12個(gè)數(shù)據(jù)庫(kù)安全故障和錯(cuò)誤,看看你“踩雷”沒?
在當(dāng)今的大多數(shù)企業(yè)堆棧中,數(shù)據(jù)庫(kù)是我們存儲(chǔ)所有秘密的地方。它是安全屋,是待命室,也是用于存儲(chǔ)可能非常私密或極具價(jià)值的物品的集散地。對(duì)于依賴它的數(shù)據(jù)庫(kù)管理員、程序員和DevOps團(tuán)隊(duì)來說,保護(hù)它免受所有入侵是最重要的工作之一。
不過,這項(xiàng)工作并不容易。雖然數(shù)據(jù)庫(kù)創(chuàng)建者為我們提供了所有工具,并且建立了良好的安全措施,但是實(shí)踐過程中存在的無數(shù)潛在失誤、疏忽以及愚蠢的錯(cuò)誤,卻使保護(hù)數(shù)據(jù)庫(kù)安全成為一場(chǎng)無休止的挑戰(zhàn)。
為了幫助企業(yè)認(rèn)識(shí)錯(cuò)誤并保持警覺,以下列出了12種不同的故障模式,即便是團(tuán)隊(duì)中最優(yōu)秀的人也不可避免地會(huì)出現(xiàn)這些失誤。
1. 權(quán)限管理不到位
許多數(shù)據(jù)庫(kù)存在于它們自己的設(shè)備上,這臺(tái)設(shè)備應(yīng)該盡可能地鎖定。只有必要的用戶才能以數(shù)據(jù)庫(kù)管理員的身份登錄,并且登錄應(yīng)僅限于網(wǎng)絡(luò)和其他設(shè)備的有限范圍。防火墻可以阻止IP地址。相同的規(guī)則也應(yīng)適用于操作系統(tǒng)層,而且如果它在虛擬機(jī)上運(yùn)行,則適用于管理程序或云管理。雖然這些限制會(huì)減緩軟件更新和修復(fù)問題的工作,但同時(shí)也能限制攻擊者可以采取的路徑,一切都是值得的。
2. 輕松地物理訪問
我們永遠(yuǎn)不知道狡猾的攻擊者可能會(huì)在服務(wù)器機(jī)房?jī)?nèi)做些什么。云公司和主機(jī)托管設(shè)施提供的服務(wù)等同于在戒備森嚴(yán)的建筑物內(nèi)提供了一個(gè)上鎖的籠子,而且訪問受限。但如果您沒有選擇云或主機(jī)托管服務(wù),而是將數(shù)據(jù)本地存儲(chǔ)在您自己的數(shù)據(jù)中心,那么請(qǐng)遵循相同的規(guī)則,確保只有受信任的少數(shù)人才能訪問存放物理磁盤驅(qū)動(dòng)器的房間。
3. 未受保護(hù)的備份
一個(gè)團(tuán)隊(duì)在保護(hù)數(shù)據(jù)庫(kù)服務(wù)器方面做得很好,但卻忘記了備份,這種情況并不少見。要知道,它們擁有相同的信息,因此需要獲取同樣等級(jí)的保護(hù)。磁盤、驅(qū)動(dòng)器和其他靜態(tài)介質(zhì)應(yīng)鎖在保險(xiǎn)箱中,而且最好是存放在另一個(gè)位置,以免原件遭遇火災(zāi)或洪水破壞的同時(shí)也損壞了備份。
4. 未加密的靜態(tài)數(shù)據(jù)
加擾數(shù)據(jù)的算法通常是值得信賴的,因?yàn)樗鼈円呀?jīng)過廣泛測(cè)試,并且當(dāng)前的標(biāo)準(zhǔn)沒有公開已知的弱點(diǎn)。如今,為數(shù)據(jù)庫(kù)和備份添加良好的加密,是對(duì)所有靜態(tài)數(shù)據(jù)都很容易實(shí)現(xiàn)的。不過,即使算法和實(shí)現(xiàn)是安全的,也必須小心保護(hù)密鑰。云提供商和服務(wù)器開發(fā)人員正在創(chuàng)建與普通工作流程不同的可信硬件,以便密鑰在內(nèi)部更安全。即便系統(tǒng)不完美,有也總比沒有好。當(dāng)數(shù)據(jù)需要靜態(tài)加密一段時(shí)間時(shí),有些人更喜歡將密鑰放在不同的物理位置,并且處于離線狀態(tài);而有些人甚至?xí)蛴〕雒荑€信息并將紙鎖在保險(xiǎn)箱中。
5. 不使用隱私保護(hù)算法
只要您可以保護(hù)好密鑰,加密就能成為保護(hù)數(shù)據(jù)庫(kù)物理副本的好幫手。各種各樣的好算法也會(huì)永久地加擾數(shù)據(jù)。它們不能解決所有問題,但當(dāng)不需要保留所有敏感數(shù)據(jù)時(shí),它們會(huì)非常有效。最簡(jiǎn)單的可能只是用隨機(jī)假名替換名字。數(shù)十種其他方法使用恰到好處的數(shù)學(xué)運(yùn)算來保護(hù)個(gè)人數(shù)據(jù),同時(shí)仍然保留足夠的數(shù)據(jù)以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的目標(biāo)。
6. 缺乏增殖控制
