O que é a segurança da base de dados?

• Asfirewalls servem como a primeira linha de defesa na segurança da base de dados DiD. Logicamente, uma firewall é um separador ou um restritor do tráfego de rede, que pode ser configurado para impor a política de segurança de dados da sua organização. Se utilizar uma firewall, irá aumentar a segurança ao nível do sistema operativo ao fornecer um ponto de redução onde as suas medidas de segurança podem ser focadas.

• Aautenticação é o processo de provar que o utilizador é quem afirma ser ao inserir o ID de utilizador e a palavra-passe corretos. Algumas soluções de segurança permitem aos administradores gerir centralmente as identidades e as permissões dos utilizadores da base de dados numa localização central. Isto inclui a minimização do armazenamento de palavra-passe e permite políticas de rotação de palavra-passe centralizadas.
• Aautorização permite que cada utilizador aceda a determinados objetos de dados e execute determinadas operações de base de dados, como ler mas não modificar dados, modificar mas não eliminar dados ou eliminar dados.
• Ocontrolo de acesso é gerido pelo administrador de sistema que atribui permissões a um utilizador numa base de dados. As permissões são idealmente geridas ao adicionar contas de utilizador a funções de base de dados e atribuir permissões ao nível da base de dados a essas funções. Por exemplo, a  segurança ao nível da linha (RLS) permite que os administradores da base de dados restrinjam o acesso de leitura e escrita a linhas de dados com base na identidade, associações de funções ou contexto de execução de consultas de um utilizador. A RLS centraliza a lógica de acesso na própria base de dados, o que simplifica o código da aplicação e reduz o risco de divulgação acidental de dados.

• Aauditoria monitoriza as atividades da base de dados e ajuda a manter a conformidade com as normas de segurança ao gravar eventos da base de dados num registo de auditoria. Isto permite-lhe monitorizar as atividades de base de dados em curso, bem como analisar e investigar a atividade do histórico para identificar potenciais ameaças ou suspeita de abuso e violações de segurança.
• A deteção de ameaças deteta atividades anómalas da base de dados que indicam uma potencial ameaça de segurança à base de dados e podem revelar informações sobre eventos suspeitos diretamente ao administrador.

• Aencriptação de dados protege os dados confidenciais ao convertê-los num formato alternativo para que apenas as partes pretendidas os possam decifrar para o formato original e aceder aos dados. Embora a encriptação não resolva problemas de controlo de acesso, melhora a segurança ao limitar a perda de dados quando os controlos de acesso são ignorados. Por exemplo, se o computador anfitrião da base de dados estiver mal configurado e um utilizador mal intencionado obtiver dados confidenciais, como números de cartão de crédito, essas informações roubadas poderão não ser úteis se estas estiverem encriptadas.
• Arecuperação e os dados da cópia de segurança da base de dados são essenciais para proteger informações. Este processo envolve fazer cópias de segurança da base de dados e dos ficheiros de registo regularmente e armazenar as cópias numa localização segura. A cópia de segurança e o ficheiro estão disponíveis para restaurar a base de dados em caso de falha ou falha de segurança.
• Asegurança física limita estritamente o acesso ao servidor físico e aos componentes de hardware. Muitas organizações com bases de dados no local utilizam salas bloqueadas com acesso restrito para o hardware do servidor de bases de dados e dispositivos de rede. Também é importante limitar o acesso ao suporte de dados de cópia de segurança ao armazenar o mesmo numa localização externa segura.

"Proteger" um servidor de bases de dados combina a segurança física, da rede e do sistema operativo para resolver vulnerabilidades e dificultar o acesso dos hackers ao sistema. As melhores práticas de segurança da base de dados variam de acordo com o tipo de plataforma de base de dados. Os passos comuns incluem reforçar a proteção de palavra-passe e os controlos de acesso, proteger o tráfego de rede e encriptando campos confidenciais na base de dados.

