13 marca 2024

Poznaj główne zagrożenia dla baz danych

Dane są siłą napędową biznesu, dlatego ich ochrona to priorytet. Nie jest ona jednak możliwa bez odpowiedniej strategii bezpieczeństwa i może stanowić wyzwanie w dobie usług opartych na internetowych bazach danych. Usług, które choć są niezwykle pomocne w pracy, to jednak niosą za sobą pewne ryzyko. Aby właściwie chronić informacje, należy wiedzieć, gdzie znajdują się główne luki w cyberbezpieczeństwie związane z bazami danych. Tego dowiesz się z poniższego artykułu.

AWARIE PODCZAS WDRAŻANIA BAZY DANYCH

Chyba każdy, kto kiedykolwiek wdrażał bazy danych, podpisze się pod tym, że jest to zwykle proces żmudny i charakteryzujący się wieloma zmiennymi. Z tego powodu łatwo o luki w zabezpieczeniach, które niezauważone, mogą stanowić długoterminowe zagrożenie. Zwykle winny temu jest brak zastosowania silnych procesów bezpieczeństwa danych.

SOLIDNA KONTROLA WERSJI

Wdrożenia często kończą się niepowodzeniem, ponieważ zastosowane schematy lub pliki odbiegają od wersji produkcyjnych. Równie często wdrożenia kończą się niepowodzeniem z powodu implementacji skryptów i plików, które zostały zaktualizowane offline i nie zostały zintegrowane w repozytoria VCS.

Zespoły wdrożeniowe mogą ignorować wersjonowanie narzędzi programistycznych nie z powodu złej woli, lecz pracy pod presją czasu. A to, niestety, często prowadzi do niespójnych procesów wdrażania. Komplikuje to również rozwiązywanie problemów. Niestandardowe rozwiązanie bazy danych może zrównoważyć to ryzyko i zapewnić, że wszystkie komponenty płynnie ze sobą współpracują i są systematycznie kontrolowane.

Krytycznym przedmiotem do rozważenia jest skrypt przywrócenia lub jego instrukcja. Niezdolność do skutecznego przywrócenia bazy danych jest barierą dla potencjalnego biznesu, a tym samym stanowi ryzyko dla bezpieczeństwa.

Zarówno wszystkie skrypty, jak i dokumentacja proceduralna powinny być regularnie testowane w ramach planowania ciągłości działania i być pod kontrolą wersji.

KOPIE ZAPASOWE

Wdrożenia są przerywane, jeśli coś pójdzie nie tak i występuje przerwa między czasem wdrożenia a ostatnią kopią zapasową. Dane, które nie posiadają kopii zapasowej, mogą zostać trwale utracone lub uszkodzone.

Najczęściej dochodzi do tego, gdy team wdrożeniowy zapomniał wykonać migawki bezpośrednio przed wdrożeniem lub gdy kopia zapasowa była uszkodzona. Takie niedopatrzenia mogą się zdarzyć, np. kiedy występuje sytuacja awaryjna.

Najlepiej byłoby, gdyby zespół wykonał migawki bezpośrednio przed zablokowaniem bazy danych i przetestował przywrócenie jej do alternatywnej lokalizacji. Tak, to wymaga poświęcenia dodatkowego czasu, ale może zapobiec nieodwracalnej utracie danych.

ŚRODOWISKA TESTOWE

Oprócz VCS i kopii zapasowych to właśnie dobre środowisko testowe pomaga zapewnić udane wdrożenia baz danych. Choć współdzielenie obszaru testowego z innymi aplikacjami, aby zaoszczędzić zasoby, jest kuszące, to jednak aplikacje muszą być odizolowane, żeby uniknąć zwiększeniu ryzyka dla testów lub danych. Co ważne, obszar testowy musi zawierać produkcyjne wersje schematów, plików i środowisk. Niezgodności mogą prowadzić do nieudanych testów, a nawet przerwania wdrożeń produkcyjnych.

Regiony testowe zasługują na tak samo rygorystyczną konserwację jak środowiska produkcyjne. Od tego zależy bezpieczeństwo bazy danych.

USZKODZONE BAZY DANYCH

Na naszej liście głównych zagrożeń dla baz danych znajduje się również sytuacja, w której baza danych jest uszkodzona, często z powodu naruszenia dostępu do danych.

Ograniczenia to reguły lub właściwości, które definiują prawidłowe dane w kolumnie, tabeli lub bazie danych. Typowe ograniczenia obejmują wymaganie klucza podstawowego do identyfikacji rekordów tabeli i pola z unikalnymi wartościami. Ograniczenie klucza obcego nakłada wartość, np. nazwę miasta, aby odwołać się do istniejącego rekordu przechowywanego w innej tabeli. Uszkodzona baza danych sparaliżuje wdrożenia i inne krytyczne zadania, a jeśli wystąpi na produkcji, wpłynie również na użytkowników.

Przed wdrożeniem należy przeprowadzić kontrole danych, aby usunąć nieprawidłowe wartości, duplikaty i uszkodzone odniesienia do kluczy obcych. Warto zapamiętać, że - jeśli jest taka możliwość - ograniczenia powinny być dodawane pojedynczo, aby uprościć rozwiązywanie problemów.

