Hoppa över navigering

Vad är databassäkerhet?

Lär dig hur du säkrar din databas och skyddar den mot hot

Vad är databassäkerhet?

Databassäkerhet är de procedurer, verktyg och kontroller som säkrar och skyddar databaser mot oavsiktliga och avsiktliga hot. Syftet med databassäkerhet är att skydda känsliga data och upprätthålla databasens konfidentialitet, tillgänglighet och integritet. Förutom att skydda data i databasen skyddas även databashanteringssystemet och tillhörande program, system, fysiska och virtuella servrar samt nätverksinfrastruktur.

För att kunna besvara frågan om vad databassäkerhet är, måste man vara medveten om att det finns olika typer av säkerhetsrisker. Databassäkerhet ska skydda mot mänskliga fel, alltför generösa databasbehörigheter för anställda, hackare och insiderattacker, skadlig kod, lagringsmediers exponering, fysiska skador på databasservrar och sårbara databaser som ouppdaterade databaser eller de med för mycket data i buffertar.

Typer av databassäkerhet

För att uppnå den högsta nivån av databassäkerhet behöver organisationer flera lager av dataskydd. Ett djupgående skydd (defense in depth, DiD) placerar ut flera kontroller i hela IT-systemet. Om ett skyddslager misslyckas finns ett annat som omedelbart kan förhindra attacken, som på bilden nedan.

Nätverkssäkerhet

  • Brandväggar fungerar som den främre försvarslinjen databassäkerhet på djupet. Logiskt sett är en brandvägg en avgränsare eller begränsare av nätverkstrafik, som kan ställas in så att organisationens datasäkerhetsprincip tillämpas. Om du använder en brandvägg ökar du säkerheten på operativsystemnivå eftersom du tillför en strypningspunkt som säkerhetsåtgärderna kan fokusera på.

Åtkomsthantering

  • Autentisering visar att användaren är den han eller hon säger sig vara genom att ange rätt användar-id och lösenord. Med vissa säkerhetslösningar kan administratörer centralt hantera identiteter och behörigheter för databasanvändare på en central plats. Det här omfattar minimering av lagrade lösenord och aktiverar centraliserade principer för lösenordsrotering.
  • Auktorisering ger varje användare tillgång till vissa dataobjekt och rätt att utföra vissa databasåtgärder som att läsa men inte ändra data, ändra men inte ta bort data eller ta bort data.
  • Åtkomstkontroll hanteras av systemadministratören som tilldelar en användare behörigheter i en databas. Behörigheter bör hanteras genom att användarkonton läggs till i databasroller och dessa roller tilldelas behörigheter på databasnivå. Med säkerhet på radnivå (row-level security, RLS) kan t.ex. databasadministratörer begränsa läs- och skrivåtkomst till rader med data baserat på en användares identitet, rollmedlemskap eller frågekörningskontext. RLS centraliserar åtkomstlogik i själva databasen, vilket förenklar programkoden och minskar risken för att data lämnas ut oavsiktligt.

Skydd mot hot

  • Granskning spårar databasaktiviteter och bidrar till att upprätthålla efterlevnad av säkerhetsstandarder genom att registrera databashändelser i en granskningslogg. Det här gör att du kan övervaka pågående databasaktiviteter och analysera och undersöka tidigare aktiviteter för att identifiera potentiella hot eller misstänkta missbruk och säkerhetsöverträdelser.
  • Hotidentifiering upptäcker avvikande databasaktiviteter som pekar på ett potentiellt säkerhetshot mot databasen och kan visa information om misstänkta händelser direkt för administratören.

