Hva er databasesikkerhet?

• Firewalls fungerer som den første forsvarslinjen i DiD-databasesikkerhet. Logisk er en brannmur et skille eller en begrensning for nettverkstrafikk, som kan konfigureres til å håndheve organisasjonens policy for datasikkerhet. Hvis du bruker en brannmur, øker du sikkerheten på operativsystemnivå ved å tilby et sikkerhetstiltak der sikkerhetstiltakene kan fokuseres.

• Autentisering er prosessen med å bevise at brukeren er den som vedkommende hevder å være ved å angi riktig bruker-ID og passord. Noen sikkerhetsløsninger gjør det mulig for administratorer å administrere identiteter og tillatelser sentralt for databasebrukere på ett sentralt sted. Dette inkluderer minimering av passordlagring og aktiverer sentraliserte policyer for passordrotasjon.
• Authorization gir hver bruker tilgang til bestemte dataobjekter og utfører bestemte databaseoperasjoner som å lese, men ikke endre data, endre, men ikke slette data eller slette data.
• Access control administreres av systemansvarlig som tilordner tillatelser til en bruker i en database. Tillatelser administreres ideelt ved å legge til brukerkontoer i databaseroller og tilordne tillatelser på databasenivå til disse rollene. For eksempel row-level security gjør (RLS) det mulig for databaseadministratorer å begrense lese- og skrivetilgang til rader med data basert på en brukers identitet, rollemedlemskap eller spørringskjøringskontekst. RLS sentraliserer tilgangslogikken i selve databasen, noe som forenkler programkoden og reduserer risikoen for utilsiktet dataavsløring.

• Auditing sporer databaseaktiviteter og bidrar til å opprettholde forskriftssamsvar med sikkerhetsstandarder ved å registrere databasehendelser i en revisjonslogg. Dette lar deg overvåke pågående databaseaktiviteter, samt analysere og undersøke historisk aktivitet for å identifisere potensielle trusler eller antatt misbruk og sikkerhetsbrudd.
• Trusselgjenkjenning avdekker unormale databaseaktiviteter som indikerer en potensiell sikkerhetstrussel mot databasen, og kan vise informasjon om mistenkelige hendelser direkte til administratoren.

• Datakryptering sikrer sensitive data ved å konvertere dem til et alternativt format, slik at bare de tiltenkte partene kan tyde dem tilbake til det opprinnelige skjemaet og få tilgang til dem. Selv om kryptering ikke løser problemer med tilgangskontroll, forbedrer den sikkerheten ved å begrense tap av data når tilgangskontroller omgås. Hvis for eksempel vertsdatamaskinen for databasen er feilkonfigurert og en ondsinnet bruker henter sensitive data, for eksempel kredittkortnumre, kan den stjålne informasjonen være ubrukelig hvis den er kryptert.
• Databasesikkerhetskopieringsdata og gjenoppretting er avgjørende for å beskytte informasjon. Denne prosessen innebærer å lage sikkerhetskopier av databasen og loggfiler regelmessig og lagre kopiene på et sikkert sted. Sikkerhetskopien og filen er tilgjengelig for gjenoppretting av databasen hvis det oppstår sikkerhetsbrudd eller -feil.
• Fysisk sikkerhet begrenser tilgangen til fysiske server- og maskinvarekomponenter. Mange organisasjoner med lokale databaser bruker låste rom med begrenset tilgang for databaseservermaskinvaren og nettverksenhetene. Det er også viktig å begrense tilgangen til sikkerhetskopimedier ved å lagre det på en sikker plassering utenfor området.

Sikring eller "forsterking" av en databaseserver kombinerer fysisk sikkerhet, nettverks- og operativsystemsikkerhet for å håndtere sårbarheter og gjøre det vanskeligere for hackere å få tilgang til systemet. Anbefalte fremgangsmåter for databaseforsterking varierer i henhold til databaseplattformtypen. Vanlige trinn inkluderer å styrke passordbeskyttelse og tilgangskontroller, sikre nettverkstrafikk og kryptere sensitive felt i databasen.

