Mi az az adatbázis-biztonság?

• A Tűzfalak  a DiD adatbázis-biztonság első védelmi vonalaként szolgálnak. Logikailag a tűzfal a hálózati forgalom elkülönítő vagy korlátozó eszköze, amely úgy konfigurálható, hogy kényszerítse a szervezet adatbiztonsági szabályzatát. Ha tűzfalat használ, azzal növeli a biztonságot az operációs rendszer szintjén, mivel egy olyan csomópontot biztosít, amelyre a biztonsági intézkedések összpontosíthatók.

• A hitelesítés  az a folyamat, amelynek során a felhasználó a helyes felhasználói azonosító és jelszó megadásával bizonyítja, hogy valóban az, akinek vallja magát. Egyes biztonsági megoldások lehetővé teszik a rendszergazdák számára, hogy centralizáltan, egy központi helyen kezeljék az adatbázis felhasználóinak identitásait és jogosultságait. Ez magában foglalja a jelszavak tárolásának minimalizálását, és lehetővé teszi a központosított jelszóváltogatási szabályzatok alkalmazását.
• Az engedélyezés  lehetővé teszi az egyes felhasználók számára, hogy hozzáférjenek bizonyos adatobjektumokhoz, és végrehajthassanak meghatározott adatbázis-műveleteket, például olvashatják, de nem módosíthatják az adatokat, módosíthatják, de nem törölhetik az adatokat, vagy törölhetik az adatokat.
• A hozzáférés-vezérlést  a rendszergazda kezeli, aki engedélyeket rendelhet egy adatbázis felhasználójához. A jogosultságok kezelése ideális esetben úgy történik, hogy a felhasználói fiókokat  adatbázis-szerepkörökhöz  adják hozzá, és ezekhez a szerepkörökhöz adatbázis-szintű jogosultságokat rendelnek. A  sorszintű biztonság  (RLS) például lehetővé teszi az adatbázis adminisztrátorainak, hogy korlátozzák az olvasási és írási hozzáférést az adatsorokhoz a felhasználó identitása, szerepkörtagsága vagy a lekérdezés végrehajtásának környezete alapján. Az RLS a hozzáférési logikát magában az adatbázisban központosítja, ami leegyszerűsíti az alkalmazáskódot és csökkenti a véletlen adatfelfedés kockázatát.

• A naplózás  nyomon követi az adatbázis-tevékenységeket, és az adatbázis-események auditnaplóba történő rögzítésével segít fenntartani a biztonsági szabványoknak való megfelelést. Ez lehetővé teszi a folyamatban lévő adatbázis-tevékenységek monitorozását, valamint az előzménytevékenységek elemzését és vizsgálatát a potenciális fenyegetések vagy a gyanús visszaélések és biztonsági szabálysértések azonosítása érdekében.
• A fenyegetésészlelés  felderíti az adatbázist fenyegető esetleges biztonsági fenyegetést jelző szokatlan adatbázis-tevékenységeket, és a gyanús eseményekre vonatkozó információkat közvetlenül a rendszergazdának továbbítja.

• Az adattitkosítás úgy gondoskodik a bizalmas adatok védelméről, hogy azokat egy alternatív formátumba alakítja át, így csak a kívánt felek fejthetik vissza az eredeti formátumba, és férhetnek hozzá az adatokhoz. Bár a titkosítás nem oldja meg a hozzáférés-vezérlési problémákat, növeli a biztonságot azáltal, hogy korlátozza az adatvesztést a hozzáférés-vezérlés megkerülése esetén. Ha például az adatbázist üzemeltető gazdaszámítógépet helytelenül konfigurálták, és egy rosszindulatú felhasználó bizalmas adatokat, például hitelkártyaszámokat szerez meg, akkor az eltulajdonított információk a titkosítás révén használhatatlanná válhatnak.
• Az adatbázisok biztonsági mentési adatai és helyreállítása kritikus fontosságú az információk védelme szempontjából. Ez a folyamat magában foglalja az adatbázis és a naplófájlok rendszeres biztonsági másolatainak létrehozását, és a másolatok biztonságos helyen történő tárolását. A biztonsági másolat és a fájl rendelkezésre áll az adatbázis visszaállításához biztonsági incidens vagy hiba esetén.
• A fizikai biztonság szigorúan korlátozza a fizikai kiszolgálóhoz és a hardverösszetevőkhöz való hozzáférést. Számos, helyszíni adatbázisokkal rendelkező szervezet az adatbázis-kiszolgáló hardver és a hálózati eszközök elhelyezésére zárható, korlátozott hozzáféréssel rendelkező helyiségeket használ. Emellett fontos, hogy korlátozzák a biztonsági másolatokhoz való hozzáférést azáltal, hogy biztonságos külső helyszínen tárolják azokat.

Az adatbázis-kiszolgálók védelme vagy "megerősítése" a fizikai, a hálózati és az operációs rendszer biztonságát foglalja magában a biztonsági rések kiküszöbölése és a hackerek számára a rendszerhez való hozzáférés megnehezítése érdekében. Az adatbázisok megerősítésének ajánlott eljárásai az adatbázisplatform típusától függően változnak. Az általános lépések közé tartozik a jelszóvédelem és a hozzáférés-vezérlés megerősítése, a hálózati forgalom biztonságossá tétele és az adatbázis bizalmas mezőinek titkosítása.

