Che cos'è la sicurezza del database?

• I firewall fungono da prima linea di difesa nella sicurezza del database DiD. In termini logici, un firewall è un separatore o limitatore del traffico di rete che può essere configurato per applicare i criteri di sicurezza dei dati stabiliti dall'organizzazione. L'utilizzo di un firewall consente di aumentare la sicurezza a livello del sistema operativo, garantendo un punto di limitazione in cui è possibile implementare le misure di sicurezza.

• L'autenticazione è il processo per dimostrare che l'utente è quello che dichiara di essere immettendo l'ID utente e la password corretti. Alcune soluzioni di sicurezza consentono agli amministratori di gestire centralmente le identità e le autorizzazioni degli utenti del database in un'unica posizione centrale. Ciò include la riduzione dell'archiviazione di password e abilita i criteri centralizzati di rotazione delle password.
• L'autorizzazione consente a ogni utente di accedere a determinati oggetti dati ed eseguire determinate operazioni di database come la lettura ma non la modifica dei dati, la modifica ma non l'eliminazione dei dati o l'eliminazione dei dati.
• Il controllo di accesso è gestito dall'amministratore di sistema che assegna le autorizzazioni a un utente all'interno di un database. Le autorizzazioni vengono idealmente gestite aggiungendo account utente ai ruoli del database e assegnando autorizzazioni a livello di database a tali ruoli. Ad esempio, la sicurezza a livello di riga consente agli amministratori di database di limitare l'accesso in lettura e scrittura alle righe di dati in base all'identità di un utente, alle appartenenze ai ruoli o al contesto di esecuzione delle query. La sicurezza a livello di riga centralizza la logica di accesso all'interno del database stesso, semplificando il codice dell'applicazione e riducendo il rischio di divulgazione accidentale dei dati.

• Il controllo tiene traccia delle attività del database e consente di mantenere la conformità agli standard di sicurezza registrando gli eventi del database in un log di controllo. Il servizio di controllo consente agli utenti di monitorare le attività del database in corso e di analizzare ed esaminare l'attività cronologica per identificare potenziali minacce o uso improprio sospetto e violazioni della sicurezza.
• Il rilevamento delle minacce rileva attività anomale del database che indicano una potenziale minaccia alla sicurezza per il database e possono esporre informazioni sugli eventi sospetti direttamente all'amministratore.

• La crittografia dei dati protegge i dati sensibili convertendoli in un formato alternativo in modo che solo le parti previste possano decodificarli nel formato originale e accedervi. Anche se la crittografia non risolve i problemi di controllo di accesso, migliora la sicurezza limitando la perdita di dati quando i controlli di accesso vengono ignorati. Se, ad esempio, il computer host del database è configurato scorrettamente e un utente malintenzionato ottiene dati sensibili, ad esempio il numero di una carta di credito, le informazioni sottratte potrebbero essere inutilizzabili se crittografate.
• I dati di backup del database e il ripristino sono fondamentali per proteggere le informazioni. Questo processo prevede l'esecuzione regolare di copie di backup del database e dei file di log e l'archiviazione delle copie in un percorso sicuro. La copia di backup e il file sono disponibili per ripristinare il database in caso di violazione della sicurezza o errore.
• La sicurezza fisica limita rigorosamente l'accesso al server fisico e ai componenti hardware. Molte organizzazioni con database locali usano sale bloccate con accesso limitato per l'hardware del server di database e i dispositivi di rete. È anche importante limitare l'accesso ai supporti di backup archiviandoli in una posizione esterna sicura.

La protezione o "la protezione avanzata" di un server di database combina la sicurezza fisica, di rete e del sistema operativo per risolvere le vulnerabilità e rendere più difficile per gli hacker accedere al sistema. Le procedure consigliate per la protezione avanzata del database variano in base al tipo di piattaforma di database. I passaggi comuni includono il consolidamento della protezione delle password e dei controlli di accesso, la protezione del traffico di rete e la crittografia dei campi sensibili nel database.

