Hvad er databasesikkerhed?
Databasesikkerhed er de processer, værktøjer og kontroller, der sikrer og beskytter databaser mod utilsigtede og tilsigtede trusler. Formålet med databasesikkerhed er at sikre følsomme data og bevare databasens fortrolighed, tilgængelighed og integritet. Ud over at beskytte dataene i databasen beskytter databasesikkerhed databaseadministrationssystemet og tilknyttede programmer, systemer, fysiske og virtuelle servere samt netværksinfrastrukturen.
For at besvare spørgsmålet om "databasesikkerhed er det vigtigt at bekræfte," at der er flere typer sikkerhedsrisici. Databasesikkerhed skal beskytte mod menneskelige fejl, overdrevne medarbejderdatabaserettigheder, hacker- og insiderangreb, malware, eksponering af sikkerhedskopilagermedier, fysisk beskadigelse af databaseservere og sårbare databaser, f.eks. databaser, der ikke er opdateret, eller databaser med for mange data i buffere.
Typer af databasesikkerhed
Organisationer har brug for flere lag af databeskyttelse for at opnå den højeste grad af databasesikkerhed. Til det formål placerer en DiD- sikkerhedsstrategi (Defense In Depth) flere kontroller på tværs af it-systemet. Hvis et lag af beskyttelse mislykkes, er et andet på plads for straks at forhindre angrebet, som vist nedenfor.
Netværkssikkerhed
- Firewalls fungerer som den første forsvarslinje i DiD-databasesikkerhed. Logisk set er en firewall en separator eller begrænsning af netværkstrafik, som kan konfigureres til at gennemtvinge organisationens politik for datasikkerhed. Hvis du bruger en firewall, øger du sikkerheden på operativsystemniveau ved at angive et chokpunkt, hvor dine sikkerhedsforanstaltninger kan fokuseres.
Adgangsadministration
- Godkendelse er den proces, hvor det bevises, at brugeren er den person, som han eller hun hævder at være, ved at angive det korrekte bruger-id og den korrekte adgangskode. Nogle sikkerhedsløsninger giver administratorer mulighed for at administrere databasebrugernes identiteter og tilladelser centralt på ét centralt sted. Dette omfatter minimering af lagring af adgangskoder og muliggør centraliserede politikker for rotation af adgangskoder.
- Autorisation gør det muligt for hver bruger at få adgang til bestemte dataobjekter og udføre visse databasehandlinger, f.eks. læse, men ikke ændre data, ændre, men ikke slette data eller slette data.
- Adgangskontrol administreres af den systemadministrator, der tildeler tilladelser til en bruger i en database. Tilladelser administreres ideelt ved at føje brugerkonti til databaseroller og tildele tilladelser på databaseniveau til disse roller. For eksempel giver sikkerhed på rækkeniveau (RLS) databaseadministratorer mulighed for at begrænse læse- og skriveadgang til rækker med data baseret på en brugers identitet, rollemedlemskaber eller kontekst for udførelse af forespørgsler. Sikkerhed på rækkeniveau centraliserer adgangslogikken i selve databasen, hvilket forenkler programkoden og reducerer risikoen for utilsigtet afsløring af data.
Beskyttelse mod trusler
- Overvågning sporer databaseaktiviteter og hjælper med at overholde sikkerhedsstandarder ved at registrere databasehændelser i en overvågningslog. Dette giver dig mulighed for at overvåge igangværende databaseaktiviteter samt analysere og undersøge historiske aktiviteter for at identificere potentielle trusler eller mistanke om misbrug og sikkerhedsovertrædelser.
- Trusselsregistrering afdækker unormale databaseaktiviteter, der indikerer en potentiel sikkerhedsrisiko for databasen og kan vise oplysninger om mistænkelige hændelser direkte til administratoren.
Databeskyttelse
- Datakryptering beskytter følsomme data ved at konvertere dem til et alternativt format, så det kun er de tilsigtede parter, der kan dekryptere dem tilbage til deres oprindelige form og få adgang til dem. Selvom kryptering ikke løser problemer med adgangskontrol, forbedrer det sikkerheden ved at begrænse datatab, når adgangskontroller tilsidesættes. Hvis databasens værtscomputer f.eks. er konfigureret forkert, og en ondsindet bruger henter følsomme data, f.eks. kreditkortnumre, kan disse stjålne oplysninger være ubrugelige, hvis de krypteres.
