¿Qué es la seguridad de las bases de datos?

• LosFirewalls son la primera línea de defensa en la seguridad de bases de datos DiD. Lógicamente, un firewall es un separador o limitador del tráfico de red, que puede configurarse para aplicar la directiva de seguridad de datos de su organización. Si utiliza un firewall, aumentará la seguridad del sistema operativo, ya que proporciona un cuello de botella en el que pueden concentrarse las medidas de seguridad.

• Autenticación es el proceso de demostrar que el usuario es quien dice ser introduciendo el ID de usuario y la contraseña correctos. Algunas soluciones de seguridad permiten a los administradores administrar de forma centralizada las identidades y permisos de los usuarios de la base de datos. Esto incluye la minimización de almacenamiento de contraseñas y permite directivas centralizadas de rotación de contraseñas.
• Autorización permite a cada usuario acceder a determinados objetos de datos y realizar ciertas operaciones en la base de datos como leer pero no modificar datos, modificar pero no borrar datos, o borrar datos.
• Control de acceso es realizado por el administrador del sistema, que asigna permisos a un usuario dentro de una base de datos. Los permisos se administran idealmente agregando cuentas de usuario a roles de base de datos y asignando permisos a nivel de base de datos a dichos roles. Por ejemplo, de seguridad de nivel de fila (RLS) permite a los administradores de bases de datos restringir el acceso de lectura y escritura a filas de datos en función de la identidad, la pertenencia a roles o el contexto de ejecución de consultas de un usuario. RLS centraliza la lógica de acceso en la propia base de datos, lo que simplifica el código de la aplicación y reduce el riesgo de revelación accidental de datos.

• Auditoría realiza un seguimiento de las actividades de la base de datos y ayuda a mantener el cumplimiento de las normas de seguridad registrando los eventos de la base de datos en un registro de auditoría. Esto le permite supervisar las actividades en curso de la base de datos, así como analizar e investigar la actividad histórica para identificar posibles amenazas o sospechas de abuso y violaciones de la seguridad.
• Detección de amenazas descubre las actividades anómalas de la base de datos que indican una posible amenaza para la seguridad de la base de datos y puede mostrar información sobre eventos sospechosos directamente al administrador.

• Cifrado de datos protege los datos confidenciales convirtiéndolos a un formato alternativo, de modo que solo las partes interesadas puedan descifrarlos y devolverlos a su forma original y acceder a ellos. Aunque el cifrado no resuelve los problemas de control de acceso, mejora la seguridad al limitar la pérdida de datos cuando se eluden los controles de acceso. Por ejemplo, si el equipo anfitrión de la base de datos está mal configurado y un usuario malintencionado obtiene datos sensibles, como números de tarjetas de crédito, esa información robada podría ser inútil si está encriptada.
• Copia de seguridad y recuperación de la base de datos es fundamental para proteger la información. Este proceso implica hacer copias de seguridad de la base de datos y de los archivos de registro de forma periódica y almacenar las copias en un lugar seguro. La copia de seguridad y el archivo están disponibles para restaurar la base de datos en caso de fallo o infracción de la seguridad.
• Seguridad física limita estrictamente el acceso al servidor físico y a los componentes de hardware. Muchas organizaciones con bases de datos locales usan salas cerradas con acceso restringido para el hardware del servidor de base de datos y los dispositivos de red. También es importante limitar el acceso a los soportes de copia de seguridad almacenándolos en un lugar seguro fuera de las instalaciones.

Proteger o "fortalecer" un servidor de base de datos combina la seguridad física, de red y del sistema operativo para hacer frente a las vulnerabilidades y dificultar el acceso de los piratas informáticos al sistema.operativo. Los procedimientos recomendados para reforzar las bases de datos varían según el tipo de plataforma de base de datos. Entre los pasos comunes se incluyen el refuerzo de la protección de contraseñas y los controles de acceso, la protección del tráfico de red y el cifrado de los campos confidenciales de la base de datos.