當(dāng)數(shù)據(jù)被使用時(shí),它會(huì)被復(fù)制到緩存和運(yùn)行的服務(wù)器中。數(shù)據(jù)存儲(chǔ)架構(gòu)師的目標(biāo)是盡量減少副本的數(shù)量,并確保在數(shù)據(jù)不使用時(shí)立即銷毀它們。許多數(shù)據(jù)庫(kù)提供常規(guī)鏡像或備份選項(xiàng),作為防御機(jī)器故障的功能。雖然這對(duì)于提供穩(wěn)定的服務(wù)至關(guān)重要,但在設(shè)計(jì)過程中仔細(xì)考慮增殖問題是值得的。在某些情況下,完全有可能在限制猖獗復(fù)制的同時(shí)不過多地影響服務(wù)。有時(shí),如果可以限制攻擊者的“入口”數(shù)量,那么選擇速度較慢、冗余較少的選項(xiàng)可能會(huì)更好。
7. 缺乏數(shù)據(jù)庫(kù)控制
最好的數(shù)據(jù)庫(kù)是由幾十年無休止的測(cè)試和安全研究驅(qū)動(dòng)進(jìn)化的產(chǎn)物。選擇一個(gè)好的數(shù)據(jù)庫(kù)是第一要求。此外,數(shù)據(jù)庫(kù)創(chuàng)建者還在其中添加了用于管理和限制訪問的好工具。請(qǐng)務(wù)必記得使用它們。確保只有正確的應(yīng)用程序才能得到想要的結(jié)果,同時(shí)記得不要對(duì)所有應(yīng)用程序重復(fù)使用相同的密碼。當(dāng)然,也不要使用默認(rèn)值。在可行的情況下,限制對(duì)本地進(jìn)程或本地網(wǎng)絡(luò)的訪問同樣至關(guān)重要。
8. 易受攻擊的二級(jí)數(shù)據(jù)庫(kù)
許多堆棧使用高速的內(nèi)存緩存(如Redis)來加快響應(yīng)速度。這些二級(jí)數(shù)據(jù)庫(kù)和內(nèi)容交付網(wǎng)絡(luò)通常擁有與數(shù)據(jù)庫(kù)中相同的信息副本。正確配置它們所花的時(shí)間通常跟配置主數(shù)據(jù)庫(kù)一樣多。
9. 擁有數(shù)據(jù)訪問權(quán)限的脆弱應(yīng)用程序
當(dāng)受信任的應(yīng)用程序——尤其是擁有所有數(shù)據(jù)訪問權(quán)限的應(yīng)用程序——出現(xiàn)故障時(shí),所有部署謹(jǐn)慎的數(shù)據(jù)庫(kù)都發(fā)揮不了作用。一個(gè)常見問題是SQL注入,這種攻擊會(huì)誘使編碼錯(cuò)誤的應(yīng)用程序?qū)阂釹QL傳遞到數(shù)據(jù)庫(kù)。另一個(gè)是應(yīng)用程序本身的安全性差。在許多架構(gòu)中,應(yīng)用程序擁有幾乎所有數(shù)據(jù)的訪問權(quán)限,如果不能對(duì)其進(jìn)行有效控制,所有數(shù)據(jù)都將面臨泄露的風(fēng)險(xiǎn)。
10. 有風(fēng)險(xiǎn)的網(wǎng)絡(luò)暴露
數(shù)據(jù)庫(kù)是生活在沒有公開訪問的網(wǎng)絡(luò)部分的理想候選人。雖然一些開發(fā)人員希望通過向通用互聯(lián)網(wǎng)開放數(shù)據(jù)庫(kù)來簡(jiǎn)化他們的生活,但是任何意識(shí)到隱私重要性的人都應(yīng)該有不同的看法。如果您的數(shù)據(jù)庫(kù)只與前端服務(wù)器通信,那么它就可以愉快地生活在只有這些前端服務(wù)器可以訪問它的網(wǎng)絡(luò)部分。
11. 缺乏完整性管理
現(xiàn)代數(shù)據(jù)庫(kù)提供了多種功能,可以防止錯(cuò)誤和不一致進(jìn)入數(shù)據(jù)集。為數(shù)據(jù)指定模式可確保各個(gè)數(shù)據(jù)元素遵循一組規(guī)則。使用數(shù)據(jù)庫(kù)事務(wù)和鎖定(transactions and locking)功能可以防止當(dāng)一個(gè)表/行更新而另一個(gè)沒有更新時(shí)引入錯(cuò)誤。部署這些完整性管理選項(xiàng)雖然會(huì)增加財(cái)務(wù)支出,但盡可能多地使用它們可以減少隨機(jī)錯(cuò)誤的影響,還可以防止用戶插入不一致或不正確的數(shù)據(jù)。
12. 保留不需要的數(shù)據(jù)
有時(shí)候,最安全的解決方案是銷毀數(shù)據(jù)庫(kù)。開發(fā)團(tuán)隊(duì)的行為通常很像“堆積鼠”(packrat,有在窩中貯藏東西的習(xí)性),會(huì)為可能永遠(yuǎn)不會(huì)到來的未來存儲(chǔ)信息。要知道,有時(shí)防止數(shù)據(jù)泄露最簡(jiǎn)單的方法就是擦除數(shù)據(jù)。如果你不需要這些數(shù)據(jù)來提供一些未來的服務(wù),而且客戶永遠(yuǎn)不會(huì)要求查看它們,您可以選擇將這些信息歸零,也省去了保護(hù)它們所需的時(shí)間、精力和財(cái)力。如果您不能完全確定是否會(huì)再次利用這些數(shù)據(jù),也可以刪除在線副本,并僅將離線備份保存在訪問受到進(jìn)一步限制的深度存儲(chǔ)中。