Az adattitkosítás megerősítésével ezek a képességek megkönnyítik a szervezetek számára az adatok védelmét és az előírások betartását:

• Az adatok állandó titkosítása beépített védelmet nyújt az adatlopás veszélye ellen a továbbítás során, a memóriában, a lemezen és a lekérdezésfeldolgozás során is.
• A transzparens adattitkosítás a tárolt adatok (inaktív adatok) titkosításával védelmet nyújt a kártékony offline tevékenységek ellen. A transzparens adattitkosítás valós idejű titkosítást és visszafejtést végez az adatbázisban, a kapcsolódó biztonsági mentésekben és az inaktív állapotú tranzakciós naplófájlokban, az alkalmazás módosítása nélkül.

Az adatok állandó titkosítása és a transzparens adattitkosítás a Transport Layer Security (TLS) hálózati protokoll legerősebb verziójának támogatásával kombinálva átfogó titkosítási megoldást nyújt a pénzügyi, hitelintézeti és egészségügyi szervezetek számára, amelyeknek meg kell felelniük a Payment Card Industry Data Security Standard (PCI DSS) szabványnak, ami a fizetési adatok szigorú, átfogó védelmét írja elő.

A Komplex veszélyforrások elleni védelem használatával felismerheti a szokatlan viselkedést és az adatbázisok elérésére vagy kihasználására irányuló, potenciálisan káros kísérleteket. A gyanús tevékenységek, például SQL-injektálás, potenciális adatbeszivárgás és találgatásos támadások, illetve a hozzáférési mintákban mutatkozó rendellenességek esetén riasztások jönnek létre a jogosultságemelések és a feltört hitelesítő adatok észlelése érdekében.

Ajánlott eljárásként a felhasználóknak és az alkalmazásoknak külön fiókokat kell használniuk a hitelesítéshez. Ezzel korlátozhatja a felhasználók és alkalmazások számára biztosított engedélyeket, és csökkentheti a rosszindulatú tevékenységek kockázatát. Ez különösen akkor kritikus fontosságú, ha az alkalmazáskód sebezhető SQL-injektálási támadással szemben.

A minimális jogosultságok információbiztonsági alapelve  azt jelenti, hogy a felhasználók és alkalmazások csak azokhoz az adatokhoz és műveletekhez kaphatnak hozzáférést, amelyekre munkájuk elvégzéséhez szükségük van. Ez az ajánlott eljárás segít csökkenteni az alkalmazás támadási felületét és a biztonsági incidensek (a robbanási sugár) hatását.

Az adatbázisok biztonságával kapcsolatos ajánlott eljárásoknak egy  átfogó biztonsági megközelítés  részét kell képezniük, amely a platformok és felhők területén együttműködve biztosítja az egész szervezet védelmét. A Teljes felügyelet biztonsági modell minden hozzáférési kérelemnél ellenőrzi az identitást és az eszköz megfelelőségét, hogy védelmet nyújtson az alkalmazottak, az eszközök, az alkalmazások és az adatok számára, függetlenül attól, hogy hol találhatók. Ahelyett, hogy azt venné alapul, hogy a vállalati tűzfal mögött minden biztonságos, a Teljes felügyelet modell feltételezi a biztonsági előírások megsértését, és minden egyes kérelmet úgy ellenőriz, mintha az egy nyílt hálózatból érkezne. Függetlenül attól, hogy honnan származik a kérelem, vagy milyen erőforráshoz fér hozzá, a Teljes felügyelet arra ösztönöz, hogy "soha ne bízzunk, mindig ellenőrizzünk."

Teljes felügyelet engedélyezése a Microsoft biztonsági megoldásaival. Teljes körű biztonsági megközelítést alkalmazva gondoskodhat az emberek, az adatok és az infrastruktúra védelméről.

A biztonsági állapot megerősítése az Azure-ralAz Azure segítségével megerősítheti biztonsági helyzetet. Az Azure többrétegű, beépített biztonsági vezérlőit és intelligens veszélyforrás-felderítését használhatja a fenyegetések azonosításához és elhárításához. Több mint 3500 globális kiberbiztonsági szakértő dolgozik együtt, hogy segítsen megvédeni az Ön adatait az Azure-ban.

Használja ki az Azure Database beépített biztonsági eszközeit és szolgáltatásaitHasználja ki az Azure Database beépített biztonsági eszközeit és szolgáltatásait , többek között az  Always Encrypted technológiaAlways Encrypted technológiát; az  intelligens veszélyforrások elleni védelmet; a  biztonsági vezérlőket, az adatbázis-hozzáférési és engedélyezési vezérlőket, például a sorszintű biztonságot , a  dinamikus adatmaszkolást, a  Naplózás az Azure SQL Database-hez és az Azure Synapse Analyticsheznaplózást, a  Fenyegetésészlelésfenyegetésészlelést, és az adatfigyelést a  Felhőhöz készült Microsoft Defender segítségével.

NoSQL-adatbázisait az Azure Cosmos DB segítségével védheti, amely átfogó, fejlett adatbázis-biztonsági eszközöket tartalmaz az adatbázis biztonsági incidensek megelőzéséhez, észleléséhez és elhárításához.