Vad är databassäkerhet?
Databassäkerhet är processer, verktyg och kontroller som skyddar och skyddar databaser mot oavsiktliga och avsiktliga hot. Målet med databassäkerhet är att skydda känsliga data och upprätthålla databasens konfidentialitet, tillgänglighet och integritet. Förutom att skydda data i databasen skyddar databassäkerheten databashanteringssystemet och tillhörande program, system, fysiska och virtuella servrar samt nätverksinfrastrukturen.
För att besvara frågan "vad som är databassäkerhet" det är viktigt att bekräfta att det finns flera typer av säkerhetsrisker. Databassäkerhet måste skydda mot mänskliga fel, överdrivna databasbehörigheter för anställda, hackare och insider-attacker, skadlig kod, exponering av lagringsmedia för säkerhetskopior, fysiska skador på databasservrar och sårbara databaser, till exempel ouppdaterade databaser eller databaser med för mycket data i buffertar.
Typer av databassäkerhet
För att uppnå högsta grad av databassäkerhet behöver organisationer flera lager av dataskydd. Därför placerar en djupgående säkerhetsstrategi (DiD) flera kontroller i IT-systemet. Om ett skyddslager misslyckas är ett annat på plats för att omedelbart förhindra attacken, enligt nedan.
Nätverkssäkerhet
- Brandväggar fungerar som den första försvarslinjen inom DiD-databassäkerhet. Logiskt sett är en brandvägg en avgränsare eller begränsande av nätverkstrafik, som kan konfigureras för att framtvinga organisationens datasäkerhetsprincip. Om du använder en brandvägg ökar du säkerheten på operativsystemnivå genom att tillhandahålla en säkerhetspunkt där dina säkerhetsåtgärder kan fokuseras.
Åtkomsthantering
- Autentisering är processen att bevisa att användaren är den han eller hon säger sig vara genom att ange rätt användar-ID och lösenord. Vissa säkerhetslösningar gör det möjligt för administratörer att centralt hantera identiteter och behörigheter för databasanvändare på en central plats. Detta omfattar minimering av lösenordslagring och möjliggör centraliserade principer för lösenordsrotation.
- Auktorisering ger varje användare åtkomst till vissa dataobjekt och utför vissa databasåtgärder som att läsa men inte ändra data, ändra men inte ta bort data eller ta bort data.
- Åtkomstkontroll hanteras av systemadministratören som tilldelar behörigheter till en användare i en databas. Behörigheter hanteras helst genom att lägga till användarkonton i databasroller och tilldela behörigheter på databasnivå till dessa roller. Till exempel kan säkerhet på radnivå (RLS) göra det möjligt för databasadministratörer att begränsa läs- och skrivåtkomst till rader med data baserat på en användares identitet, rollmedlemskap eller frågekörningskontext. RLS centraliserar åtkomstlogik i själva databasen, vilket förenklar programkoden och minskar risken för oavsiktligt avslöjande av data.
Hotskydd
- Granskning spårar databasaktiviteter och bidrar till att upprätthålla efterlevnaden av säkerhetsstandarder genom att registrera databashändelser i en granskningslogg. På så sätt kan du övervaka pågående databasaktiviteter samt analysera och undersöka historiska aktiviteter för att identifiera potentiella hot eller misstänkt missbruk och säkerhetsöverträdelser.
- Hotidentifiering upptäcker avvikande databasaktiviteter som indikerar ett potentiellt säkerhetshot mot databasen och kan visa information om misstänkta händelser direkt för administratören.
Informationsskydd
- Datakryptering skyddar känsliga data genom att konvertera dem till ett alternativt format så att endast de avsedda parterna kan dechiffrera tillbaka dem till sitt ursprungliga formulär och komma åt dem. Även om kryptering inte löser problem med åtkomstkontroll förbättrar det säkerheten genom att begränsa dataförlusten när åtkomstkontroller kringgås. Om databasvärddatorn till exempel är felkonfigurerad och en obehörig användare får känsliga data, till exempel kreditkortsnummer, kan den stulna informationen vara oanvändbar om den är krypterad.
- Säkerhetskopiering av data och återställning av databas är viktigt för att skydda information. Den här processen omfattar att regelbundet säkerhetskopiera kopior av databasen och logga filer och lagra kopiorna på en säker plats. Säkerhetskopian och filen är tillgängliga för att återställa databasen i händelse av ett säkerhetsintrång eller fel.
- Fysisk säkerhet begränsar strikt åtkomsten till de fysiska server- och maskinvarukomponenterna. Många organisationer med lokala databaser använder låsta rum med begränsad åtkomst för databasserverns maskinvara och nätverksenheter. Det är också viktigt att begränsa åtkomsten till säkerhetskopieringsmedia genom att lagra den på en säker plats på annan plats.
Plattformar för databassäkerhet
Beroende på databasplattformen kan mängden databassäkerhetsansvar du har variera. Om du har en lokal lösning måste du tillhandahålla allt från slutpunktsskydd till fysisk säkerhet för din maskinvara, vilket inte är någon enkel uppgift. Om du väljer en PaaS-molndatabasprovider (plattform som en tjänst) minskar ditt problem avsevärt.
Molnet erbjuder betydande fördelar för att lösa långvariga utmaningar med informationssäkerhet. I en lokal miljö har organisationer sannolikt ouppfyllda ansvarsområden och begränsade resurser som är tillgängliga för att investera i säkerhet, vilket skapar en miljö där angripare kan utnyttja sårbarheter i alla lager.
Följande diagram visar en traditionell metod där många säkerhetsansvar inte uppfylls på grund av begränsade resurser. I den molnaktiverade metoden kan du flytta det dagliga säkerhetsansvaret till din molnleverantör och få mer säkerhetstäckning, vilket gör att din organisation kan omallokera vissa säkerhetsresurser och budget till andra affärsprioriteringar.
Varför är databassäkerhet viktigt?
Organisationer av alla storlekar i offentliga och privata sektorer har problem med databassäkerhetsutmaningar. Att förhindra dataintrång är affärskritiskt eftersom de kan leda till:
Datastöld
Databaser är primära mål för cyberattacker eftersom de ofta lagrar värdefull, konfidentiell och känslig information, inklusive kundposter, kreditkortsnummer, bankkontonummer och personliga ID-nummer. Hackare använder den här informationen för att stjäla identiteter och göra obehöriga köp.
Skada på affärs- och varumärkesrykte
Kunderna tvekar att göra affärer med företag som inte skyddar sina personuppgifter. Databassäkerhetsproblem som komprometterar kundinformation kan skada organisationens rykte, vilket leder till en minskning av försäljningen och kundomsättningen. För att skydda deras rykte och återskapa kundförtroende ökar vissa företag sina investeringar i PR och erbjuder kreditövervakningssystem till sina dataintrångsoffer utan kostnad.
Intäktsförlust
Ett dataintrång kan stoppa eller göra affärsåtgärder och intäktsgenerering långsammare tills databassäkerhetsutmaningarna har lösts, systemet är helt igång igen och affärskontinuiteten återställs.
Ökade kostnader
Även om siffrorna varierar beroende på bransch kan dataintrång kosta miljontals dollar att åtgärda, inklusive juridiska avgifter, hjälpa offer och extra utgifter för att återställa data- och återställningssystem. Företag kan också betala utpressningstrojaner till hackare som kräver betalning för att återställa sina låsta filer och data. För att skydda mot dessa kostnader lägger många företag till cyberförsäkringar i sina policyer.
Överträdelser av dataintrång
Statliga och lokala myndigheter ålägger bot och kräver i vissa fall att kunderna kompenseras när företag inte skyddar sina kunddata.
