提高數據存儲安全性的四個最佳做法
我們都知道,保護敏感信息至關重要。幸運的是,現在大多數企業都擁有可靠的網絡安全程序,這些程序利用多種控件來實現深度防御安全性。通過這些程序,企業服務器得到加固,企業端點得到保護,監控工具也得以部署。企業還能夠消除來自端點設備的高度敏感信息,并整合企業系統中最關鍵的企業數據以及支持它們的數據庫。
但是,圍繞這些集中存儲的控制有多強大呢?
毫無疑問,信息存儲在安全的集中式數據庫比在筆記本電腦和文件共享中更為安全。但是,如果企業沒有確保數據庫安全性,他們可能會不知不覺地在為攻擊者建立敏感信息寶庫。
很多企業數據庫很容易由于配置錯誤或部署不當而導致漏洞。從低密碼強度到SQL注入攻擊再到跨站點腳本漏洞,企業必須解決這些與數據庫相關的威脅。
除這些漏洞外,每個企業還應遵循并定期審視數據庫安全最佳做法,以維護其寶貴財產的安全性:數據庫中存儲的機密數據。對于任何攻擊者來說,這都是誘人的目標。因此,確保數據的安全至關重要。
企業應遵循以下四項最佳做法,以提高其數據庫及其中存儲數據的安全性。
1. 最小權限原則
通常情況下,在任何網絡安全書籍中,第一章都會介紹最小權限原則,即確保僅為用戶提供完成其工作所需的最小權限。這個理論目標與企業數據庫的現實情況之間的差距是很重要的問題。為了對此進行評估,企業應該問自己幾個問題,其中包括:
- 開發人員是否擁有對生產數據庫的完全訪問權限?
- 系統工程師是否可以訪問他們所管理系統中的數據庫?
- 數據庫管理員是否具有對所有數據庫的完全訪問權限?還是僅對其職責范圍的數據庫具有訪問權限?盡可能限制訪問權限是防范內部威脅的重要方法。
2. 定期審核訪問權限
大家都知道,特權提升實際上會影響每個技術企業。隨著技術人員和非技術人員在工作角色和項目分配之間轉換,每次職責更改時,他們都會積累新的權限。由于缺少權限會阻礙工作,因此他們會迅速尋求并批準新的權限。但是,舊的和不必要的權限可能會持續數月或數年,因為這不會對員工的日常工作造成操作問題。但其實這會帶來嚴重影響,如果用戶變成惡意內部人員或淪為賬戶被盜的受害者,這些權限會幫助攻擊者擴大攻擊范圍。
企業應定期對數據庫訪問權限進行定期審查,以確保執行最小特權原則。請特別注意直接訪問數據庫的用戶,因為這種訪問可能會繞過應用程序級安全控制。
3. 監控數據庫活動
數據庫審核曾經會帶來巨大的性能負擔,這導致企業為了運營效率而犧牲日志記錄。幸運的是,那些日子已經過去了,因為現在所有主要的數據庫平臺提供商都提供可擴展的監視和日志記錄功能。
企業應確保已在其系統上啟用數據庫監視,并將日志發送到安全的存儲庫。另外,請確保實施基于行為的監視規則,以監視異常的用戶活動,特別是具有管理訪問權限的用戶。
4. 加密敏感數據
加密無疑是數據庫安全最佳做法。企業應遵循以下三種方式利用強加密來保護其數據庫:
- 要求所有數據庫使用傳輸層安全加密來保護傳輸中的數據;
- 加密包含數據存儲的磁盤,以防止其丟失、被盜或處理不當;
- 用列級加密功能來保護你最敏感的數據以防被監聽
現在企業應該加強其數據庫安全做法。為了更好地抵御現代復雜威脅,企業應該遵循上述數據庫安全最佳做法:執行最小權限原則、定期審查賬戶訪問權限、監控數據庫活動和加密敏感數據。
