用戶帳戶管理是數(shù)據(jù)庫(kù)管理員的職責(zé)
問(wèn):由數(shù)據(jù)庫(kù)管理員(DBA)定義用戶帳戶和設(shè)置權(quán)限是安全的***實(shí)踐嗎?我們的安全團(tuán)隊(duì)一直負(fù)責(zé)創(chuàng)建帳戶和設(shè)置訪問(wèn)權(quán)限。現(xiàn)在數(shù)據(jù)庫(kù)管理員們說(shuō),這是數(shù)據(jù)庫(kù)管理員的職責(zé),不是安全的職責(zé)。我們相信,Oracle數(shù)據(jù)庫(kù)管理員不會(huì)代理訪問(wèn)。我們是否可以參考其他***做法?
答:同意數(shù)據(jù)庫(kù)管理員的觀點(diǎn)是有條件的,如果他們想定義和創(chuàng)建帳戶和權(quán)限。賬戶管理是一個(gè)功能,而不是一個(gè)職責(zé)。數(shù)據(jù)庫(kù)管理員的職責(zé)是管理服務(wù),實(shí)際上很多機(jī)構(gòu)的用戶帳戶管理是DBA職責(zé)的一部分。
數(shù)據(jù)庫(kù)管理員要管理帳戶,并基于安全政策和標(biāo)準(zhǔn)定義和設(shè)置權(quán)限。數(shù)據(jù)庫(kù)管理員可以做這個(gè)工作,只要安全團(tuán)隊(duì)告訴他們?cè)撛鯓幼觥5踩珗F(tuán)隊(duì)也應(yīng)該有權(quán)審計(jì)和監(jiān)督其活動(dòng)。
請(qǐng)注意,有一個(gè)實(shí)例,在這種情況下,安全團(tuán)隊(duì)?wèi)?yīng)該管理用戶帳戶和設(shè)置權(quán)限。就是當(dāng)DBA需要一個(gè)帳戶的時(shí)候。對(duì)于職責(zé)分離(SOD)***的做法是,數(shù)據(jù)庫(kù)管理員應(yīng)該不能創(chuàng)建帳戶或?yàn)樽约涸O(shè)置特權(quán),這是“后門(mén)”未經(jīng)授權(quán)訪問(wèn)最常用的方法,這會(huì)導(dǎo)致信息暴露或惡意活動(dòng)。如果你愿意給他們帳戶管理的行政職能,他們應(yīng)該也愿意讓你來(lái)管理他們的訪問(wèn)。
***一點(diǎn),在許多新的應(yīng)用程序和操作系統(tǒng)中,你完全可以讓帳戶管理權(quán)限沒(méi)有完全管理特權(quán)。在這種情況下,如果可能的話,數(shù)據(jù)庫(kù)管理員只應(yīng)授予有限的權(quán)限來(lái)進(jìn)行帳戶管理,除非他們的職責(zé)要求他們?cè)趹?yīng)用程序或服務(wù)器上進(jìn)行其他的管理任務(wù)。
【編輯推薦】