Ved å styrke datakryptering gjør disse funksjonene det enklere for organisasjoner å sikre dataene sine og overholde forskrifter:

• Alltid krypterte data gir innebygd beskyttelse av data mot tyveri i transitt, i minnet, på disken og til og med under spørringsbehandling.
• Transparent datakryptering beskytter mot trusselen om ondsinnet frakoblet aktivitet ved å kryptere lagrede data (inaktive data). Gjennomsiktig datakryptering utfører sanntidskryptering og dekryptering av databasen, tilknyttede sikkerhetskopier og transaksjonsloggfiler uten å kreve endringer i programmet.

Når den kombineres med støtte for den sterkeste versjonen av Transport Layer Security (TLS)-nettverksprotokoll, gir alltid krypterte data og gjennomsiktig datakryptering en omfattende krypteringsløsning for finans-, bank- og helseorganisasjoner som trenger å overholde standard for datasikkerhet for betalingskortbransjen (PCI DSS), som gir sterk, fullstendig beskyttelse av betalingsdata.

Avansert trusselbeskyttelse analyserer logger for å oppdage uvanlig atferd og potensielt skadelige forsøk på å få tilgang til eller utnytte databaser. Varsler opprettes for mistenkelige aktiviteter som SQL-innsetting, potensiell datainfiltrasjon og angrep med rå kraft, eller for avvik i tilgangsmønstre for å fange opp eskalering av privilegier og bruk av sikkerhetsbrudd.

Som en anbefalt fremgangsmåte bør brukere og programmer bruke separate kontoer for godkjenning. Dette begrenser tillatelsene som gis til brukere og programmer, og reduserer risikoen for ondsinnet aktivitet. Det er spesielt viktig hvis programkode er sårbar for et SQL-innsettingsangrep.

 Sikkerhetsprinsippet for informasjon med minst mulig tilgang deklarerer at brukere og programmer bare skal få tilgang til dataene og operasjonene de trenger for å utføre jobbene sine. Denne anbefalte fremgangsmåten bidrar til å redusere programmets angrepsoverflate, og virkningen av et sikkerhetsbrudd (blastradiusen) skal skje.

Anbefalte fremgangsmåter for databasesikkerhet bør være en del av en omfattende tilnærming til sikkerhet som fungerer sammen på tvers av plattformer og skyer for å beskytte hele organisasjonen. En sikkerhetsmodell med nulltillit validerer identiteter og enhetssamsvar for hver tilgangsforespørsel for å beskytte personer, enheter, apper og data uansett hvor de befinner seg. I stedet for å anta at alt bak bedriftens brannmur er trygt, antar nulltillit-modellen brudd og bekrefter hver forespørsel som om den kommer fra et åpent nettverk. Uansett hvor forespørselen kommer fra eller hvilken ressurs den har tilgang til, lærer nulltillit oss å "aldri stole på, alltid verifisere."

Aktiver nulltillit med Microsofts sikkerhetsløsninger. Ta en ende-til-ende-tilnærming til sikkerhet for å beskytte personer, data og infrastruktur.

Styrk sikkerhetsstatusen med Azure. Bruk innebygde sikkerhetskontroller med flere lag og unik trusselintelligens fra Azure for å bidra til å identifisere og beskytte mot trusler. Mer enn 3500 globale cybersikkerhetseksperter arbeider sammen for å beskytte dataene i Azure.

Dra nytte av innebygde sikkerhetsverktøy og -tjenester for Azure DatabaseDra nytte av innebygde sikkerhetsverktøy og tjenester for Azure Database inkludert Always Encrypted-teknologi; intelligent trusselbeskyttelse; sikkerhetskontroller, databasetilgangs- og autorisasjonskontroller som  og dynamisk datamaskeringdynamisk datamaskering, overvåking, trusselgjenkjenning og dataovervåking med Microsoft Defender for Cloud.

Beskytt NoSQL-databasene med Azure Cosmos DB, som inkluderer omfattende avanserte databasesikkerhetsverktøy for å hjelpe til med å forhindre, oppdage og svare på databasebrudd.