Potenziando la crittografia dei dati, queste funzionalità semplificano alle organizzazioni la protezione dei dati e la conformità alle normative:

• I dati always encrypted offrono la protezione predefinita dei dati da furti in transito, in memoria, su disco e anche durante l'elaborazione delle query.
• Transparent Data Encryption protegge dalla minaccia di attività offline dannose crittografando i dati archiviati (dati inattivi). Transparent Data Encryption esegue la crittografia e la decrittografia in tempo reale del database, dei backup associati e dei file di log delle transazioni inattivi senza richiedere modifiche all'applicazione.

In combinazione con il supporto per la versione più avanzata del protocollo di rete Transport Layer Security (TLS), i dati sempre crittografati e la crittografia trasparente dei dati offrono una soluzione di crittografia completa per le organizzazioni finanziarie, bancarie e sanitarie che devono essere conformi a Payment Card Industry Data Security Standard (PCI DSS), che impone una protezione avanzata e end-to-end dei dati di pagamento.

Advanced Threat Protection analizza i log per rilevare comportamenti insoliti e tentativi potenzialmente dannosi di accesso o exploit dei database. Vengono creati avvisi per attività sospette, ad esempio SQL injection, potenziale infiltrazione dei dati e attacchi di forza bruta, oppure per anomalie nei modelli di accesso per rilevare le escalation dei privilegi e l'uso delle credenziali violate.

Come procedura consigliata, gli utenti e le applicazioni devono usare account separati per l'autenticazione. In questo modo è possibile limitare le autorizzazioni concesse a utenti e applicazioni e ridurre i rischi di attività dannose. È particolarmente importante se il codice dell'applicazione è vulnerabile a un attacco SQL injection.

Il principio di sicurezza delle informazioni con privilegi minimi afferma che agli utenti e alle applicazioni deve essere concesso l'accesso solo ai dati e alle operazioni necessari per eseguire il proprio lavoro. Questa procedura consigliata consente di ridurre la superficie di attacco dell'applicazione e l'impatto di una violazione della sicurezza (raggio di esplosione) in caso di verificarsi.

Le procedure consigliate per la sicurezza dei database devono far parte di un approccio completo alla sicurezza che interagisce tra piattaforme e cloud per proteggere l'intera organizzazione. Un modello di sicurezza Zero Trust convalida le identità e la conformità dei dispositivi per ogni richiesta di accesso per proteggere persone, dispositivi, app e dati ovunque si trovino. Invece di presumere che tutto ciò che si trova dietro il firewall aziendale sia sicuro, il modello di Zero Trust presuppone la violazione e verifica ogni richiesta come se fosse originata da una rete aperta. Indipendentemente da dove ha origine la richiesta o dalla risorsa a cui accede, Zero Trust ci insegna a "non considerare mai attendibile, verificare sempre."

Abilitare Zero Trust con le soluzioni di sicurezza Microsoft. Adotta un approccio end-to-end alla sicurezza per proteggere persone, dati e infrastruttura.

Rafforza la tua postura di sicurezza con Azure. Usa controlli di sicurezza multilivello predefiniti e intelligence esclusiva sulle minacce di Azure per identificare e proteggere dalle minacce. Più di 3.500 esperti globali di cybersecurity collaborano per proteggere i dati in Azure.

Sfrutta i vantaggi degli strumenti e dei servizi di sicurezza predefiniti di Database di Azure, inclusa la tecnologia Always Encrypted; la protezione intelligente dalle minacce; i controlli di sicurezza, l'accesso al database e i controlli di autorizzazione, ad esempio la sicurezza a livello di riga e la maschera dati dinamica, il controllo, il rilevamento delle minaccee il monitoraggio dei dati con Microsoft Defender per il cloud.

Proteggi i tuoi database NoSQL con Azure Cosmos DB, che include strumenti avanzati completi per la sicurezza dei database per prevenire, rilevare e rispondere alle violazioni del database.