데이터베이스 보안이란?

• 방화벽은 DiD 데이터베이스 보안의 첫 번째 방어선 역할을 합니다. 논리적으로 방화벽은 네트워크 트래픽을 분리 또는 제한하므로 방화벽을 구성하여 조직의 데이터 보안 정책을 강화할 수 있습니다. 방화벽을 사용하면 보안 조치를 중점적으로 취할 수 있는 검사점이 제공되어 운영 체제 수준의 보안이 향상됩니다.

• 인증은 올바른 사용자 ID와 암호를 입력하여 사용자가 본인임을 증명하는 프로세스입니다. 일부 보안 솔루션을 사용하면 관리자가 하나의 중앙 위치에서 데이터베이스 사용자의 ID 및 권한을 중앙에서 관리할 수 있습니다. 그러면 스토리지해야 하는 암호를 최소화하고 중앙 집중식 암호 순환 정책을 사용할 수 있습니다.
• 권한 부여를 사용하면 각 사용자가 특정 데이터 개체에 액세스하고 데이터는 읽지만 수정은 불가, 데이터는 수정되지만 삭제는 불가 또는 데이터 삭제와 같은 특정 데이터베이스 작업을 수행할 수 있습니다.
• 액세스 제어는 데이터베이스 내 사용자에게 권한을 할당하는 시스템 관리자가 관리합니다. 권한은 데이터베이스 역할에 사용자 계정을 추가하고 해당 역할에 데이터베이스 수준 권한을 할당하는 방식으로 관리합니다. 예를 들어 RLS(행 수준 보안)를 사용하면 데이터베이스 관리자가 사용자의 ID, 역할 멤버 자격 또는 쿼리 실행 컨텍스트에 따라 데이터 행에 대한 읽기 및 쓰기 액세스를 제한할 수 있습니다. RLS는 데이터베이스 자체 내의 액세스 논리를 중앙 집중화하여, 애플리케이션 코드를 간소화하고 실수로 인한 데이터 유출 위험을 줄입니다.

• 감사는 데이터베이스 활동을 추적하며 감사 로그에 데이터베이스 이벤트를 기록하여 보안 표준 규정 준수 상태를 유지할 수 있도록 지원합니다. 이를 통해 진행 중인 데이터베이스 활동을 모니터링하고 이전 활동을 분석 및 조사하여 잠재적 위협이나 악용 의심 사례 및 보안 위반을 식별할 수 있습니다.
• 위협 감지는 데이터베이스에 대한 잠재적인 보안 위협을 나타내는 비정상적인 데이터베이스 활동을 파악하고 의심스러운 이벤트에 대한 정보를 관리자에게 직접 표시할 수 있습니다.

• 데이터 암호화는 의도한 당사자만 원래 형식으로 다시 해독하고 액세스할 수 있도록 중요한 데이터를 대체 형식으로 변환하여 보호합니다. 암호화는 액세스 제어 문제를 해결하지는 않지만 액세스 제어를 무시할 때 데이터 손실을 제한하여 보안을 강화합니다. 예를 들어 데이터베이스 호스트 컴퓨터가 잘못 구성되어 악의적인 사용자가 신용 카드 번호와 같은 중요한 데이터를 얻는 경우 해당 정보가 암호화되어 있으면 도난 당한 정보를 사용할 수 없을 수도 있습니다.
• 데이터베이스 백업 데이터 및 복구는 정보 보호에 중요합니다. 이 프로세스에는 데이터베이스 및 로그 파일의 백업 복사본을 정기적으로 만들고 복사본을 안전한 위치에 저장하는 작업이 포함됩니다. 백업 복사본 및 파일을 사용하여 보안 위반 또는 오류가 발생할 경우 데이터베이스를 복원할 수 있습니다.
• 물리적 보안은 물리적 서버 및 하드웨어 구성 요소에 대한 접근을 엄격하게 제한합니다. 온-프레미스 데이터베이스가 있는 많은 조직에서는 데이터베이스 서버 하드웨어 및 네트워킹 디바이스가 있는 방에는 자물쇠를 달고 접근을 제한합니다. 또한 별도의 안전한 장소에 백업 미디어를 보관하여 접근을 제한하는 것이 중요합니다.

데이터베이스 서버의 보안 또는 "강화"는 물리적, 네트워크 및 운영 체제 보안을 결합하여 취약성을 해결하고 해커가 시스템에 액세스하기 어렵게 만듭니다. 데이터베이스 강화 모범 사례는 데이터베이스 플랫폼 유형에 따라 다릅니다. 일반적인 단계에는 암호 보호 및 액세스 제어 강화, 네트워크 트래픽 보호, 데이터베이스의 중요한 필드 암호화 등이 있습니다.