Al reforzar el cifrado de datos, estas capacidades facilitan a las organizaciones la protección de sus datos y el cumplimiento de la normativa:

• Datos siempre encriptados ofrece protección integrada de los datos contra robos en tránsito, en memoria, en disco e incluso durante el procesamiento de consultas.
• Cifrado transparente de datos protege contra la amenaza de actividades maliciosas fuera de línea mediante el cifrado de los datos almacenados (datos en reposo). El cifrado transparente de datos realiza el cifrado y descifrado en tiempo real de la base de datos, las copias de seguridad asociadas y los archivos de registro de transacciones en reposo sin necesidad de realizar cambios en la aplicación.

Cuando se combinan con la compatibilidad con la versión más potente del protocolo de red de la Seguridad de la capa de transporte (TLS), los datos siempre cifrados y el cifrado transparente de datos proporcionan una solución de cifrado completa para las organizaciones financieras, bancarias y del sector salud que necesitan cumplir la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS), que exige una protección sólida e integral de los datos de pago.

La protección avanzada contra amenazas analiza los registros para detectar comportamientos inusuales e intentos potencialmente dañinos de acceder a bases de datos o explotarlas. Se crean alertas para actividades sospechosas como ejecuciones SQL, posibles infiltraciones de datos y ataques de fuerza bruta, o para anomalías en los patrones de acceso para detectar escaladas de privilegios y uso de credenciales vulneradas.

Como procedimiento recomendado, los usuarios y las aplicaciones deben usar cuentas separadas para autenticarse. Esto limita los permisos concedidos a usuarios y aplicaciones y reduce los riesgos de actividad maliciosa. Es especialmente crítico si el código de la aplicación es vulnerable a un ataque por inyección de código SQL.

El principio de seguridad de la información del privilegio mínimo afirma que los usuarios y las aplicaciones solo deben tener acceso a los datos y operaciones que necesitan para realizar su trabajo. Este procedimiento recomendado ayuda a reducir la superficie de ataque de la aplicación y el impacto de una brecha de seguridad (el radio de explosión) en caso de que se produzca.

Los procedimientos recomendados para la seguridad de las bases de datos deben formar parte de un enfoque integral de la seguridad que funcione conjuntamente en todas las plataformas y nubes para proteger a toda la organización. Un modelo de seguridad de confianza cero valida las identidades y la conformidad de los dispositivos en cada solicitud de acceso para proteger a las personas, los dispositivos, las aplicaciones y los datos dondequiera que se encuentren. En lugar de suponer que todo lo que hay detrás del firewall corporativo es seguro, el modelo de confianza cero supone que hay una brecha y verifica cada solicitud como si procediera de una red abierta. Independientemente de dónde se origine la solicitud o a qué recurso acceda, la confianza cero nos enseña a "no confiar nunca, verificar siempre."

Habilite la confianza cero con las soluciones de seguridad de Microsoft. Adopte un enfoque integral de la seguridad para proteger a su personal, sus datos y su infraestructura.

Fortalezca su postura de seguridad con Azure. Use los controles de seguridad integrados de varias capas y la inteligencia sobre amenazas única de Azure para ayudar a identificar las amenazas y protegerse contra ellas. Más de 3 500 expertos globales en ciberseguridad trabajan juntos para ayudar a salvaguardar sus datos en Azure.

Aproveche las herramientas y servicios de seguridad integrados de Azure Database incluida la tecnología Always Encrypted; protección inteligente contra amenazas; controles de seguridad, controles de acceso y autorización a la base de datos, como seguridad a nivel de fila y enmascaramiento dinámico de datos, auditoría, detección de amenazasy supervisión de datos con Microsoft Defender for Cloud.

Proteja sus bases de datos NoSQL con Azure Cosmos DB, que incluye herramientas de seguridad de base de datos avanzadas completas para ayudarle a evitar, detectar y responder a infracciones de base de datos.