Hvad er databasesikkerhed?

• Firewalls fungerer som den første forsvarslinje i DiD-databasesikkerhed. Logisk set er en firewall en separator eller begrænsning af netværkstrafik, som kan konfigureres til at gennemtvinge organisationens politik for datasikkerhed. Hvis du bruger en firewall, øger du sikkerheden på operativsystemniveau ved at angive et chokpunkt, hvor dine sikkerhedsforanstaltninger kan fokuseres.

• Godkendelse er den proces, hvor det bevises, at brugeren er den person, som han eller hun hævder at være, ved at angive det korrekte bruger-id og den korrekte adgangskode. Nogle sikkerhedsløsninger giver administratorer mulighed for at administrere databasebrugernes identiteter og tilladelser centralt på ét centralt sted. Dette omfatter minimering af lagring af adgangskoder og muliggør centraliserede politikker for rotation af adgangskoder.
• Autorisation gør det muligt for hver bruger at få adgang til bestemte dataobjekter og udføre visse databasehandlinger, f.eks. læse, men ikke ændre data, ændre, men ikke slette data eller slette data.
• Adgangskontrol administreres af den systemadministrator, der tildeler tilladelser til en bruger i en database. Tilladelser administreres ideelt ved at føje brugerkonti til databaseroller og tildele tilladelser på databaseniveau til disse roller. For eksempel giver sikkerhed på rækkeniveau (RLS) databaseadministratorer mulighed for at begrænse læse- og skriveadgang til rækker med data baseret på en brugers identitet, rollemedlemskaber eller kontekst for udførelse af forespørgsler. Sikkerhed på rækkeniveau centraliserer adgangslogikken i selve databasen, hvilket forenkler programkoden og reducerer risikoen for utilsigtet afsløring af data.

• Overvågning sporer databaseaktiviteter og hjælper med at overholde sikkerhedsstandarder ved at registrere databasehændelser i en overvågningslog. Dette giver dig mulighed for at overvåge igangværende databaseaktiviteter samt analysere og undersøge historiske aktiviteter for at identificere potentielle trusler eller mistanke om misbrug og sikkerhedsovertrædelser.
• Trusselsregistrering afdækker unormale databaseaktiviteter, der indikerer en potentiel sikkerhedsrisiko for databasen og kan vise oplysninger om mistænkelige hændelser direkte til administratoren.

• Datakryptering beskytter følsomme data ved at konvertere dem til et alternativt format, så det kun er de tilsigtede parter, der kan dekryptere dem tilbage til deres oprindelige form og få adgang til dem. Selvom kryptering ikke løser problemer med adgangskontrol, forbedrer det sikkerheden ved at begrænse datatab, når adgangskontroller tilsidesættes. Hvis databasens værtscomputer f.eks. er konfigureret forkert, og en ondsindet bruger henter følsomme data, f.eks. kreditkortnumre, kan disse stjålne oplysninger være ubrugelige, hvis de krypteres.
• Sikkerhedskopiering af data og genoprettelse af databaser er afgørende for at beskytte oplysninger. Denne proces omfatter jævnligt sikkerhedskopiering af databasen og logfilerne og lagring af kopierne på en sikker placering. Sikkerhedskopien og filen er tilgængelige til gendannelse af databasen i tilfælde af sikkerhedsbrud eller -fejl.
• Fysisk sikkerhed begrænser adgangen til den fysiske server og hardwarekomponenterne. Mange organisationer med databaser i det lokale miljø bruger låste rum med begrænset adgang til databaseserverhardware og netværksenheder. Det er også vigtigt at begrænse adgangen til sikkerhedskopimedier ved at gemme dem på et sikkert sted uden for virksomheden.

Sikring eller "forstærkning" af en databaseserver kombinerer sikkerhed i forbindelse med fysiske netværk og operativsystemer for at håndtere sikkerhedsrisici og gøre det sværere for hackere at få adgang til systemet. Bedste praksis til databaseforstærkning varierer afhængigt af typen af databaseplatform. Almindelige trin omfatter en styrkelse af adgangskodebeskyttelse og adgangskontrol, sikring af netværkstrafik og kryptering af følsomme felter i databasen.