- Sikkerhedskopiering af data og genoprettelse af databaser er afgørende for at beskytte oplysninger. Denne proces omfatter jævnligt sikkerhedskopiering af databasen og logfilerne og lagring af kopierne på en sikker placering. Sikkerhedskopien og filen er tilgængelige til gendannelse af databasen i tilfælde af sikkerhedsbrud eller -fejl.
- Fysisk sikkerhed begrænser adgangen til den fysiske server og hardwarekomponenterne. Mange organisationer med databaser i det lokale miljø bruger låste rum med begrænset adgang til databaseserverhardware og netværksenheder. Det er også vigtigt at begrænse adgangen til sikkerhedskopimedier ved at gemme dem på et sikkert sted uden for virksomheden.
Platforme til databasesikkerhed
Afhængigt af databaseplatformen kan mængden af ansvar for databasesikkerhed variere. Hvis du har en løsning i det lokale miljø, skal du levere alt fra slutpunktsbeskyttelse til fysisk sikkerhed af din hardware – hvilket ikke er nogen nem opgave. Hvis du vælger en PaaS-clouddatabaseudbyder (Platform as a Service), reduceres dit problem betydeligt.
Cloudmiljøet giver betydelige fordele ved at løse mangeårige udfordringer i forbindelse med informationssikkerhed. I et lokalt miljø har organisationer sandsynligvis ikke-opfyldt ansvar og begrænsede ressourcer, der er tilgængelige til at investere i sikkerhed, hvilket skaber et miljø, hvor hackere kan udnytte sårbarheder på alle lag.
Følgende diagram viser en traditionel tilgang, hvor mange sikkerhedsansvarsområder ikke er opfyldt på grund af begrænsede ressourcer. I den cloudaktiverede tilgang kan du flytte det daglige sikkerhedsansvar over på din cloududbyder og få mere sikkerhedsdækning, hvilket gør det muligt for din organisation at genallokere nogle sikkerhedsressourcer og budget til andre forretningsprioriteter.
Hvorfor er databasesikkerhed vigtig?
Organisationer i alle størrelser i offentlige og private sektorer har problemer med databasesikkerhedsudfordringer. Det er forretningskritisk at forhindre databrud, fordi de kan føre til:
Datatyveri
Databaser er primære mål for cyberangreb, fordi de ofte gemmer værdifulde, fortrolige og følsomme oplysninger, herunder kundeposter, kreditkortnumre, bankkontonumre og personlige identifikationsnumre. Hackere bruger disse oplysninger til at stjæle identiteter og foretage uautoriserede køb.
Skade på virksomhedens og brandets omdømme
Kunder tøver med at gøre forretninger med virksomheder, der ikke beskytter deres personlige data. Databasesikkerhedsproblemer, der kompromitterer kundeoplysninger, kan beskadige organisationens omdømme, hvilket resulterer i et fald i salg og kundeafgang. For at beskytte deres omdømme og genopbygge kundetilliden øger nogle virksomheder deres investeringer i pr-relationer og tilbyder kreditovervågningssystemer til deres brud på datasikkerheden uden beregning.
Indtægtstab
Et databrud kan stoppe eller sænke virksomhedens drift og omsætning, indtil databasesikkerhedsudfordringerne er løst, systemet kører helt igen, og forretningskontinuiteten gendannes.
Øgede omkostninger
Selvom antallet varierer efter branche, kan brud på datasikkerheden koste millioner af dollars at løse, herunder juridiske gebyrer, hjælpe med at hjælpe med at få penge og ekstra udgifter til at genoprette data og gendanne systemer. Virksomheder kan også betale ransomware til hackere, der kræver betaling for at gendanne deres låste filer og data. For at beskytte sig mod disse omkostninger føjer mange virksomheder cyberforsikring til deres politikker.
Straf for overtrædelse af databrud
Statslige og lokale myndigheder påbyder i nogle tilfælde, at kunderne kompenseres, når virksomhederne ikke beskytter deres kundedata.
Bedste praksis for databasesikkerhed
Vi har diskuteret, hvordan du sikrer en database, herunder kryptering af data, godkendelse af kun autoriserede brugere mod databasen eller programmet, begrænsning af brugeradgangen til det relevante undersæt af dataene og løbende overvågning og overvågning af aktiviteter. Bedste praksis for databasesikkerhed udvider yderligere disse funktioner for at give endnu mere beskyttelse mod trusler.
Forstærkning af databaser
Sikring eller "forstærkning" af en databaseserver kombinerer sikkerhed i forbindelse med fysiske netværk og operativsystemer for at håndtere sikkerhedsrisici og gøre det sværere for hackere at få adgang til systemet. Bedste praksis til databaseforstærkning varierer afhængigt af typen af databaseplatform. Almindelige trin omfatter en styrkelse af adgangskodebeskyttelse og adgangskontrol, sikring af netværkstrafik og kryptering af følsomme felter i databasen.
Omfattende datakryptering
Ved at styrke datakryptering gør disse funktioner det nemmere for organisationer at sikre deres data og overholde reglerne:
- Altid krypterede data giver indbygget beskyttelse af data mod tyveri under overførsel, i hukommelsen, på disken og endda under behandling af forespørgsler.
- Gennemsigtig datakryptering beskytter mod truslen om skadelig offlineaktivitet ved at kryptere gemte data (inaktive data). Gennemsigtig datakryptering udfører kryptering og dekryptering af databasen i realtid, tilknyttede sikkerhedskopier og inaktive transaktionslogfiler uden at kræve ændringer af programmet.
Når de kombineres med understøttelse af den stærkeste version af TLS-netværksprotokollen (Transport Layer Security), giver altid krypterede data og gennemsigtig datakryptering en omfattende krypteringsløsning til økonomi-, bank- og sundhedsorganisationer, der skal overholde PCI DSS (Payment Card Industry Data Security Standard), som kræver stærk komplet beskyttelse af betalingsdata.
Avanceret trusselsbeskyttelse
Avanceret trusselsbeskyttelse analyserer logfiler for at registrere usædvanlig adfærd og potentielt skadelige forsøg på at få adgang til eller udnytte databaser. Underretninger oprettes for mistænkelige aktiviteter som SQL-injektion, potentiel dataindtrængning og brute force-angreb eller for afvigelser i adgangsmønstre for at fange rettighedseskaleringer og brug af legitimationsoplysninger, der er brudt.
Separate godkendelseskonti
Som bedste praksis skal brugere og programmer bruge separate konti til godkendelse. Dette begrænser de tilladelser, der er tildelt brugere og programmer, og reducerer risikoen for skadelig aktivitet. Det er især vigtigt, hvis programkoden er sårbar over for et SQL-injektionsangreb.
Princippet om færrest rettigheder
Informationssikkerhedsprincippet for færrest rettigheder forudsætter, at brugere og programmer kun skal have adgang til de data og handlinger, de har brug for til at udføre deres job. Denne bedste praksis hjælper med at reducere programmets angrebsoverflade og virkningen af et sikkerhedsbrud (blast radius), hvis der opstår en sådan.
Nul tillid-sikkerhedsmodel
Bedste praksis for databasesikkerhed bør være en del af en omfattende tilgang til sikkerhed , der arbejder sammen på tværs af platforme og cloudmiljøer for at beskytte hele organisationen. En Nul tillid-sikkerhedsmodel validerer identiteter og enhedens overholdelse af angivne standarder for hver adgangsanmodning for at beskytte personer, enheder, apps og data, uanset hvor de er placeret. I stedet for at antage, at alt bag virksomhedens firewall er sikkert, antager Nul tillid-modellen brud og bekræfter hver anmodning, som om den stammer fra et åbent netværk. Uanset hvor anmodningen stammer fra, eller hvilken ressource den har adgang til, lærer Nul tillid os "aldrig at have tillid, altid bekræfte."
Løsninger og værktøjer til databasesikkerhed
De seneste databrud med høj profil har understreget den stadigt mere avancerede trusselsfaktor og kompleksiteten ved at administrere forretningsrisici i en verden med stadig flere forbindelser. Hjælp trygt din organisation med at bekæmpe trusler og beskytte dine data med disse komplette sikkerheds- og databasesikkerhedsprodukter.
