O que é segurança de banco de dados?

• OsFirewalls servem como a primeira linha de defesa na segurança do banco de dados DiD. Logicamente, um firewall é um separador ou restritor do tráfego de rede, que pode ser configurado para impor a política de segurança de dados da sua organização. Se você usar um firewall, aumentará a segurança no nível do sistema operacional, fornecendo um ponto de estrangulamento onde suas medidas de segurança podem ser focadas.

• Autenticação é o processo de provar que o usuário é quem afirma ser, inserindo a ID de usuário e a senha corretos. Algumas soluções de segurança permitem que os administradores gerenciem centralmente as identidades e permissões dos usuários do banco de dados em um local central. Isso inclui a minimização do armazenamento de senhas e permite políticas centralizadas de rotação de senhas.
• Autorização permite que cada usuário acesse determinados objetos de dados e execute determinadas operações de banco de dados, como ler, mas não modificar dados, modificar, mas não excluir dados, ou excluir dados.
• OControle de acesso é gerenciado pelo administrador do sistema, que atribui permissões a um usuário em um banco de dados. As permissões são gerenciadas de maneira ideal adicionando contas de usuário a funções de banco de dados e atribuindo permissões no nível do banco de dados a essas funções. Por exemplo, a segurança em nível de linha (RLS) permite que administradores de banco de dados restrinjam o acesso de leitura e gravação a linhas de dados com base na identidade de um usuário, nas associações de função ou no contexto de execução de consulta. O RLS centraliza a lógica de acesso dentro do próprio banco de dados, o que simplifica o código da aplicação e reduz o risco de divulgação acidental de dados.

• Aauditoria rastreia as atividades do banco de dados e ajuda a manter a conformidade com os padrões de segurança registrando eventos do banco de dados em um registro de auditoria. Isso permite monitorar atividades contínuas do banco de dados, bem como analisar e investigar atividades históricas para identificar ameaças potenciais ou suspeitas de abuso e violações de segurança.
• ADetecção de ameaças descobre atividades anômalas do banco de dados que indicam uma possível ameaça à segurança do banco de dados e pode revelar informações sobre eventos suspeitos diretamente ao administrador.

• Acriptografia de dados protege dados confidenciais convertendo-os em um formato alternativo para que somente as partes pretendidas possam decifrá-los de volta à sua forma original e acessá-los. Embora a criptografia não resolva os problemas de controle de acesso, ela aumenta a segurança ao limitar a perda de dados quando os controles de acesso são ignorados. Por exemplo, se o computador host do banco de dados estiver configurado incorretamente e um usuário mal-intencionado obtiver dados confidenciais, como números de cartão de crédito, essas informações roubadas poderão ser inúteis se estiverem criptografadas.
• Os dados de backup e recuperação de banco de dados são essenciais para proteger as informações. Esse processo envolve fazer cópias de backup do banco de dados e dos arquivos de log regularmente e armazenar as cópias em um local seguro. A cópia de backup e o arquivo estão disponíveis para restaurar o banco de dados em caso de violação ou falha de segurança.
• A segurança física limita estritamente o acesso ao servidor físico e aos componentes de hardware. Muitas organizações com bancos de dados locais usam salas trancadas com acesso restrito ao hardware do servidor de banco de dados e aos dispositivos de rede. Também é importante limitar o acesso à mídia de backup, armazenando-a em um local externo seguro.

Proteger ou "fortalecer" um servidor de banco de dados combina a segurança física, de rede e do sistema operacional para resolver vulnerabilidades e dificultar o acesso de hackers ao sistema. As melhores práticas de proteção de banco de dados variam de acordo com o tipo de plataforma de banco de dados. As etapas comuns incluem fortalecer a proteção por senha e os controles de acesso, proteger o tráfego de rede e criptografar campos confidenciais no banco de dados.

Ao fortalecer a criptografia de dados, esses recursos tornam mais fácil para as organizações protegerem seus dados e cumprirem as regulamentações:

• Dados sempre criptografados oferecem proteção integrada de dados contra roubo em trânsito, na memória, no disco e até mesmo durante o processamento de consultas.
• ATransparent Data Encryption protege contra a ameaça de atividades offline maliciosas, criptografando os dados armazenados (dados em repouso). O Transparent Data Encryption realiza criptografia e descriptografia em tempo real do banco de dados, backups associados e arquivos de log de transações em repouso, sem exigir alterações no aplicativo.

Quando combinados com o suporte para a versão mais forte do protocolo de rede TLS (Transport Layer Security), os dados sempre criptografados e a criptografia de dados transparente fornecem uma solução de criptografia abrangente para organizações financeiras, bancárias e de saúde que precisam estar em conformidade com o PCI DSS (Padrão de Segurança de Dados do Setor de Cartões de Pagamento), que exige proteção forte e completa dos dados de pagamento.

A proteção avançada contra ameaças analisa logs para detectar comportamentos incomuns e tentativas potencialmente prejudiciais de acessar ou explorar bancos de dados. Alertas são criados para atividades suspeitas, como injeção de SQL, possível infiltração de dados e ataques de força bruta, ou para anomalias nos padrões de acesso para detectar elevações de privilégios e uso de credenciais violadas.

Como prática recomendada, os usuários e aplicativos devem usar contas separadas para autenticação. Isto limita as permissões concedidas a utilizadores e aplicações e reduz os riscos de atividades maliciosas. É especialmente crítico se o código do aplicativo for vulnerável a um ataque de injeção de SQL.

O princípio de menor privilégio de segurança da informação afirma que usuários e aplicativos devem ter acesso concedido apenas aos dados e operações que eles necessitam para realizar seu trabalho. Essa prática recomendada ajuda a reduzir a superfície de ataque do aplicativo e o impacto de uma violação de segurança (o raio da explosão), caso ocorra.

As práticas recomendadas de segurança de banco de dados devem fazer parte de uma abordagem abrangente de segurança que funciona em conjunto em plataformas e nuvens para proteger seu toda a organização. Um modelo de segurança de Confiança Zero valida identidades e conformidade de dispositivos para cada solicitação de acesso para proteger pessoas, dispositivos, aplicativos e dados onde quer que estejam localizados. Em vez de presumir que tudo por trás do firewall corporativo é seguro, o modelo Zero Trust assume a violação e verifica cada solicitação como se ela fosse originada de uma rede aberta. Independentemente da origem da solicitação ou do recurso que ela acessa, o Confiança Zero nos ensina a "nunca confiar, sempre verificar."

Habilite a Confiança Zero com soluções de segurança da Microsoft. Adote uma abordagem completa de segurança para proteger seu pessoal, seus dados e sua infraestrutura.

Fortaleça sua postura de segurança com o Azure. Use controles de segurança integrados e multicamadas e inteligência exclusiva sobre ameaças do Azure para ajudar a identificar e proteger contra ameaças. Mais de 3.500 especialistas globais em segurança cibernética trabalham juntos para ajudar a proteger seus dados no Azure.

Aproveite as ferramentas e serviços integrados de segurança do banco de dados do Azure, incluindo Tecnologia Always Encrypted; proteção inteligente contra ameaças; controles de segurança, acesso ao banco de dados e controles de autorização, como segurança em nível de linha e máscara dinâmica de dados, auditoria, detecção de ameaçase monitoramento de dados com Microsoft Defender para Nuvem.

Proteja seus bancos de dados NoSQL com o Microsoft Azure Cosmos DB, que inclui ferramentas abrangentes e avançadas de segurança de banco de dados para ajudá-lo a prevenir, detectar, e responder a violações de banco de dados.