Informationsskydd

  • Datakryptering skyddar känsliga data genom att omvandla dem till ett annat format så att endast avsedda parter kan dechiffrera tillbaka dem till den ursprungliga formen och komma åt dem. Även om kryptering inte löser problem med åtkomstkontroll, ökar det säkerheten genom att begränsa dataförlust när någon kringgår en åtkomstkontroll. Om till exempel databasvärddatorn är felkonfigurerad och en obehörig användare hämtar känsliga data, t.ex. kreditkortsnummer, kan den stulna informationen vara oanvändbar om den är krypterad.
  • Säkerhetskopiering och återställning av data i databasen är avgörande för att skydda information. Det här omfattar att regelbundet säkerhetskopiera kopior av databasen och loggfiler och lagra kopiorna på en säker plats. Säkerhetskopian och filen kan sedan användas för att återställa databasen i händelse av en säkerhetsöverträdelse eller ett fel.
  • Fysisk säkerhet begränsar strikt åtkomsten till den fysiska servern och maskinvarukomponenterna. Många organisationer med lokala databaser använder låsta rum med begränsad åtkomst för databasserverns maskinvara och nätverksenheter. Det är också viktigt att begränsa åtkomsten till säkerhetskopierade medier genom att lagra dem på en säker plats på ett annat ställe.

Säkerhetsplattformar för databas

Beroende på databasplattform kan ditt ansvar för databasens säkerhet variera. Om du har en lokal lösning måste du tillhandahålla allt från slutpunktsskydd till fysisk säkerhet för maskinvaran, vilket inte är någon enkel uppgift. Om du väljer en databasleverantör i molnet som plattform som tjänst (PaaS) minskar problemet avsevärt.

Molnet erbjuder betydande fördelar för att lösa långvariga problem med informationssäkerheten. I en lokal miljö har organisationer ofta odefinierade ansvarsområden och begränsade resurser för att investera i säkerhet, vilket skapar en miljö där angripare kan utnyttja säkerhetsrisker i alla skikt.

Följande diagram visar en traditionell metod där många säkerhetsansvarsområden inte är täckta på grund av begränsade resurser. Med den molnaktiverade metoden kan du varje dag flytta säkerhetsansvarsområden till din molnleverantör och få bredare säkerhetstäckning, vilket gör att din organisation kan omfördela vissa säkerhetsresurser och budgetar till andra delar av verksamheten.

Varför är databassäkerhet viktigt?

Organisationer av alla storlekar i offentliga och privata sektorer brottas med problem med databassäkerhet. Att förhindra dataintrång är av största vikt för verksamheten eftersom det kan leda till:

Datastöld

Databaser är främsta mål för cyberangrepp eftersom de ofta lagrar värdefull, konfidentiell och känslig information, inklusive kundposter, kreditkortsnummer, bankkontonummer och personnummer. Hackare använder den här informationen för att stjäla identiteter och göra obehöriga köp.

Företagets och varumärkets rykte skadas

Kunder är tveksamma till att göra affärer med företag som inte skyddar sina personliga uppgifter. Databassäkerhetsproblem som äventyrar kundinformation kan skada organisationens rykte, vilket leder till en minskad försäljning och kundomsättning. För att skydda sitt rykte och återskapa kundförtroendet ökar vissa företag sina investeringar i offentliga relationer och erbjuder kostnadsfria kreditövervakningssystem till dem som drabbats av dataintrång.

Intäktsförlust

Ett dataintrång kan stoppa eller sakta ned företagsåtgärder och intäktsgenerering tills databasens säkerhetsproblem har lösts, systemet är helt igång igen och affärskontinuitet har återställs.

Ökade kostnader

Även om siffrorna varierar beroende på bransch, kan dataintrång kosta miljoner att åtgärda, inklusive juridiska avgifter, brottsofferersättning och extra utgifter för att återskapa data och återställa system. Företag kan också tvingas betala ut lösensummor till hackare som kräver pengar för att återställa låsta filer och data. För att skydda sig mot sådana kostnader lägger många företag till cyberförsäkringar i sina principer.

Påföljder vid dataintrång

Lokala myndigheter kan utfärda böter och i vissa fall kräva att kunder kompenseras när företag inte skyddar sina kunddata.

Metodtips för databassäkerhet

Vi har gått igenom hur man skyddar en databas med kryptering av data, autentisering av endast auktoriserade användare mot databasen eller programmet, begränsning av användaråtkomst till rätt delmängd data samt kontinuerlig övervakning och granskning av aktiviteter. Ta del av metodtipsen för databassäkerhet för att ytterligare förbättra skyddet mot hot.

