Co je zabezpečení databáze?

• Brány firewall slouží jako první linie obrany v zabezpečení databáze DiD. Logicky je brána firewall oddělovačem nebo omezením síťového provozu, který se dá nakonfigurovat tak, aby vynucoval zásady zabezpečení dat vaší organizace. Pokud používáte bránu firewall, zvýšíte zabezpečení na úrovni operačního systému tím, že poskytnete bod, na který se dají zaměřit bezpečnostní opatření.

• Ověřování je proces prokázání, že uživatel je tím, za koho se vydává, zadáním správného ID uživatele a hesla. Některá řešení zabezpečení umožňují správcům centrálně spravovat identity a oprávnění uživatelů databáze v jednom centrálním umístění. To zahrnuje minimalizaci úložiště hesel a umožňuje centralizované zásady rotace hesel.
• Autorizace umožňuje každému uživateli přistupovat k určitým datovým objektům a provádět určité databázové operace, jako je čtení, ale nikoli úprava dat, úprava, ale nikoli odstranění dat nebo odstranění dat.
• Řízení přístupu spravuje správce systému, který přiřazuje oprávnění uživateli v databázi. Oprávnění se ideálně spravují přidáním uživatelských účtů do databázových rolí a přiřazením oprávnění na úrovni databáze těmto rolím. Například zabezpečení na úrovni řádků (RLS) umožňuje správcům databáze omezit přístup pro čtení a zápis k řádkům dat na základě identity uživatele, členství v rolích nebo kontextu provádění dotazů. Zabezpečení na úrovni řádků centralizuje logiku přístupu v samotné databázi, což zjednodušuje kód aplikace a snižuje riziko náhodného zpřístupnění dat.

• Auditování sleduje databázové aktivity a pomáhá udržovat dodržování standardů zabezpečení tím, že zaznamenává události databáze do protokolu auditování. To vám umožní monitorovat probíhající databázové aktivity a analyzovat a prošetřovat historické aktivity, abyste identifikovali potenciální hrozby nebo podezření na zneužití a porušení zabezpečení.
• Detekce hrozeb odhaluje neobvyklé databázové aktivity, které indikují potenciální bezpečnostní hrozbu pro databázi a můžou zobrazovat informace o podezřelých událostech přímo správci.

• Šifrování dat zabezpečí citlivá data jejich převodem do alternativního formátu, aby je mohly dešifrovat zpět do původní podoby a získat k nim přístup jenom zamýšlené strany. I když šifrování neřeší problémy s řízením přístupu, zvyšuje zabezpečení omezením ztráty dat při obejití řízení přístupu. Pokud je například hostitelský počítač databáze chybně nakonfigurovaný a uživatel se zlými úmysly získá citlivá data, jako jsou čísla platebních karet, může být odcizení informací zbytečné, pokud jsou zašifrované.
• Data zálohování databáze a obnovení jsou zásadní pro ochranu informací. Tento proces zahrnuje pravidelné vytváření záložních kopií databáze a souborů protokolů a ukládání kopií do zabezpečeného umístění. Záložní kopie a soubor jsou k dispozici pro obnovení databáze v případě porušení zabezpečení nebo selhání.
• Fyzické zabezpečení striktně omezuje přístup k fyzickému serveru a hardwarových komponentám. Mnoho organizací s místními databázemi používá pro hardware databázového serveru a síťová zařízení uzamčené místnosti s omezeným přístupem. Je také důležité omezit přístup k zálohovacím médiím tím, že je uložíte na bezpečném místě mimo pracoviště.

Zabezpečení nebo "posílení zabezpečení" databázového serveru kombinuje zabezpečení fyzického, síťového a operačního systému a řeší ohrožení zabezpečení a znesnadňuje hackerům přístup k systému. Osvědčené postupy posílení zabezpečení databáze se liší podle typu databázové platformy. Mezi běžné kroky patří posílení ochrany hesel a řízení přístupu, zabezpečení síťového provozu a šifrování citlivých polí v databázi.

