Wat is databasebeveiliging?

• Firewalls fungeren als de eerste verdedigingslinie in DiD-databasebeveiliging. Logischerwijs is een firewall een scheider of begrenzer van netwerkverkeer, die kan worden geconfigureerd om het gegevensbeveiligingsbeleid van je organisatie af te dwingen. Als je een firewall gebruikt, verhoog je de beveiliging op het niveau van het besturingssysteem door een onderbrekingspunt te bieden waar je beveiligingsmaatregelen op kunnen worden gericht.

• Verificatie is het proces waarbij wordt bewezen dat de gebruiker is wie hij of zij beweert te zijn, door het juiste gebruikers-ID en wachtwoord in te voeren. Met sommige beveiligingsoplossingen kunnen beheerders de identiteiten en machtigingen van databasegebruikers centraal beheren op één centrale locatie. Dit omvat het minimaliseren van wachtwoordopslag en maakt gecentraliseerd beleid voor wachtwoordrotatie mogelijk.
• Autorisatie staat elke gebruiker toe toegang te krijgen tot bepaalde gegevensobjecten en bepaalde databasebewerkingen uit te voeren, zoals gegevens lezen, maar niet wijzigen, gegevens wijzigen maar niet verwijderen of gegevens verwijderen.
• Toegangsbeheer wordt beheerd door de systeembeheerder die machtigingen toewijst aan een gebruiker in een database. Machtigingen worden idealiter beheerd door gebruikersaccounts toe te voegen aan databaserollen en door machtigingen op databaseniveau toe te wijzen aan deze rollen. Met beveiliging op rijniveau (RLS) kunnen databasebeheerders bijvoorbeeld lees- en schrijftoegang tot rijen met gegevens beperken op basis van de identiteit, rollidmaatschappen of queryuitvoeringscontext van een gebruiker. RLS centraliseert de toegangslogica in de database zelf, wat de toepassingscode vereenvoudigt en het risico op onbedoelde openbaarmaking van gegevens vermindert.

• Auditing houdt databaseactiviteiten bij en helpt de naleving van beveiligingsstandaarden te handhaven door databasegebeurtenissen vast te leggen in een auditlogboek. Hiermee kun je doorlopende databaseactiviteiten bewaken en historische activiteiten analyseren en onderzoeken om potentiële bedreigingen of vermoedelijk misbruik en beveiligingsschendingen te identificeren.
• Detectie van bedreigingen detecteert afwijkende databaseactiviteiten die duiden op een mogelijke beveiligingsbedreiging voor de database en kan informatie over verdachte gebeurtenissen rechtstreeks aan de beheerder weergeven.

• Gegevensversleuteling beveiligt gevoelige gegevens door deze om te zetten in een alternatieve indeling, zodat alleen de beoogde partijen deze weer in de oorspronkelijke vorm kunnen decoderen en er toegang toe hebben. Hoewel versleuteling geen toegangsbeheerproblemen oplost, verbetert het de beveiliging door gegevensverlies te beperken wanneer toegangsbeheer wordt overgeslagen. Als de hostcomputer van de database bijvoorbeeld onjuist is geconfigureerd en een kwaadwillende gebruiker gevoelige gegevens verkrijgt, zoals creditcardnummers, kan die gestolen informatie onbruikbaar zijn als deze is versleuteld.
• Databaseback-upgegevens en -herstel is essentieel voor het beveiligen van informatie. Dit proces omvat het regelmatig maken van back-upkopieën van de database en logboekbestanden en het opslaan van de kopieën op een veilige locatie. De back-upkopie en het bestand zijn beschikbaar om de database te herstellen in geval van een beveiligingsschending of -fout.
• Fysieke beveiliging beperkt op strikte wijze de toegang tot de fysieke server en hardwareonderdelen. Veel organisaties met on-premises databases gebruiken vergrendelde ruimten met beperkte toegang voor de hardware- en netwerkapparaten van de databaseserver. Het is ook belangrijk om de toegang tot back-upmedia te beperken door deze op een veilige externe locatie op te slaan.

Het beveiligen of "versterken" van een databaseserver combineert fysieke beveiliging, netwerkbeveiliging en beveiliging van het besturingssysteem om kwetsbaarheden aan te pakken en het voor hackers moeilijker te maken toegang tot het systeem te krijgen. Best practices voor databasebeveiliging variëren afhankelijk van het type databaseplatform. Veelvoorkomende stappen zijn het versterken van wachtwoordbeveiliging en toegangsbeheer, het beveiligen van netwerkverkeer en het versleutelen van gevoelige velden in de database.