Databashärdning

Med säkring eller härdning av en databasserver kombineras fysisk säkerhet, nätverkssäkerhet och operativsystemsäkerhet för att åtgärda säkerhetsrisker och göra det svårare för hackare att komma åt systemet. Metodtips för databashärdning varierar beroende på typ av databasplattform. Vanliga steg är att förbättra lösenordsskydd och åtkomstkontroller, skydda nätverkstrafik och kryptera känsliga fält i databasen.

Omfattande datakryptering

De här funktionerna ökar datakrypteringen och gör det enklare för organisationer att skydda data och följa regler:

  • Alltid krypterade data erbjuder inbyggt dataskydd mot stöld under överföring, i minnet, på disk och även under frågebearbetning.
  • Transparent datakryptering skyddar mot hot om skadlig offlineaktivitet genom att kryptera lagrade data (vilande data). Transparent datakryptering utför kryptering och dekryptering i realtid av databasen, tillhörande säkerhetskopior och vilande transaktionsloggfiler utan att programmet behöver ändras.

I kombination med stöd för den starkaste versionen av TLS-nätverksprotokollet (Transport Layer Security) ger alltid krypterade data och transparent datakryptering en omfattande krypteringslösning för finans-, bank- och hälsovårdsorganisationer som behöver följa Payment Card Industry Data Security Standard (PCI DSS), som ger ett heltäckande starkt skydd för betalningsdata.

Avancerat skydd

Avancerat hotskydd analyserar loggar för att identifiera ovanligt beteende och potentiellt skadliga försök att komma åt eller utnyttja databaser. Aviseringar skapas för misstänkta aktiviteter som SQL-inmatning, potentiell datainfiltrering och råstyrkeattacker, eller avvikelser i åtkomstmönster för att fånga upp privilegieeskaleringar och obehörigt bruk av autentiseringsuppgifter.

Separata autentiseringskonton

Ett tips är att använda olika konton för användare och program för att autentisera. Det begränsar de behörigheter som beviljas användare och program och minskar risken för skadlig aktivitet. Det är särskilt viktigt om programkoden är sårbar för en SQL-inmatningsattack.

Princip för minsta rättighet

Principen för informationssäkerhet med minsta rättighet anger att användare och program endast ska beviljas åtkomst till de data och åtgärder de behöver för att utföra sina jobb. Den här rekommenderade metoden bidrar till att minska programmets attackyta och påverkan av eventuell säkerhetsöverträdelse (sprängradien).

Noll förtroende-säkerhetsmodell

Metodtips för databassäkerhet bör ingå i en omfattande säkerhetsmetod som fungerar tillsammans på olika plattformar och moln för att skydda hela organisationen. En Noll förtroende-säkerhetsmodell verifierar identiteter och enhetsefterlevnad för varje åtkomstbegäran för att skydda personer, enheter, appar och data var de än befinner sig. Istället för att anta att allt bakom företagets brandvägg är säkert, utgår modellen med Noll förtroende från att intrång ägt rum och verifierar varje begäran som om den kom från ett öppet nätverk. Oavsett var begäran kommer från, och vilka resurser som anropas, lär Noll förtroende ut ”lita aldrig på något, verifiera alltid”.

Lösningar och verktyg för databassäkerhet

Den senaste tidens högprofilerade dataintrångsaktiviteter visar på den ökande sofistikeringen hos dagens hotaktörer och komplexiteten i hanteringen av affärsrisker i en alltmer uppkopplad värld. Hjälp din organisation att bekämpa hot och skydda dina data med de här heltäckande säkerhetsprodukterna för databaser.

Lösningar för databassäkerhet

Aktivera Noll förtroende med Microsofts säkerhetslösningar. Använd en heltäckande säkerhetsmetod för att skydda personer, data och infrastruktur.

Förstärk din säkerhetsstatus med Azure. Använd flerskiktade, inbyggda säkerhetskontroller och unik hotinformation från Azure för att identifiera och skydda mot hot. Mer än 3 500 globala cybersäkerhetsexperter arbetar tillsammans för att skydda dina data i Azure.

