¿Qué es la seguridad para bases de datos?
Obtenga información sobre cómo hacer seguras las bases de datos y protegerlas de amenazas
¿Qué es la seguridad para bases de datos?
La seguridad para bases de datos engloba los procesos, las herramientas y los controles seguros que protegen las bases de datos frente a amenazas accidentales e intencionadas. El objetivo de la seguridad para bases de datos es proteger los datos confidenciales y mantener la confidencialidad, la disponibilidad y la integridad de la base de datos. Además de proteger los datos dentro de la base de datos, la seguridad para bases de datos protege el sistema de administración de bases de datos y las aplicaciones, sistemas, servidores físicos y virtuales asociados y la infraestructura de la red.
Para responder a la pregunta «qué es la seguridad para bases de datos», es importante reconocer que hay varios tipos de riesgos de seguridad. La seguridad de la base de datos debe protegerse contra errores humanos, privilegios excesivos en las bases de datos de los empleados, ataques de hackers e insiders, malware, exposición de medios de almacenamiento de copias de seguridad, daños físicos en servidores de bases de datos y bases de datos vulnerables, como aquellas sin revisiones o con demasiados datos en búferes.
Tipos de seguridad para bases de datos
Para lograr el máximo grado de seguridad en las bases de datos, las organizaciones necesitan varias capas de protección de datos. Con ese fin, una estrategia de seguridad de defensa en profundidad (DiD) coloca varios controles en todo el sistema de TI. Si se produce un error en una capa de protección, se aplica otra para evitar inmediatamente el ataque, como se muestra a continuación.
Seguridad de la red
- Los Firewalls sirven como primera línea de defensa en la seguridad DID para bases de datos. Lógicamente, un firewall es un separador o limitador del tráfico que se puede configurar para aplicar la directiva de seguridad de datos de la organización. Si se usa un firewall, aumentará la seguridad en el nivel del sistema operativo proporcionando un punto de interrupción en el que se puedan centrar las medidas de seguridad.
Administración de acceso
- La autenticación es el proceso que demuestra que el usuario es quien dice ser escribiendo su identificador y contraseña correctos. Algunas soluciones de seguridad permiten a los administradores administrar de forma centralizada las identidades y los permisos de los usuarios de la base de datos en una ubicación central. Esto incluye la minimización del almacenamiento de contraseñas y habilita directivas de rotación de contraseñas centralizadas.
- La autorización permite a cada usuario obtener acceso a determinados objetos de datos y hacer determinadas operaciones de base de datos como leer sin modificar datos, modificar sin eliminar datos o eliminar datos.
- El administrador del sistema que asigna permisos a un usuario dentro de una base de datos administra elcontrol de acceso. Los permisos se administran idealmente agregando cuentas de usuario a los roles de base de datos y asignando permisos de nivel de base de datos a esos roles. Por ejemplo, la seguridad de nivel de fila (RLS, por sus siglas en inglés) permite que los administradores de las bases de datos puedan restringir el acceso de lectura y escritura a las filas de datos en función de la identidad de un usuario, la pertenencia a roles o el contexto de ejecución de consultas. La seguridad de nivel de fila centraliza la lógica de acceso dentro de la propia base de datos, lo que simplifica el código de la aplicación y reduce el riesgo de divulgación accidental de datos.
Protección contra amenazas
- La auditoría hace un seguimiento de las actividades de la base de datos y ayuda a mantener el cumplimiento de los estándares de seguridad registrando los eventos de la base de datos en un registro de auditoría. Esto permite supervisar las actividades de la base de datos en curso, así como analizar e investigar actividades históricas para identificar posibles amenazas o sospechas de abuso y infracciones de seguridad.
- La detección de amenazas detecta actividades anómalas en la base de datos que indican una posible amenaza de seguridad a la base de datos y le puede exponer información sobre eventos sospechosos directamente al administrador.
Information Protection
- El cifrado de datos protege los datos confidenciales conviértalos en un formato alternativo para que solo las partes deseadas puedan descifrarlos de nuevo a su forma original y tener acceso a ellos. Aunque el cifrado no resuelve problemas de control de acceso, mejora la seguridad limitando la pérdida de datos cuando se omiten los controles de acceso. Por ejemplo, si el equipo que hospeda la base de datos está mal configurado y un usuario malintencionado obtiene datos confidenciales, como números de tarjetas de crédito, esa información robada podría no ser útil si está cifrada.