Ao reforçar a encriptação de dados, estas capacidades facilitam a segurança dos dados das organizações e a conformidade com regulamentos:

• Osdados sempre encriptados oferecem proteção interna de dados contra roubo em trânsito, na memória, no disco e mesmo durante o processamento de consultas.
• Aencriptação de dados transparente protege contra a ameaça de atividade offline maliciosa através da encriptação de dados armazenados (dados inativos). A encriptação de dados transparente executa a encriptação e desencriptação em tempo real da base de dados, cópias de segurança associadas e ficheiros de registo de transações inativos sem necessidade de alterações à aplicação.

Quando combinados com o suporte para a versão mais forte do protocolo de rede TLS (Transport Layer Security), os dados sempre encriptados e a encriptação de dados transparente fornecem uma solução de encriptação abrangente para organizações financeiras, bancárias e de cuidados de saúde que precisam de estar em conformidade com o PCI DSS (Payment Card Industry Data Security Standard), que obriga a uma proteção forte e ponto a ponto dos dados de pagamento.

A proteção contra ameaças avançada analisa os registos para deteção de comportamentos incomuns e tentativas potencialmente prejudiciais de acesso ou exploração de bases de dados. Os alertas são criados para atividades suspeitas, como injeção de SQL, potenciais carregamentos de dados não autorizado e ataques de força bruta, ou para anomalias em padrões de acesso para capturar escalamentos de privilégios e utilização de credenciais violadas.

Como melhor prática, os utilizadores e as aplicações devem utilizar contas separadas para autenticar. Isto limita as permissões concedidas a utilizadores e aplicações e reduz os riscos de atividade maliciosa. É especialmente crítico se o código da aplicação estiver vulnerável a um ataque de injeção de SQL.

O princípio de segurança das informações de menor privilégio afirma que os utilizadores e as aplicações devem ter acesso apenas aos dados e operações de que necessitam para desempenhar as suas tarefas. Esta melhor prática ajuda a reduzir a superfície de ataque da aplicação e o impacto de uma falha de segurança (o raio da explosão) caso ocorra uma.

As melhores práticas de segurança de bases de dados devem fazer parte de uma abordagem abrangente à segurança que funciona em conjunto entre plataformas e clouds para salvaguardar toda a sua organização. Um modelo de segurança de Confiança Zero valida as identidades e a conformidade do dispositivo para cada pedido de acesso para proteger pessoas, dispositivos, aplicações e dados, onde quer que estejam localizados. Em vez de assumir que tudo o que está por trás da firewall empresarial é seguro, o modelo Confiança Zero assume falhas e verifica cada pedido como se fosse proveniente de uma rede aberta. Independentemente da origem do pedido ou do recurso a que acede, a Confiança Zero ensina-nos a "nunca confiar, sempre verificar."

Ative a Confiança Zero com soluções de segurança da Microsoft. Utilize uma abordagem ponto a ponto à segurança para salvaguardar as pessoas, os dados e a infraestrutura.

Reforce a sua postura de segurança com o Azure. Utilize controlos de segurança multifacetados e incorporados, bem como informações sobre ameaças exclusivas do Azure, para ajudar a identificar e a proteger contra ameaças. Mais de 3500 especialistas globais em cibersegurança trabalham em conjunto para ajudar a salvaguardar os seus dados no Azure.

Tire partido das ferramentas e serviços de segurança da Base de Dados do Azure,  incluindo a tecnologia Sempre Encriptada;; proteção inteligente contra ameaças; controlos de segurança, acesso à base de dados e controlos de autorização, como  segurança ao nível da linha e mascaramento de dados dinâmicos,, auditoria, deteção de ameaçase monitorização de dados com o Microsoft Defender para Cloud.

Proteja as suas bases de dados NoSQL com o Azure Cosmos DB, que inclui ferramentas de segurança de bases de dados avançadas abrangentes para ajudar a prevenir, detetar e responder a falhas de segurança de bases de dados.