Metodtips för databassäkerhet
Vi har diskuterat att hur du skyddar en databas omfattar kryptering av data, autentisering av endast auktoriserade användare mot databasen eller programmet, begränsning av användaråtkomst till lämplig delmängd av data samt kontinuerlig övervakning och granskning av aktiviteter. Metodtips för databassäkerhet utökar dessa funktioner ytterligare för att ge ännu mer skydd mot hot.
Databashärdning
Skydd eller "härdning" en databasserver kombinerar fysisk säkerhet, nätverks- och operativsystemsäkerhet för att åtgärda säkerhetsrisker och göra det svårare för hackare att komma åt systemet. Metodtips för databashärdning varierar beroende på typen av databasplattform. Vanliga steg är att förstärka lösenordsskydd och åtkomstkontroller, skydda nätverkstrafik och kryptera känsliga fält i databasen.
Omfattande datakryptering
Genom att förstärka datakryptering gör dessa funktioner det enklare för organisationer att skydda sina data och följa regler:
- Always Encrypted data erbjuder inbyggt skydd av data mot stöld under överföring, i minnet, på disk och även under frågebearbetning.
- Transparent datakryptering skyddar mot hot om skadlig offlineaktivitet genom att kryptera lagrade data (vilande data). Transparent datakryptering utför realtidskryptering och dekryptering av databasen, tillhörande säkerhetskopior och vilande transaktionsloggfiler utan att programmet behöver ändras.
I kombination med stöd för den starkaste versionen av Transport Layer Security -nätverksprotokollet (TLS) ger alltid krypterade data och transparent datakryptering en omfattande krypteringslösning för finans-, bank- och sjukvårdsorganisationer som behöver följa Payment Card Industry Data Security Standard (PCI DSS), som kräver starkt, heltäckande skydd av betalningsdata.
Avancerat skydd
Avancerat skydd analyserar loggar för att identifiera ovanligt beteende och potentiellt skadliga försök att komma åt eller utnyttja databaser. Aviseringar skapas för misstänkta aktiviteter som SQL-inmatning, potentiell datainfiltrering och råstyrkeattacker, eller för avvikelser i åtkomstmönster för att fånga privilegieeskaleringar och användning av överträdda autentiseringsuppgifter.
Separata autentiseringskonton
Som bästa praxis bör användare och program använda separata konton för att autentisera. Detta begränsar de behörigheter som beviljas till användare och program och minskar riskerna för skadlig aktivitet. Det är särskilt viktigt om programkoden är sårbar för en SQL-inmatningsattack.
Principen om lägsta behörighet
Principen för informationssäkerhet med minsta behörighet anger att användare och program endast ska beviljas åtkomst till de data och åtgärder som de behöver för att utföra sina jobb. Den här bästa metoden hjälper till att minska programmets attackyta och effekten av en säkerhetsöverträdelse (explosionsradien) om en inträffar.
Noll förtroende säkerhetsmodell
Metodtips för databassäkerhet bör ingå i en heltäckande säkerhetsmetoden som fungerar tillsammans mellan plattformar och moln för att skydda hela organisationen. En Noll förtroende säkerhetsmodell verifierar identiteter och enhetsefterlevnad för varje åtkomstbegäran för att skydda personer, enheter, appar och data oavsett var de finns. I stället för att anta att allt bakom företagets brandvägg är säkert förutsätter Noll förtroende modellen intrång och verifierar varje begäran som om den kommer från ett öppet nätverk. Oavsett var begäran kommer från eller vilken resurs den har åtkomst till lär Nolltillit oss att "aldrig lita på, alltid verifiera."
Lösningar och verktyg för databassäkerhet
Den senaste tidens högprofilerade dataintrång har understrukit den växande sofistikeringen hos dagens hotaktörer och komplexiteten i att hantera affärsrisker i en allt mer uppkopplad värld. Hjälp din organisation att bekämpa hot och skydda dina data med dessa säkerhetsprodukter från slutpunkt till slutpunkt och databassäkerhet.
Lösningar för databassäkerhet
Aktivera Noll förtroende med Microsofts säkerhetslösningar. Använd en heltäckande metod för säkerhet för att skydda dina personer, data och infrastruktur.
