Что такое безопасность баз данных?

• Брандмауэры являются "первой линией обороны" в стратегии безопасности DiD. Брандмауэр, по сути, разделяет и ограничивает сетевой трафик. Можно настроить брандмауэр таким образом, чтобы он усиливал политику безопасности данных вашей организации. Если используется брандмауэр, повышается безопасность на уровне операционной системы: образуется контрольная точка, на которой можно сосредоточить меры безопасности.

• Проверка подлинности — это процесс, в ходе которого подтверждается, что пользователь — действительно тот, за кого он себя выдает. Для этого пользователю необходимо ввести правильный идентификатор пользователя и пароль. В некоторых решениях безопасности администраторы могут централизованно управлять удостоверениями и разрешениями пользователей базы данных. За счет этого уменьшается количество систем, в которых хранятся пароли, и обеспечивается применение централизованных политик ротации паролей.
• Авторизация дает возможность каждому пользователю получать доступ к определенным объектам данных и выполнять определенные операции с базами данных. Например, может быть разрешено читать данные, но не изменять их; может быть изменять данные, но не удалять их. Может быть разрешено и удалять данные.
• Средства управления доступом находятся под управлением системного администратора, который назначает пользователям разрешения, действующие для базы данных. В идеале для управления разрешениями применяется добавление учетных записей пользователей в роли базы данных и назначение этим ролям разрешений, действующих на уровне базы данных. Например, функция безопасности на уровне строк (RLS) дает возможность администраторам баз данных предоставлять доступ на чтение и запись только к определенным строкам данных в зависимости от удостоверения пользователя, принадлежности к определенным ролям или контекста выполнения запросов. Функция RLS централизует логику доступа в самой базе данных. За счет этого упрощается код приложений и снижается риск случайного разглашения данных.

• Аудит дает возможность отслеживать действия, выполняемые с базами данных, и обеспечивать соответствие стандартам безопасности путем записи событий баз данных в журнал аудита. Это дает возможность следить за текущими действиями в базе данных, а также анализировать и изучать действия, выполненные ранее, чтобы выявлять потенциальные угрозы, возможные злоупотребления и нарушения безопасности.
• Обнаружение угроз — это выявление аномальных действий с базами данных. Такие действия могут означать потенциальные угрозы безопасности базы данных. Функция обнаружения угроз может передавать сведения о подозрительных событиях непосредственно администратору.

• Шифрование данных — это защита конфиденциальных данных путем преобразования их в другой формат таким образом, что только нужные стороны могут расшифровать данные в первоначальную форму и использовать их. Шифрование не помогает решить проблемы с управлением доступом, но повышает уровень безопасности за счет ограничения потерь данных в случаях, когда злоумышленникам удается обойти механизмы управления доступом. Например, если главный компьютер базы данных неправильно настроен, а злоумышленник получит конфиденциальные данные, например номера кредитных карт, эта украденная информация может оказаться бесполезной, если она зашифрована.
• Резервное копирование и восстановление баз данных крайне важно для защиты информации. Этот процесс предусматривает регулярное создание резервных копий базы данных и файлов журналов, а также хранение копий в безопасном месте. В случае нарушения безопасности или сбоя можно восстановить базу данных, используя резервную копию.
• Физическая безопасность — это строгое ограничение доступа к физическому серверу и компонентам оборудования. Во многих организациях оборудование серверов локальных баз данных и сетевые устройства находятся в запирающихся помещениях с ограниченным доступом. Также следует ограничить доступ и к носителям с резервными копиями: их следует хранить в отдельных безопасных помещениях.

"Укрепление" защиты сервера баз данных включает обеспечение физической безопасности, защиту сети и операционной системы, чтобы устранить уязвимости и затруднить злоумышленникам доступ к системе. Рекомендации по укреплению безопасности баз данных различаются в зависимости от типа платформы базы данных. Среди распространенных мер — укрепление защиты паролем и средств управления доступом, защита сетевого трафика, шифрование полей базы с конфиденциальными сведениями в базах данных.

Благодаря более надежному шифрованию данных эти возможности помогают организациям защищать свои данные и выполнять нормативные требования:

• Технология Always Encrypted обеспечивает встроенную защиту данных от кражи при передаче, в памяти, на дисках и даже во время обработки запросов.
• Прозрачное шифрование данных защищает от вредоносных действий вне сети за счет шифрования хранящихся (неактивных) данных. Прозрачное шифрование данных включает шифрование и расшифровку в реальном времени для базы данных, связанных резервных копий и хранящихся файлов журнала транзакций. Для такого шифрования не требуется изменять приложение.

Когда технология Always Encrypted и прозрачное шифрование данных применяются вместе с поддержкой наиболее стойкой версии сетевого протокола TLS, получается комплексное решение шифрования, отлично подходящее для финансовых компаний, банков и организаций в сфере здравоохранения, которым требуется соблюдать стандарт безопасности данных PCI DSS, требующий применять стойкое сквозное шифрование платежных данных.

Функция "Расширенная защита от угроз" анализирует журналы, чтобы обнаружить необычное поведение и потенциально вредоносные попытки получения доступа к базам данных или их использования. Для подозрительных действий, таких как внедрение кода SQL, возможный несанкционированный доступ к данным и атаки методом подбора, а также для аномалий в схемах доступа с повышением привилегий и с использованием украденных учетных данных, создаются оповещения.

Рекомендуется использовать раздельные учетные записи для проверки подлинности пользователей и приложений. Это дает возможность ограничивать разрешения, предоставленные пользователям и приложениям, благодаря чему снижается риск вредоносных действий. Это особенно важно, если код приложения уязвим для атак путем внедрения кода SQL.

 Принцип наименьших привилегий в информационной безопасности состоит в том, чтобы пользователям и приложениям предоставлялся доступ только к тем данным и операциям, которые необходимы им для выполнения работы. Соблюдение этой рекомендации поможет ограничить направления атак и влияние уязвимостей (их "радиус поражения") в случае, если в системе безопасности возникнет брешь.

Рекомендации по обеспечению безопасности баз данных должны входить в состав комплексного подхода к обеспечению безопасности , целью которого является защита всей организации на всех платформах и в облачных решениях. Модель безопасности "Никому не доверяй" предусматривает проверку удостоверений и соответствия устройств требованиям для каждого запроса доступа, чтобы защитить пользователей, устройства, приложения и данные вне зависимости от их расположения. Вместо концепции, при которой безопасными считаются любые действия, происходящие внутри периметра сети, защищенного корпоративным брандмауэром, при модели "Никому не доверяй" по умолчанию предполагается брешь в системе безопасности: все без исключения запросы проверяется так, словно они поступают из открытой сети. Стратегия "Никому не доверяй" означает, что не следует "ни в коем случае не доверять и всегда проверять" вне зависимости от того, откуда пришел запрос и к каким ресурсам он обращается.

Реализация принципа "Никому не доверяй" с помощью решений Майкрософт для безопасности. Используйте комплексный подход к защите пользователей, данных и инфраструктуре.

Укрепление системы безопасности с помощью Azure. Используйте многоуровневые встроенные средства управления безопасностью и уникальные функции аналитики угроз в Azure, чтобы выявлять угрозы и защищаться от них. Над защитой ваших данных в Azure работают свыше 3500 экспертов по кибербезопасности во всем мире.

Воспользуйтесь встроенными средствами и службами безопасности Базы данных Azure, включая технологию Always Encrypted; интеллектуальную защиту от угроз; средства управления безопасностью, средства управления доступом к базам данных и авторизацией, такие как безопасность на уровне строк и динамическое маскирование данных, аудит, обнаружение угроз и мониторинг данных с помощью Microsoft Defender для облака.

Защитите базы данных NoSQL с помощью Azure Cosmos DB. Это решение включает комплексные расширенные средства обеспечения безопасности баз данных , помогающие предотвращать и обнаруживать нарушения безопасности баз данных, а также реагировать на такие нарушения.