- La recuperación y copia de datos de una base de datos es fundamental para proteger la información. Este proceso implica hacer copias de seguridad de la base de datos y los archivos de registro periódicamente y almacenar estas copias en una ubicación segura. La copia de seguridad y el archivo están disponibles para restaurar la base de datos en caso de error o infracción de seguridad.
- La seguridad física limita estrictamente el acceso al servidor físico y a los componentes de hardware. Muchas organizaciones con bases de datos locales usan salas bloqueadas con acceso restringido para el hardware del servidor de bases de datos y los dispositivos de red. También es importante limitar el acceso a los medios de copia de seguridad almacenándolos en una ubicación segura fuera de este sitio.
Plataformas de seguridad para bases de datos
Dependiendo la plataforma de la base de datos, la cantidad de responsabilidades de seguridad para bases de datos que lleve a cabo puede variar. Si se tiene una solución local, se debe proporcionar todo, desde la protección de punto de conexión hasta la seguridad física del hardware, lo que no es una tarea sencilla. Si elige un proveedor de bases de datos en la nube de plataformas como servicio (PaaS), las preocupaciones se reducen considerablemente.
La nube ofrece importantes ventajas para resolver muchos desafíos de seguridad de información. En un entorno local, es probable que las organizaciones tengan responsabilidades no cubiertas y recursos limitados disponibles para invertir en seguridad, lo que crea un entorno en el que los atacantes pueden aprovechar las vulnerabilidades en todas las capas.
El siguiente diagrama muestra un enfoque tradicional donde muchas responsabilidades de seguridad no se cumplen debido a los recursos limitados. En el enfoque habilitado para la nube, puede cambiar las responsabilidades de seguridad diarias a su proveedor de nube y obtener más cobertura de seguridad, lo que libera a su organización y podrá reasignar algunos recursos de seguridad y presupuestos a otras prioridades empresariales.
¿Por qué es importante la seguridad en las bases de datos?
Las organizaciones, independientemente de su tamaño, tanto del sector público como del privado, tienen dificultades en la seguridad de las bases de datos. La prevención de vulneraciones de datos es crucial para las empresas porque pueden causar:
Robo de datos
Las bases de datos son el objetivo principal de los ataques cibernéticos porque suelen almacenar información valiosa, importante y confidencial, como registros de clientes, números de tarjetas de crédito, números de cuenta bancaria y números de identificación personal. Los hackers usan esta información para robar identidades y hacer compras no autorizadas.
Daños en la reputación empresarial y de la marca
Los clientes dudan a la hora de comprar en compañías que no protegen sus datos personales. Los problemas de seguridad en las bases de datos que ponen en peligro la información del cliente pueden dañar la reputación de la organización, lo que provoca una disminución en las ventas y la pérdida de clientes. Para proteger la reputación y recuperar la confianza de los clientes, algunas empresas aumentan sus inversiones en relaciones públicas y ofrecen sistemas de supervisión de crédito que no acarrean cargo alguno para las víctimas de una vulneración de datos.
Pérdida de ingresos
Una vulneración de datos puede detener o ralentizar las operaciones empresariales y la generación de ingresos hasta que se resuelvan los desafíos de seguridad en bases de datos, el sistema esté completamente activo y funcionando de nuevo y se restaure la continuidad empresarial.
Mayores gastos
Aunque los números varían según el sector, corregir infracciones de datos pueden acarrear gastos millonarios, incluidos los honorarios legales, la asistencia a las víctimas y los gastos adicionales para recuperar los datos y restaurar los sistemas. Las empresas también pueden pagar ransomware a los hackers que solicitan el pago para restaurar sus archivos y datos bloqueados. Para protegerse de estos costos, muchas empresas agregan ciberseguridad a sus directivas.
Sanciones por infracción de vulneración de datos
Las agencias estatales y locales imponen sanciones y, en algunos casos, requieren que los clientes sean compensados, cuando las empresas no protegen los datos del cliente.