Door de gegevensversleuteling te versterken, maken deze mogelijkheden het voor organisaties gemakkelijker om hun gegevens te beveiligen en aan de regelgeving te voldoen:

• Altijd-versleutelde gegevens biedt ingebouwde beveiliging van gegevens tegen diefstal tijdens overdracht, in het geheugen, op schijf en zelfs tijdens het verwerken van query's.
• Transparante gegevensversleuteling beschermt tegen de bedreiging van schadelijke offlineactiviteiten door opgeslagen gegevens (data-at-rest) te versleutelen. Transparante gegevensversleuteling voert realtime versleuteling en ontsleuteling uit van de database, gekoppelde back-ups en transactielogboekbestanden in rust, zonder dat er wijzigingen in de toepassing nodig zijn.

In combinatie met ondersteuning voor de sterkste versie van het TLS-netwerkprotocol (Transport Layer Security), bieden altijd-versleutelde gegevens en transparante gegevensversleuteling een uitgebreide versleutelingsoplossing voor financiële, bank- en Gezond­heids­zorgorganisaties die moeten voldoen aan de PCI DSS-standaard (Payment Card Industry Data Security Standard), die een sterke end-to-end-beveiliging van betalingsgegevens vereist.

Geavanceerde bedreigingsbeveiliging analyseert logboeken om ongebruikelijk gedrag en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases te detecteren. Waarschuwingen worden gemaakt voor verdachte activiteiten zoals SQL-injectie, mogelijke gegevensinfiltratie en beveiligingsaanvallen of voor afwijkingen in toegangspatronen, om escalaties van bevoegdheden en het gebruik van geschonden referenties te ondervangen.

Als best practice moeten gebruikers en toepassingen afzonderlijke accounts gebruiken om te verifiëren. Hiermee beperk je de machtigingen die aan gebruikers en toepassingen worden verleend en verminder je de risico's van schadelijke activiteiten. Het is vooral essentieel als toepassingscode kwetsbaar is voor een SQL-injectieaanval.

Het informatiebeveiligingsprincipe van minimale bevoegdheden stelt dat gebruikers en toepassingen alleen toegang moeten krijgen tot de gegevens en bewerkingen die ze nodig hebben om hun taken uit te voeren. Deze best practice helpt bij het verminderen van het aanvalsoppervlak van de toepassing en de impact van een beveiligingsschending (de blast radius) als deze zich voordoet.

Best practices voor databasebeveiliging moeten deel uitmaken van een uitgebreide benadering van beveiliging die samenwerken op verschillende platforms en clouds om je hele organisatie te beschermen. Een Zero Trust-beveiligingsmodel valideert identiteiten en apparaatcompatibiliteit voor elke toegangsaanvraag om mensen, apparaten, apps en gegevens te beveiligen, waar ze zich ook bevinden. In plaats van aan te nemen dat alles achter de bedrijfsfirewall veilig is, gaat het Zero Trust-model uit van een inbreuk en verifieert het elk verzoek alsof het afkomstig is van een open netwerk. Ongeacht waar de aanvraag vandaan komt of tot welke resource deze toegang heeft, leert Zero Trust ons om "nooit te vertrouwen, maar altijd te verifiëren."

Zero Trust inschakelen met Microsoft-beveiligingsoplossingen. Volg een end-to-end benadering van beveiliging om je personeel, gegevens en infrastructuur te beschermen.

Verbeter je beveiligingspostuur met Azure. Gebruik ingebouwde beveiligingsmaatregelen met meerdere lagen en unieke bedreigingsinformatie van Azure om bedreigingen op te sporen en je daartegen te beveiligen. Meer dan 3500 experts op het gebied van cyberbeveiliging werken samen om je gegevens in Azure te beschermen.

Profiteer van ingebouwde Azure Database-beveiligingshulpprogramma's en -services , waaronder Always Encrypted-technologie; intelligente beveiliging tegen bedreigingen; beveiligingsmaatregelen, toegangs- en autorisatiebeheer voor databases, zoals beveiliging op rijniveau en  dynamische gegevensmaskering, auditing, detectie van bedreigingen en gegevensbewaking met Microsoft Defender voor Cloud.

Beveilig je NoSQL-databases met Azure Cosmos DB, waaronder uitgebreide geavanceerde hulpprogramma's voor databasebeveiliging waarmee je databaseschendingen kunt voorkomen, detecteren en hierop kunt reageren.