데이터 암호화를 강화하면 조직에서 데이터를 더 쉽게 보호하고 규정을 준수할 수 있습니다.

• Always Encrypted 데이터는 전송 중에, 메모리에서, 디스크에서 및 쿼리 처리 중에 도난으로부터 데이터를 기본적으로 보호합니다.
• 투명한 데이터 암호화는 저장된 데이터(미사용)를 암호화하여 악의적인 오프라인 활동의 위협으로부터 보호합니다. 투명한 데이터 암호화는 애플리케이션을 변경할 필요 없이 미사용 데이터베이스, 연결된 백업 및 트랜잭션 로그 파일의 실시간 암호화 및 암호 해독을 수행합니다.

가장 강력한 버전의 TLS(전송 계층 보안) 네트워크 프로토콜에 대한 지원과 결합된 경우Always Encrypted 데이터 및 투명한 데이터 암호화는 결제 데이터에 강력한 엔드투엔드 보호를 요구하는 PCI DSS(결제 카드 산업 데이터 보안 표준)를 준수해야 하는 금융, 은행 및 의료 기관에 포괄적인 암호화 솔루션을 제공합니다.

Advanced Threat Protection은 로그를 분석하여 비정상적인 동작 및 잠재적으로 유해한 데이터베이스 액세스 또는 악용 시도를 감지합니다. 경고는 SQL 삽입, 잠재적 데이터 침입 및 무차별 암호 대입 공격(brute force attack)과 같은 의심스러운 활동이 감지되거나, 권한 상승 및 위반된 자격 증명 사용을 포착하기 위한 액세스 패턴에 이상이 생겼을 때 만들어집니다.

사용자와 애플리케이션은 별도의 계정을 사용하여 인증하는 것이 가장 좋습니다. 이렇게 하면 사용자와 애플리케이션에 부여되는 사용 권한을 제한하고 악의적인 활동의 위험이 줄어듭니다. 애플리케이션 코드가 SQL 삽입 공격에 취약한 경우 특히 중요합니다.

 최소 권한 정보 보안 원칙은 사용자와 애플리케이션에 작업을 수행하는 데 필요한 데이터 및 작업에 대한 액세스 권한만 부여해야 한다고 주장합니다. 이 모범 사례는 애플리케이션의 공격 표면과 보안 위반(폭발 반경)이 발생할 경우의 영향을 줄이는 데 도움이 됩니다.

데이터베이스 보안 모범 사례는 플랫폼과 클라우드에서 함께 작동하여 전체 조직을 보호하기 위한 포괄적인 보안 접근 방식의 일부여야 합니다. 제로 트러스트 보안 모델은 모든 액세스 요청에 대한 ID 및 디바이스 준수의 유효성을 검사하여 사용자, 디바이스, 앱 및 데이터를 어디에 있든 보호합니다. 제로 트러스트 모델은 회사 방화벽 뒤에 있는 모든 항목이 안전하다고 가정하는 대신, 위반을 가정하고 각 요청을 열린 네트워크에서 시작한 것으로 가정합니다. 요청이 시작되는 위치 또는 액세스하는 리소스에 관계없이 제로 트러스트는 "전혀 신뢰하지 않고 항상 확인"하도록 알려줍니다.

Microsoft 보안 솔루션으로 제로 트러스트를 사용하도록 설정합니다. 보안에 대한 엔드투엔드 접근 방식을 사용하여 사용자, 데이터 및 인프라를 보호합니다.

Azure를 통해 보안 태세를 강화합니다. Azure의 다중 계층의 기본 제공 보안 제어와 고유한 위협 인텔리전스를 사용하여 위협을 식별하고 이러한 위협으로부터 보호하세요. 3,500명 이상의 글로벌 사이버 보안 전문가가 협력하여 Azure에서 데이터를 보호합니다.

 Microsoft Defender for Cloud를 사용하여 Always Encrypted 기술, 지능형 위협 보호; 보안 제어, 행 수준 보안 및 동적 데이터 마스킹, 감사, 위협 탐지 및 데이터 모니터링과 같은 데이터베이스 액세스 및 권한 제어 기능이 내장된 Azure Database 보안 도구 및 서비스를 활용합니다.

 포괄적인 고급 데이터베이스 보안 도구를 포함하는 Azure Cosmos DB를 사용하여 NoSQL 데이터베이스를 보호하여 데이터베이스 위반을 방지, 감지 및 대응할 수 있습니다.