OGRANICZENIA DOTYCZĄCE ORGANIZACJI DANYCH

Aby skutecznie zarządzać ograniczeniami, konieczne jest wdrożenie następujących elementów:

  • Usuwanie zduplikowanych rekordów. Istotne jest sprawdzanie duplikatów przed zastosowaniem ograniczeń do unikalnych wartości.
  • Unikanie nieprawidłowych danych. Należy dodać ograniczenia sprawdzające do wszystkich tabel, aby upewnić się, że wartości spełniają kryteria ważności.
  • Tworzenie skryptów sprawdzających wszystkie ograniczenia. Zweryfikowanie, które skrypty dostarczają szczegółowych informacji o błędach, znacznie upraszcza rozwiązywanie problemów i wprowadzanie poprawek.
  • Testowanie z danymi produkcyjnymi. Jeśli dane produkcyjne nie są dostępne ze względów poufnych, należy utworzyć kopię testową z zamaskowanymi informacjami poufnymi. W przeciwnym razie trzeba zachować fikcyjne dane, które ściśle odzwierciedlają złożoność produkcji.

NIESPÓJNOŚĆ BAZY DANYCH

Kolejnym poważnym zagrożeniem dla baz danych jest sytuacja, w której baza danych staje się niespójna, ponieważ dane naruszają globalnych ograniczenia integralności. Taki stan może uniemożliwić dostęp i wymagać przywrócenia bazy danych z kopii zapasowych. Chociaż nie wszystkim incydentom można zapobiec, przestrzeganie solidnych procesów może zapobiec tym z nich, które są spowodowane błędnym osądem.

OMIJANIE NARZĘDZI BAZY DANYCH

Zespoły pracujące w trybie kryzysowym mogą polegać na konkretnym wierszu poleceń lub skryptach do manipulowania bazami danych. Typowym scenariuszem jest obejście problemów środowiskowych lub użycie skrupulatnego narzędzia wykorzystującego wiersz poleceń do przenoszenia bazy danych lub plików.

Niestety, ominięcie narzędzi aplikacji może doprowadzić do zniszczenia całej bazy danych. W zależności od stopnia uszkodzenia, baza danych może wymagać usunięcia, ponownego utworzenia i ponownego wypełnienia danymi.

Lepszym rozwiązaniem jest skopiowanie bazy danych do nowej lokalizacji, używając przy tym odpowiednich narzędzi, i zweryfikowanie integralności kopii, zanim określi się ją jako wersję podstawową.

Inne przyczyny niespójnych baz danych to:

  • nieobsługiwane konfiguracje sprzętowe;
  • zmodyfikowane zmienne pliku instalacyjnego;
  • awaria odzyskiwania bazy danych;
  • awaria sprzętu lub oprogramowania.

BRAK PODZIAŁU OBOWIĄZKÓW

Zagrożenie to dotyczy zespołów informatycznych, które zarządzają bazami danych. Jeśli nie mają odpowiednich umiejętności lub są w jakikolwiek sposób nieuczciwe w swoich działaniach, mogą stanowić zagrożenie wewnętrzne dla firmy.

Zespoły te wymagają rozdzielenia ról w celu utrzymania kontroli i równowagi niezbędnych do ochrony informacji. Niestety, dla wygody w firmach wszystkich wielkości role są często mieszane. Owszem, czasem kierownictwo przyjmuje podejście „czarnej skrzynki” do technologii informacyjnej, zakładając, że wiarygodne dane produkcyjne oznaczają, że wszystko jest w porządku.

Fakty są jednak takie, że ignorowanie ról to otwarte drzwi dla ludzkich błędów lub wręcz działalności przestępczej. Pracownicy wewnętrzni i wykonawcy są zaangażowani w większość przestępstw związanych z danymi, celowo lub z powodu błędów i niewłaściwych procedur.

Oto kilka wskazówek dla zespołu ds. bezpieczeństwa:

  • Należy wprowadzić segregację zarządzania bezpieczeństwem, audyty, administrowanie bazami danych, administrowanie serwerami i tworzyć kopie zapasowe;
  • Oddzielny zespół z doświadczeniem w zakresie konkretnej technologii, np. analitycy systemów, lub firma zewnętrzna powinny przeprowadzić zarówno zaplanowany, jak i losowy audyt;
  • Należy wykonywać symulacje bezpieczeństwa, aby sprawdzić, czy wyłączenie ról monitorujących, takich jak logowanie, nie może być wykonane przez te same osoby z dostępem do wrażliwych danych;
  • Warto też zlecić outsourcing niestandardowych baz danych i innych ról oprogramowania, aby oddzielić je od systemu administracyjnego.

Kolejnym bardzo ważnym punktem, który należy wziąć pod uwagę w organizacji, jest zarządzanie tożsamością i dostępem (Identity & Access Management - IAM), które pozwala firmie tworzyć, chronić i określać poziom uprawnień dla każdego pracownika.

Dzięki temu każdy z nich może wykonywać wszystkie swoje zadania bez nadużywania uprawnień i chroniąc w ten sposób dane, które powinny być dostępne tylko dla niektórych pracowników.

WNIOSEK

Bezpieczeństwo baz danych zaczyna się od dobrze wyszkolonych zespołów zaangażowanych w ugruntowane procesy i posiadających jasno określone role. Błąd ludzki w połączeniu z reaktywną kulturą organizacyjną zwiększa ryzyko nieudanych wdrożeń oraz uszkodzonych i niespójnych baz danych.

Rozwiązaniem jest zaplanowanie kwestii bezpieczeństwa już teraz, tak aby w krytycznej sytuacji zespoły mogły umiejętnie i skutecznie wykonać wszystko, co niezbędne, aby zapobiec zagrożeniom dla bezpieczeństwa baz danych.

Jeśli potrzebujesz pomocy w radzeniu sobie z bezpieczeństwem baz danych Twojej organizacji, sprawdź, jak Senhasegura może Ci pomóc. Zobacz nasz webinar na żądanie i zobacz, co jeszcze potrafimy!

Łukasz Krysiak

Łukasz Krysiak
junior product manager Senhasegura

Masz pytania?
Skontaktuj się ze mną:
krysiak.l@dagma.pl
539 080 687

Podobne wpisy: