Veritabanı güvenliği nedir?

• Güvenlik duvarları , DiD veritabanı güvenliğinde ilk savunma hattı görevini görür. Mantıksal olarak güvenlik duvarı, ağ trafiğinin ayırıcısı veya kısıtlayıcısıdır. Bunu, kuruluşunuzun veri güvenliği ilkesini zorunlu tutacak şekilde yapılandırabilirsiniz. Güvenlik duvarı kullanırsanız, güvenlik önlemlerinizin odaklanabileceği bir tıkanma noktası sağlayarak işletim sistemi düzeyinde güvenliği artırırsınız.

• Kimlik doğrulaması , kullanıcının doğru kullanıcı kimliği ve parolasını girerek kim olduğunu kanıtlama işlemidir. Bazı güvenlik çözümleri yöneticilerin tek bir merkezi konumda veritabanı kullanıcılarının kimliklerini ve izinlerini merkezi olarak yönetmesine olanak tanır. Bu parola depolamanın en aza indirilmesini içerir ve merkezi parola döndürme ilkelerini sağlar.
• Yetkilendirme her kullanıcının belirli veri nesnelerine erişmesine ve verileri okuma fakat değiştirememe, verileri değiştirme fakat silememe veya verileri silme gibi belirli veritabanı işlemlerini gerçekleştirmesine olanak sağlar.
• Erişim denetimi veritabanı içindeki bir kullanıcıya izin atayan sistem yöneticisi tarafından yönetilir. İzinler, kullanıcı hesaplarını veritabanı rollerine ekleyerek ve bu rollere veritabanı düzeyinde izinler atayarak en iyi şekilde yönetilir. Örneğin, satır düzeyinde güvenlik (RLS), veritabanı yöneticilerinin kullanıcının kimliği, rol üyelikleri veya sorgu yürütme bağlamını temel alan veri satırlarına okuma ve yazma erişimini kısıtlamasına olanak tanır. RLS, veritabanı içindeki erişim mantığını merkezi hale getirir ve bu da uygulama kodunu basitleştirir ve verilerin yanlışlıkla açığa çıkma riskini azalttır.

• Denetim veritabanı etkinliklerini izler ve veritabanı olaylarını bir denetim günlüğüne kaydederek güvenlik standartlarıyla uyumluluğu sürdürmeye yardımcı olur. Böylece devam eden veritabanı etkinliklerini izleyebilir, ayrıca olası tehditleri veya kötüye kullanım ve güvenlik ihlali şüphelerini soruşturmak için geçmiş etkinlikleri analiz edebilir ve araştırabilirsiniz.
• Tehdit algılama veritabanına yönelik olası bir güvenlik tehdidini işaret eden anormal veritabanı etkinliklerini ortaya çıkararak şüpheli olaylarla ilgili bilgileri doğrudan yöneticiye sunar.

• Veri şifreleme hassas verileri alternatif bir biçime dönüştürerek güvenli hale getirir, böylece yalnızca hedeflenen taraflar dosyanın şifresini çözebilir ve özgün biçimine erişebilir. Şifreleme erişim denetimi sorunlarını çözmese de, erişim denetimleri aşıldığında veri kaybını sınırlayarak güvenliği artırır. Örneğin, veritabanı ana bilgisayarı yanlış yapılandırılmışsa ve kötü amaçlı bir kullanıcı kredi kartı numaraları gibi hassas verileri ele geçirirse, bu çalınan bilgiler şifreliyken işe yaramayabilir.
• Veritabanı yedekleme verileri ve kurtarma bilgilerin korunması için kritik önemdedir. Bu işlem, düzenli aralıklarla veritabanının ve günlük dosyalarının yedek kopyalarının oluşturulması ve bu kopyaların güvenli bir konumda depolanmasını içerir. Yedekleme dosyası ve kopyası, güvenlik ihlali veya hata durumunda veritabanını geri yüklemek için kullanılabilir.
• Fiziksel güvenlik fiziksel sunucu ve donanım bileşenlerine erişimi sıkı bir şekilde sınırlar. Şirket içi veritabanlarına sahip birçok kuruluş, veritabanı sunucusu donanımı ve ağ cihazları için kısıtlı erişime sahip kilitli odalar kullanır. Ayrıca, yedekleme medyasını güvenli bir site dışı konumda depolayarak erişimi sınırlamak da önemlidir.

Veritabanı sunucusunu güvenli hale getirme veya "sağlamlaştırma", güvenlik açıklarına karşı ağ ve işletim sistemi güvenliğini birleştirir ve korsanların sisteme erişimini zorlaştırır. Veritabanı sağlamlaştırma için en iyi yöntemler veritabanı platformunun türüne göre değişiklik gösterir. Yaygın adımlardan bazıları parola korumasını ve erişim denetimlerini güçlendirme, ağ trafiğinin güvenliğini sağlama ve veritabanındaki hassas alanları şifrelemedir.

Bu özellikler, veri şifrelemesini güçlendirerek kuruluşların verilerini güvenli hale getirmesini ve yönetmeliklere uyum sağlamasını kolaylaştırır:

• Her zaman şifrelenmiş veriler aktarım sırasında, bellekte, diskte ve hatta sorgu işleme sırasında çalınmalara karşı yerleşik koruma sunar.
• Saydam veri şifrelemesi, depolanan verileri (bekleyen veriler) şifreleyerek kötü amaçlı çevrimdışı etkinlik tehdidine karşı koruma sağlar. Saydam veri şifrelemesi özelliği bekleme sırasında veritabanını, ilişkili yedekleri ve işlem günlüğü dosyalarını uygulamada değişiklik gerektirmeden gerçek zamanlı olarak şifreleyip şifresini çözer.

Aktarım Katmanı Güvenliği (TLS) ağ protokolünün en güçlü sürümüne yönelik destekle birlikte, her zaman şifrelenmiş veriler ve saydam veri şifrelemesi, ödeme verileri için güçlü, uçtan uca korumayı zorunlu kılan Ödeme Kartı Sektör Veri Güvenliği Standardı (PCI DSS) ile uyumlu olması gereken finans, bankacılık ve sağlık kuruluşları için kapsamlı bir şifreleme çözümü sağlar.

Gelişmiş Tehdit Koruması, veritabanlarına erişmeye veya onları kötüye kullanmaya yönelik olağandışı ve zararlı olabilecek girişimlerin algılanması için günlükleri analiz eder. SQL ekleme, olası veri sızıntısı ve deneme yanılma saldırıları gibi şüpheli etkinlikler için veya ayrıcalık yükseltme ve kimlik bilgilerinin ihlali gibi erişim desenlerindeki anomaliler için uyarılar oluşturulur.

En iyi yöntem olarak, kullanıcıların ve uygulamaların kimlik doğrulaması için ayrı hesaplar kullanmaları gerekir. Bu şekilde kullanıcılara ve uygulamalara verilen izinler sınırlanır ve kötü amaçlı etkinlik risklerini azalır. Özellikle uygulama kodunun SQL ekleme saldırısına karşı savunmasız olduğu durumlarda çok önemlidir.

 Bilgi güvenliği en az ayrıcalık ilkesi , kullanıcıların ve uygulamaların yalnızca işlerini yapmak için gereken verilere ve işlemlere erişim izni verilmesi gerektiğini ifade eder. Bu en iyi yöntem, uygulamanın saldırı yüzeyini azaltmaya ve bir güvenlik ihlali oluşursa etkisini (sızıntı çapı) azaltmaya yardımcı olur.

Veritabanı güvenliğine yönelik en iyi yöntemler, kuruluşunuzun tamamını korumak için platformlar ve bulutlar arasında birlikte çalışan  kapsamlı güvenlik yaklaşımının  bir parçası olmalıdır. Sıfır Güven modeli kişileri, cihazları, uygulamaları ve verileri nerede bulunurlarsa bulunsunlar korumak için kimlikleri ve cihaz uyumluluğunu her erişim isteğinde doğrular. Sıfır Güven modeli şirket güvenlik duvarının arkasında her şeyin güvenli olduğunu varsaymak yerine olası bir ihlal durumunu göz önünde bulundurarak her isteği açık bir ağdan gelmiş gibi doğrular. İsteğin kaynağı veya hangi kaynağa eriştiği fark etmeksizin, Sıfır Güven "asla güvenme, her zaman doğrula" ilkesini izler.

Microsoft güvenlik çözümleriyle Sıfır Güven’i etkinleştirme. Kişilerinizi, verilerinizi ve altyapınızı korumak için uçtan uca bir güvenlik yaklaşımı benimseyin.

Azure ile güvenlik durumunuzu güçlendirin. Tehditleri belirlemek ve bunlara karşı korunmak için, Azure’ın sunduğu çok katmanlı yerleşik güvenlik denetimlerini ve benzersiz tehdit bilgilerini kullanın. Azure'da verilerinizi korumaya yardımcı olmak için 3.500'den fazla küresel siber güvenlik uzmanı birlikte çalışıyor.

 Bulut için Microsoft Defender ile  Always Encrypted teknolojisi dahil olmak üzere yerleşik Azure Veritabanı güvenlik araçlarından ve hizmetlerinden; akıllı tehdit korumasından; güvenlik kontrollerinden;  satır düzeyi güvenlik ve dinamik veri maskeleme gibi veritabanı erişim ve doğrulama kontrollerinden, denetim, tehdit algılama ve veri izlemeden yararlanın.

Veritabanı ihlallerini önlemenize, algılamanıza ve yanıtlamanıza yardımcı olmak için Kapsamlı gelişmiş veritabanı güvenliği araçlarıkapsamlı gelişmiş veritabanı güvenliği araçlarını içeren Azure Cosmos DB ile NoSQL veritabanlarınızı koruyun.