Posílením šifrování dat usnadňují organizace zabezpečení svých dat a dodržování předpisů:

• Trvalé šifrování dat nabízí integrovanou ochranu dat před krádeží při přenosu, v paměti, na disku a dokonce i během zpracování dotazů.
• Transparentní šifrování dat chrání před hrozbou škodlivých offline aktivit šifrováním uložených dat (neaktivních uložených dat). Transparentní šifrování dat provádí šifrování a dešifrování v reálném čase v databázi, přidružených zálohách a neaktivních souborech transakčních protokolů bez nutnosti změn aplikace.

V kombinaci s podporou nejsilnější verze síťového protokolu TLS (Transport Layer Security) poskytují trvale šifrovaná data a transparentní šifrování dat komplexní řešení šifrování pro finanční, bankovní a zdravotnické organizace, které musí dodržovat standard Payment card industry data security standard (PCI DSS), který vyžaduje silnou komplexní ochranu platebních údajů.

Rozšířená ochrana před internetovými útoky analyzuje protokoly za účelem zjištění neobvyklého chování a potenciálně škodlivých pokusů o přístup k databázím nebo jejich zneužití. Upozornění se vytvářejí pro podezřelé aktivity, jako je injektáž SQL, potenciální infiltrace dat a útoky hrubou silou, nebo pro anomálie ve vzorech přístupu, které zachycují eskalace oprávnění a použití uniklých přihlašovacích údajů.

Osvědčeným postupem je, aby uživatelé a aplikace používali k ověření samostatné účty. Tím se omezí oprávnění udělená uživatelům a aplikacím a sníží se riziko škodlivé aktivity. Je to obzvlášť důležité, pokud je kód aplikace zranitelný vůči útoku prostřednictvím injektáže SQL.

 Princip zabezpečení informací s nejnižšími oprávněními vychází z myšlenky, že uživatelům a aplikacím by měl být udělen přístup pouze k datům a operacím, které potřebují k provádění svých úloh. Tento osvědčený postup pomáhá omezit prostor pro útoky na aplikaci a dopad porušení zabezpečení (celková oblast narušení), pokud by k nějakému došlo.

Osvědčené postupy zabezpečení databáze by měly být součástí komplexního přístupu k zabezpečení , který funguje společně napříč platformami a cloudy a chrání celou vaši organizaci. Model zabezpečení nulová důvěra (Zero Trust) ověřuje identity a dodržování předpisů zařízením u každé žádosti o přístup, aby chránil lidi, zařízení, aplikace a data bez ohledu na to, kde se nacházejí. Místo předpokladu, že vše za podnikovou bránou firewall je bezpečné, model nulová důvěra (Zero Trust) předpokládá porušení zabezpečení a ověřuje každý požadavek, jako by pocházel z otevřené sítě. Bez ohledu na to, odkud požadavek pochází nebo k jakému prostředku přistupuje, nás nulová důvěra (Zero Trust) naučí, "nikdy nedůvěřovat, vždy ověřovat."

Povolení modelu nulová důvěra (Zero Trust) s využitím řešení zabezpečení od MicrosoftuPovolit model nulová důvěra (Zero Trust) s využitím řešení zabezpečení společnosti Microsoft. Zapojte se do komplexního přístupu k zabezpečení, abyste ochránili své pracovníky, data a infrastrukturu.

Posílení stavu zabezpečení s využitím AzurePosilte svůj stav zabezpečení s využitím Azure. Využijte vícevrstvé integrované kontrolní mechanismy zabezpečení a jedinečné analýzy hrozeb z Azure, které vám pomůžou identifikovat hrozby a chránit se před nimi. Více než 3 500 globálních odborníků na kybernetickou bezpečnost spolupracuje na ochraně vašich dat v Azure.

Využijte integrované nástroje a služby zabezpečení Azure Database , včetně technologie Always Encrypted; inteligentní ochrany před hrozbami; kontrolních mechanismů zabezpečení, řízení přístupu k databázi a autorizace, jako jsou zabezpečení na úrovni řádků a dynamické maskování dat, auditování, detekce hrozeb, a monitorování dat pomocí Microsoft Defender for Cloud.

Chraňte své databáze NoSQL pomocí Azure Cosmos DB, která zahrnuje komplexní nástroje pro pokročilé zabezpečení databáze , které vám pomůžou předcházet porušením zabezpečení databáze, detekovat je a reagovat na ně.