Løsninger til databasesikkerhed
Aktivér Nul tillid med Microsofts sikkerhedsløsninger. Brug en komplet tilgang til sikkerhed for at beskytte dine medarbejdere, data og din infrastruktur.
Styrk dit sikkerhedsniveau med Azure. Brug indbyggede sikkerhedskontroller med flere lag og enestående oplysninger om trusler fra Azure til at identificere og beskytte dig mod trusler. Mere end 3.500 globale eksperter inden for cybersikkerhed arbejder sammen for at hjælpe med at beskytte dine data i Azure.
Værktøjer til databasesikkerhed
Drag fordel af indbyggede Azure-databasesikkerhedsværktøjer og -tjenester herunder Always Encrypted-teknologi; intelligent trusselsbeskyttelse; sikkerhedskontroller, databaseadgang og godkendelseskontroller, såsom sikkerhed på rækkeniveau og dynamisk datamaskering, overvågning, trusselsregistreringog dataovervågning med Microsoft Defender for Cloud.
Beskyt dine NoSQL-databaser med Azure Cosmos DB, som omfatter omfattende avancerede databasesikkerhedsværktøjer , der hjælper dig med at forhindre, registrere og reagere på databasebrud.
Software og tjenester til databasesikkerhed
Beskyt adgangen til ressourcer og data med Azure Active Directory. Denne identitetstjeneste til virksomheder giver mulighed for enkeltlogon, multifaktorgodkendelse og betinget adgang for at beskytte mod 99,9 % af angrebene på cybersikkerheden.
Gem og få adgang til hemmeligheder på sikker vis ved hjælp af Azure Key Vault. En hemmelighed er alt, hvad du vil kontrollere adgangen til, f.eks. API-nøgler, adgangskoder, certifikater eller kryptografiske nøgler. Sikker nøgleadministration er vigtig i forbindelse med beskyttelse af data i skyen.
Ofte stillede spørgsmål
-
Databasesikkerhed er de processer, værktøjer og kontroller, der sikrer og beskytter databaser mod utilsigtede og tilsigtede trusler. Formålet med databasesikkerhed er at sikre følsomme data og bevare databasens fortrolighed, tilgængelighed og integritet. Ud over at beskytte dataene i databasen beskytter databasesikkerhed databaseadministrationssystemet og tilknyttede programmer, systemer, fysiske og virtuelle servere samt netværksinfrastrukturen.
-
Organisationer har brug for flere lag af databeskyttelse for at opnå den højeste grad af databasesikkerhed. Dette omfatter firewalls til netværkssikkerhed, adgangskontrol, overvågnings- og trusselsregistreringsfunktioner, datakryptering, sikkerhedskopiering og genoprettelse af databaser samt fysisk sikkerhed for serveren, hardwarekomponenter og sikkerhedskopimedier.
-
Databasesikkerhed beskytter mod databrud. Forebyggelse af databrud er forretningskritisk, fordi de kan koste millioner af dollars at løse, herunder juridiske gebyrer, offererstatning, data og systemgendannelse samt gebyrer for manglende overholdelse af regler. Virksomheder kan også betale ransomware til hackere, der kræver betaling for at gendanne deres låste filer og data.
-
Bedste praksis for databasesikkerhed håndterer sikkerhedsrisici og gør det sværere for hackere at få adgang til systemet. De omfatter databaseforstærkning, altid krypterede data, separat godkendelse, avanceret trusselsbeskyttelse og princippet om færrest rettigheder, som hævder, at brugere og programmer kun skal have adgang til de data og handlinger, de skal bruge for at udføre deres job.
-
Styrk din sikkerhedstilstand med Microsofts komplette Nul tillid-sikkerhed og Azure-databasesikkerhed. Brug indbyggede sikkerhedskontroller med flere lag og enestående oplysninger om trusler til at identificere og beskytte dig mod trusler. Det dybdegående design af Azure-tjenester giver sikkerhed i flere lag på tværs af fysiske datacentre, infrastruktur og handlinger i Azure.
Begynd at udvikle med Azure
Prøv Azure-tjenester til cloudcomputing gratis i op til 30 dage, eller kom i gang med priser, hvor du betaler efter forbrug. Der er ingen forudgående forpligtelser – du kan annullere når som helst.