Säkerhetsverktyg för databas

Dra nytta av inbyggda säkerhetsverktyg och tjänster för Azure Database inklusive Always Encrypted-teknik; intelligent hotskydd; säkerhetskontroller, databasåtkomst och auktoriseringskontroller som säkerhet på radnivå och dynamisk datamaskering, granskning, hotidentifiering och dataövervakning med Microsoft Defender för molnet.

Skydda dina NoSQL-databaser med Azure Cosmos DB, som innehåller omfattande avancerade databassäkerhetsverktyg för att hjälpa dig att förhindra, identifiera och reagera på databasöverträdelser.

Programvara och tjänster för databassäkerhet

Skydda åtkomsten till resurser och data med Azure Active Directory. Den här företagsidentitetstjänsten tillhandahåller enkel inloggning, multifaktorautentisering och villkorsstyrd åtkomst för att skydda mot 99,9 procent av cybersäkerhetsattackerna.

Lagra säkert och få skyddad tillgång till hemligheter med Azure Key Vault. En hemlighet är något du vill kontrollera åtkomsten till, t.ex. API-nycklar, lösenord, certifikat eller kryptografiska nycklar. Säker nyckelhantering är avgörande för att skydda data i molnet.

Vanliga frågor och svar

  • Databassäkerhet är de processer, verktyg och kontroller som säkrar och skyddar databaser mot oavsiktliga och avsiktliga hot. Syftet med databassäkerhet är att skydda känsliga data och upprätthålla databasens konfidentialitet, tillgänglighet och integritet. Förutom att skydda data i databasen skyddar databassäkerheten databashanteringssystemet och tillhörande program, system, fysiska och virtuella servrar samt nätverksinfrastruktur.

    Få en introduktion till databassäkerhet

  • För att uppnå den högsta nivån av databassäkerhet behöver organisationer flera lager av dataskydd. Det omfattar brandväggar för nätverkssäkerhet, åtkomstkontroller, funktioner för granskning och hotidentifiering, datakryptering, säkerhetskopiering och återställning av databaser samt fysisk säkerhet för servern, maskinvarukomponenter och säkerhetskopieringsmedier.

    Läs hur du skyddar en databas

  • Databassäkerhet skyddar mot dataintrång. Att förhindra dataintrång är av största vikt för verksamheten eftersom det kan kosta miljoner att åtgärda, inklusive juridiska avgifter, brottsofferersättning, kostnader för att återskapa data och återställa system och avgifter för bristande efterlevnad av regler. Företag kan också tvingas betala ut lösensummor till hackare som kräver pengar för att återställa låsta filer och data.

    Läs varför databassäkerhet är

  • Metodtips för databassäkerhet hanterar säkerhetsrisker och gör det svårare för hackare att komma åt systemet. Metodtipsen omfattar databashärdning, alltid krypterade data, separat autentisering, avancerat hotskydd och principen för minsta rättighet, som ser till att användare och program endast beviljas åtkomst till de data och åtgärder de behöver för att utföra sina jobb.

    Upptäck hur du kan förbättra databasens säkerhet

  • Stärk säkerhetsstatusen med Microsofts heltäckande Noll förtroende-säkerhetsmodell och Azure-databassäkerhet. Använd flerskiktade, inbyggda säkerhetskontroller och unik hotinformation för att identifiera och skydda mot hot. Azure-tjänster är utrustade med djupgående skydd i flera skikt för fysiska datacenter, infrastruktur och all drift i Azure.

    Utforska viktiga lösningar och verktyg

Kom igång med ett kostnadsfritt Azure-konto

Få populära Azure-analystjänster kostnadsfritt i 12 månader, mer än 25 tjänster alltid kostnadsfria och $200 kredit att använda under dina första 30 dagar.

Kontakta en Azure-säljspecialist

Få råd om hur du kommer igång med databassäkerhet i Azure. Ställ frågor, lär dig mer om priser och metodtips och få hjälp med att utforma en lösning som uppfyller dina behov.

Kan vi hjälpa dig?