Procedimientos recomendados de seguridad para bases de datos
Hemos comentado que la forma de proteger una base de datos incluye el cifrado de datos, la autenticación de solo usuarios autorizados en la base de datos o aplicación, la limitación del acceso de los usuarios al subconjunto adecuado de los datos y la supervisión y auditoría continuas de las actividades. Los procedimientos recomendados de seguridad para bases de datos amplían aún más estas funciones para proporcionar aún más protección contra amenazas.
Protección para bases de datos
Proteger o "reforzar" un servidor de bases de datos combina la seguridad física, de red y del sistema operativo para solucionar vulnerabilidades y dificultar el acceso de los hackers al sistema. Los procedimientos recomendados de protección de bases de datos varían en función del tipo de plataforma de base de datos. Entre los pasos comunes se incluyen reforzar la protección con contraseña y los controles de acceso, proteger el tráfico de red y cifrar los campos confidenciales de la base de datos.
Cifrado de datos completo
Al reforzar el cifrado de datos, estas funcionalidades facilitan a las organizaciones la seguridad de los datos y el cumplimiento de las normativas:
- Los datos siempre cifrados ofrecen una protección de datos integrada contra robos en tránsito, en memoria, en disco e incluso durante el procesamiento de consultas.
- El cifrado de datos transparente protege contra la amenaza de actividades malintencionadas sin conexión mediante el cifrado de datos almacenados (datos en reposo). El cifrado de datos transparente hace el cifrado y descifrado en tiempo real de la base de datos, las copias de seguridad asociadas y los archivos de registro de transacciones en reposo sin requerir cambios en la aplicación.
Cuando se combina la compatibilidad con la versión más segura del protocolo de red de Seguridad de al capa de transporte (TLS), los datos siempre cifrados y el cifrado de datos transparentes proporcionan una solución de cifrado completa para las organizaciones financieras, bancarias y de salud que necesitan cumplir con el Estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS), que exige una protección completa de los datos de pago.
Advanced Threat Protection
Advanced Threat Protection analiza los registros para detectar comportamientos inusuales e intentos potencialmente dañinos de obtener acceso a las bases de datos o de aprovechar sus vulnerabilidades. Se crean alertas para actividades sospechosas (como la inserción de SQL, la infiltración de datos potenciales y los ataques por fuerza bruta) o para anomalías en los patrones de acceso para capturar escalaciones de privilegios y el uso de credenciales infringidas.
Cuentas de autenticación separadas
Como procedimiento recomendado, los usuarios y las aplicaciones deben usar cuentas independientes para autenticarse. Esto limita los permisos concedidos a usuarios y aplicaciones y reduce el riesgo de actividad malintencionada. Es especialmente importante si el código de la aplicación es vulnerable a un ataque de inyección de código SQL.
Principio de privilegio mínimo
El principio de seguridad de la información de privilegios mínimos asevera que solo se les conceda acceso a los usuarios y a las aplicaciones a los datos y operaciones que requieren para hacer su trabajo. Este procedimiento recomendado ayuda a reducir la superficie expuesta a ataques de la aplicación y el impacto de una vulneración de seguridad (el radio de explosión) en caso de producirse.
Modelo de seguridad de Confianza cero
Los procedimientos recomendados de seguridad en bases de datos deben formar parte de un enfoque completo de seguridad que funcione conjuntamente entre plataformas y nubes para proteger toda la organización. Un modelo de seguridad Confianza cero valida las identidades y el cumplimiento de los dispositivos para cada solicitud de acceso a fin de proteger a las personas, los dispositivos, las aplicaciones y los datos dondequiera que se encuentren. En lugar de asumir que todo lo que hay detrás del firewall corporativo es seguro, el modelo de Confianza cero asume una vulneración y comprueba cada solicitud como si estuviese en una red abierta. Independientemente del origen de la solicitud o del recurso al que tenga acceso, Confianza cero nos enseña a "no confiar nunca, comprobar siempre".
Herramientas y soluciones de seguridad para bases de datos
Las recientes vulneraciones de datos de perfiles han puesto de manifiesto que la sofisticación de las amenazas actuales cada vez es mayor, así como la complejidad de administrar el riesgo empresarial en un mundo cada vez más conectado. Ayude a su organización a combatir las amenazas y a proteger los datos con estos productos de seguridad y de seguridad para bases de datos de un extremo a otro.