Ved at styrke datakryptering gør disse funktioner det nemmere for organisationer at sikre deres data og overholde reglerne:

• Altid krypterede data giver indbygget beskyttelse af data mod tyveri under overførsel, i hukommelsen, på disken og endda under behandling af forespørgsler.
• Gennemsigtig datakryptering beskytter mod truslen om skadelig offlineaktivitet ved at kryptere gemte data (inaktive data). Gennemsigtig datakryptering udfører kryptering og dekryptering af databasen i realtid, tilknyttede sikkerhedskopier og inaktive transaktionslogfiler uden at kræve ændringer af programmet.

Når de kombineres med understøttelse af den stærkeste version af TLS-netværksprotokollen (Transport Layer Security), giver altid krypterede data og gennemsigtig datakryptering en omfattende krypteringsløsning til økonomi-, bank- og sundhedsorganisationer, der skal overholde PCI DSS (Payment Card Industry Data Security Standard), som kræver stærk komplet beskyttelse af betalingsdata.

Avanceret trusselsbeskyttelse analyserer logfiler for at registrere usædvanlig adfærd og potentielt skadelige forsøg på at få adgang til eller udnytte databaser. Underretninger oprettes for mistænkelige aktiviteter som SQL-injektion, potentiel dataindtrængning og brute force-angreb eller for afvigelser i adgangsmønstre for at fange rettighedseskaleringer og brug af legitimationsoplysninger, der er brudt.

Som bedste praksis skal brugere og programmer bruge separate konti til godkendelse. Dette begrænser de tilladelser, der er tildelt brugere og programmer, og reducerer risikoen for skadelig aktivitet. Det er især vigtigt, hvis programkoden er sårbar over for et SQL-injektionsangreb.

 Informationssikkerhedsprincippet for færrest rettigheder forudsætter, at brugere og programmer kun skal have adgang til de data og handlinger, de har brug for til at udføre deres job. Denne bedste praksis hjælper med at reducere programmets angrebsoverflade og virkningen af et sikkerhedsbrud (blast radius), hvis der opstår en sådan.

Bedste praksis for databasesikkerhed bør være en del af en omfattende tilgang til sikkerhed , der arbejder sammen på tværs af platforme og cloudmiljøer for at beskytte hele organisationen. En Nul tillid-sikkerhedsmodel validerer identiteter og enhedens overholdelse af angivne standarder for hver adgangsanmodning for at beskytte personer, enheder, apps og data, uanset hvor de er placeret. I stedet for at antage, at alt bag virksomhedens firewall er sikkert, antager Nul tillid-modellen brud og bekræfter hver anmodning, som om den stammer fra et åbent netværk. Uanset hvor anmodningen stammer fra, eller hvilken ressource den har adgang til, lærer Nul tillid os "aldrig at have tillid, altid bekræfte."

Aktivér Nul tillid med Microsofts sikkerhedsløsninger. Brug en komplet tilgang til sikkerhed for at beskytte dine medarbejdere, data og din infrastruktur.

Styrk dit sikkerhedsniveau med Azure. Brug indbyggede sikkerhedskontroller med flere lag og enestående oplysninger om trusler fra Azure til at identificere og beskytte dig mod trusler. Mere end 3.500 globale eksperter inden for cybersikkerhed arbejder sammen for at hjælpe med at beskytte dine data i Azure.

Drag fordel af indbyggede Azure-databasesikkerhedsværktøjer og -tjenester herunder Always Encrypted-teknologi; intelligent trusselsbeskyttelse; sikkerhedskontroller, databaseadgang og godkendelseskontroller, såsom sikkerhed på rækkeniveau og dynamisk datamaskering, overvågning, trusselsregistreringog dataovervågning med Microsoft Defender for Cloud.

Beskyt dine NoSQL-databaser med Azure Cosmos DB, som omfatter omfattende avancerede databasesikkerhedsværktøjer , der hjælper dig med at forhindre, registrere og reagere på databasebrud.