Förbättra din säkerhetsposition med Azure. Använd inbyggda säkerhetskontroller i flera lager och unik hotinformation från Azure som hjälp för att upptäcka och skydda mot hot. Över 3 500 globala cybersäkerhetsexperter samarbetar för att skydda dina data i Azure.
Verktyg för databassäkerhet
Dra nytta av inbyggda säkerhetsverktyg och tjänster för Azure DatabaseDra nytta av inbyggda säkerhetsverktyg och tjänster i Azure Database inklusive Always Encrypted teknik; intelligent skydd mot hot; säkerhetskontroller, databasåtkomst- och auktoriseringskontroller som säkerhet på radnivå och dynamisk datamaskning granskning hotidentifiering, och dataövervakning med Microsoft Defender for Cloud.
Skydda dina NoSQL-databaser med Azure Cosmos DB, som innehåller omfattande avancerade verktyg för databassäkerhet som hjälper dig att förhindra, identifiera och reagera på databasöverträdelser.
Programvara och tjänster för databassäkerhet
Skydda åtkomsten till resurser och data med Azure Active Directory. Den här företagsidentitetstjänsten ger enkel inloggning, multifaktorautentisering och villkorlig åtkomst för att skydda mot 99,9 procent av cybersäkerhetsattackerna.
Lagra och få åtkomst till hemligheter på ett säkert sätt med Azure Key Vault. En hemlighet är allt du vill ha nära kontroll över åtkomsten till, till exempel API-nycklar, lösenord, certifikat eller kryptografiska nycklar. Säker nyckelhantering är nödvändig för att skydda data i molnet.
Vanliga frågor och svar
-
Databassäkerhet är processer, verktyg och kontroller som skyddar och skyddar databaser mot oavsiktliga och avsiktliga hot. Målet med databassäkerhet är att skydda känsliga data och upprätthålla databasens konfidentialitet, tillgänglighet och integritet. Förutom att skydda data i databasen skyddar databassäkerheten databashanteringssystemet och tillhörande program, system, fysiska och virtuella servrar samt nätverksinfrastrukturen.
-
För att uppnå högsta grad av databassäkerhet behöver organisationer flera lager av dataskydd. Detta omfattar brandväggar för nätverkssäkerhet, åtkomstkontroller, gransknings- och hotidentifieringsfunktioner, datakryptering, säkerhetskopiering och återställning av databaser samt fysisk säkerhet för servern, maskinvarukomponenter och säkerhetskopieringsmedia.
-
Databassäkerhet skyddar mot dataintrång. Att förhindra dataöverträdelser är affärskritiskt eftersom de kan kosta miljontals dollar att åtgärda, inklusive juridiska avgifter, kompensation för offer, data- och systemåterställning och bot för bristande efterlevnad av föreskrifter. Företag kan också betala utpressningstrojaner till hackare som kräver betalning för att återställa sina låsta filer och data.
-
Metodtips för databassäkerhet åtgärdar sårbarheter och gör det svårare för hackare att komma åt systemet. De omfattar databashärdning, alltid krypterade data, separat autentisering, avancerat hotskydd och principen om minsta behörighet, som anger att användare och program endast ska beviljas åtkomst till de data och åtgärder som de behöver för att utföra sina jobb.
-
Stärk din säkerhetsposition med Microsoft Nolltillit säkerhet från slutpunkt till slutpunkt och Azure-databassäkerhet. Använd inbyggda säkerhetskontroller i flera lager och unik hotinformation som hjälp för att upptäcka och skydda mot hot. Den djupgående utformningen av Azure-tjänster ger säkerhet i flera lager i fysiska datacenter, infrastruktur och drift i Azure.
Börja skapa med Azure
Prova Azures tjänster för molnbaserad databehandling kostnadsfritt i upp till 30 dagar, eller sätt igång med användningsbaserad betalning. Det finns inga förhandsåtaganden – avsluta när du vill.