Soluciones de seguridad para bases de datos
Habilite Confianza cero con las soluciones de seguridad de Microsoft. Aplique un enfoque de un extremo a otro para proteger la seguridad de las personas, los datos y la infraestructura.
Fortalezca su posición de seguridad con Azure. Use controles de seguridad integrados multinivel y la inteligencia de amenazas única de Azure para ayudar a identificar amenazas y a protegerse. Más de 3500 expertos globales en ciberseguridad trabajan juntos para ayudar a proteger sus datos en Azure.
Herramientas de seguridad de base de datos
Aproveche los servicios y las herramientas de seguridad para bases de datos de Azure integrados, que incluyen la tecnología de Always Encrypted; protección inteligente contra amenazas; controles de seguridad, acceso a bases de datos y controles de autorización como seguridad de nivel de fila y enmascaramiento dinámico de datos, auditoría, detección de amenazas y supervisión de datos con Microsoft Defender for Cloud.
Proteja las bases de datos NoSQL con Azure Cosmos DB, que incluye herramientas avanzadas de seguridad para bases de datos completas para ayudarle a evitar, detectar y responder ante infracciones de bases de datos.
Software y servicios de seguridad para bases de datos
Acceso protegido a recursos y datos con Azure Active Directory. Proporciona un inicio de sesión único, autenticación multifactor y acceso condicional para protegerse contra el 99,9 % de los ataques contra la ciberseguridad.
Almacene y acceda de forma segura a los secretos mediante Azure Key Vault. Un secreto es cualquier cosa a la que quiera controlar estrechamente el acceso, como claves de API, contraseñas, certificados o claves criptográficas. La administración de claves seguras es esencial para proteger los datos en la nube.
Preguntas más frecuentes
-
La seguridad para bases de datos engloba los procesos, las herramientas y los controles seguros que protegen las bases de datos frente a amenazas accidentales e intencionadas. El objetivo de la seguridad para bases de datos es proteger los datos confidenciales y mantener la confidencialidad, la disponibilidad y la integridad de la base de datos. Además de proteger los datos dentro de la base de datos, la seguridad para bases de datos protege el sistema de administración de bases de datos y las aplicaciones, los sistemas, los servidores físicos y virtuales asociados y la infraestructura de la red.
-
Para lograr el mayor grado de seguridad en las bases de datos, las organizaciones necesitan varias capas de protección para sus datos. Esto incluye firewalls de seguridad de red, controles de acceso, capacidades de auditoría y detección de amenazas, cifrado de datos, copia de seguridad y recuperación de bases de datos, así como seguridad física del servidor, componentes de hardware y medios de copia de seguridad.
-
La seguridad para bases de datos protege contra las vulneraciones de datos. La prevención de vulneraciones de datos es crucial para las empresas porque pueden acarrear gastos millonarios, incluidos los honorarios legales, la compensación de la víctima, la restauración de datos y del sistema y las sanciones por incumplimiento de la normativa. Las empresas también pueden pagar ransomware a los hackers que solicitan el pago para restaurar sus archivos y datos bloqueados.
Más información sobre por qué es importante la seguridad en las bases de datos
-
Los procedimientos recomendados de seguridad en bases de datos solucionan vulnerabilidades y hacen que sea más difícil que los hackers accedan al sistema. Incluyen la protección de bases de datos, los datos siempre cifrados, la autenticación independiente, la protección contra amenazas avanzada y el principio de privilegios mínimos, que afirma que los usuarios y las aplicaciones deben tener acceso solo a los datos y a las operaciones que necesitan para realizar sus trabajos.
-
Refuerce la seguridad con la seguridad de un extremo a otro de Confianza cero de Microsoft y la seguridad para bases de datos de Azure. Use controles de seguridad integrados en varios niveles y la inteligencia de amenazas única para ayudar a identificar amenazas y a protegerse. El diseño de defensa en profundidad de los servicios de Azure proporciona seguridad multicapa en centros de datos físicos, infraestructura y operaciones en Azure.
Empiece a crear soluciones en Azure
Pruebe servicios de informática en la nube de Azure gratis durante un máximo de 30 días o empiece a usar los precios de pago por uso. No hay ningún compromiso inicial: cancele en cualquier momento.