攻擊和欺詐。然而，你的敏感數據現在很容易因這個網站和在線商店平臺而遭到攻擊。攻陷網站或在線商店平臺的任何攻擊都使網絡犯罪分子也有可能訪問你的數據庫。

想要緩解這些安全風險，不妨將你的數據庫服務器與其他一切系統隔離開來。此外，采用實時安全信息和事件管理（SIEM），這種解決方案專門用于確保數據庫安全，讓組織在有人企圖攻擊時可以立即采取行動。此外，漏洞管理解決方案有助于組織準確地評估每一個網絡資產的安全風險。

3. 搭建HTTPS代理服務器

在工作站訪問數據庫服務器之前，代理服務器負責評估從工作站發出的請求。這樣一來，代理服務器充當守門員，旨在擋住非授權請求。

最常見的代理服務器基于HTTP。然而，如果你在處理敏感信息，比如密碼、支付信息或個人信息，那就應該搭建一臺HTTPS服務器。這樣一來，透過代理服務器傳輸的數據也經過加密，從而增添了一層安全。

4. 避免使用默認網絡端口

TCP協議和UDP協議用于服務器之間傳輸數據的時候。設置這些協議時，它們會自動使用默認網絡端口。

由于默認端口很常見，它們常常用于蠻力攻擊中。如果不使用默認端口，盯上你服務器的網絡攻擊者就必須嘗試不同的端口號，不斷試錯。由于需要費更大的勁，這會打消攻擊者企圖攻擊你的念頭。

然而，在分配新端口時，記得查一下互聯網號碼分配機構（IANA）的端口注冊庫，確保新端口沒有被其他服務占用。

5. 使用實時數據庫監控

主動掃描數據庫檢查有無企圖攻擊的活動，這可以夯實安全，并有助于應對潛在攻擊。

可以使用Tripwire的實時文件完整性監控（FIM）之類的監控軟件，記錄數據庫服務器上的所有活動，一發現異常就發出報警。此外，確立逐級上報流程以應對潛在攻擊，從而讓敏感數據更安全。

另一個需要考慮的方面是定期審計數據庫安全，并組織進行網絡安全滲透測試。這些措施有助于發現潛在的安全漏洞，在數據泄露發生之前打上補丁。

6. 使用數據庫防火墻和Web應用防火墻

防火墻是阻擋有人企圖惡意訪問的第一道防線。除了防護網站外，你還應該安裝防火墻來保護數據庫遠離不同的攻擊途徑。

有三種類型的防火墻常用于保護網絡安全：

數據過濾防火墻。

有狀態數據包檢測（SPI）。

代理服務器防火墻。

務必確保防火墻的配置已全面顧及任何安全漏洞。另外，及時更新防火墻也必不可少，因為這樣才能保護站點和數據庫遠離新型網絡攻擊方法。

7. 部署數據加密協議

對數據進行加密不僅對于保護商業機密很重要，對于傳輸或存儲敏感的用戶信息、防范勒索軟件或者遵守GDPR之類的數據隱私法規同樣很重要。

部署數據加密協議降低了數據泄露的風險。這意味著，即使網絡犯罪分子獲得了你的數據，這些信息也仍然是安全的。這還意味著，你的數據不僅在靜態時保持安全，在傳輸中也保持安全，而傳輸中的數據常常是最容易受到攻擊的。

8. 創建數據庫的定期備份

雖然為網站創建備份很常見，但定期為數據庫創建備份、對一份副本進行加密同樣很重要。這么做可以緩解因惡意攻擊或數據損壞而導致敏感信息丟失的風險。最佳實踐建議遵循3-2-1備份規則：

???存儲數據的三份副本。

使用兩種類型的存儲介質。

將一份副本存儲在異地位置。

CIS控制11：數據恢復（https://www.tripwire.com/state-of-security/cis-control-11）概述了數據恢復計劃的步驟，并強調了這么做的重要性：不僅創建備份，還測試團隊將備份用于生產環境的能力。關鍵任務基礎設施的備份應定期加以測試。這不僅僅是為了驗證備份的完整性。還為了確保工作人員擁有及時恢復所需的知識和經驗。

9. 及時更新應用程序

研究顯示，88%的代碼庫含有過時的軟件組件。此外，過時插件容易招致利用漏洞的惡意軟件，并留下敞開的漏洞，黑客可以用來轉而進入到組織網絡的其他地方。如果考慮一下你用來管理數據庫或甚至運行網站的軟件，這就帶來了重大的安全風險。

雖然你應該只使用值得信賴、經過驗證的數據庫管理軟件，但也應該及時更新這類軟件，并在第一時間安裝新的補丁。對于窗口組件、插件和第三方應用程序來說也是如此，另外一個建議是避免使用那些沒有定期更新的應用程序，對它們要完全避而遠之。

10. 采用強用戶身份驗證

據韋里遜（Verizon）的《2022年數據泄露調查報告》顯示，去年67%的數據泄露事件由憑據被盜導致。眾所周知，單因素身份驗證（SFA）方法也不安全，難怪有人認為密碼已死。建議對社交媒體網站也要采取最基本的雙因素身份驗證（2FA），多因素身份驗證（MFA）通常被公認為是如今確保安全用戶身份驗證的標準。它對于幫助組織有資格領取網絡保險也起到了關鍵作用。

然而形勢在發生變化，犯罪分子紛紛繞過MFA檢查點以訪問云資源，大多數組織很快有可能采用無密碼。

此外，考慮只允許經過驗證的IP地址訪問數據庫，以進一步緩解潛在的數據泄露風險。雖然IP地址有可能被復制或屏蔽，但這需要攻擊者花更大的精力。

加強數據庫安全，緩解數據泄露風險

用行業標準最佳實踐保護數據庫為貴組織的零信任方法提供了另一層縱深防御機制。

由于數據泄露事件越來越頻繁，威脅分子越來越有可能潛入到貴組織的網絡中。事先用存儲加密數據做好防備的組織最有可能恢復數據。