امروزه دسترسی به هر اطلاعاتی از طریق اینترنت امکان پذیر است. داده ها که شامل مواردی مانند مشخصات هویتی اشخاص، اطلاعات پزشکی، سوابق خریدهای اینترنتی و … می شوند، در پایگاه داده های اینترنتی ذخیره می گردند. مطمئنا این داده ها نیاز به سطح دسترسی خاص و حفاظت در برابر مهاجمان دارند.
یک پایگاه داده به چندین لایه امنیتی نیاز دارد. اگر کوچکترین نقصی در لایه های امنیتی پایگاه داده ها ایجاد شود، با توجه به میزان حساسیت داده ها، می تواند بسیار خطرناک باشد. سوال مهم این است که شرکت ها چگونه می توانند از اطلاعات خود در برابر نقص موارد امنیتی محافظت کنند؟ در ادامه این مقاله برخی از روش های محافظت و افزایش امنیت پایگاه داده، بیان شده است.
تصویر (1)
1. سرورهای پایگاه داده مجزا
چندین عامل روی معماری یک سرور تاثیر دارند که برخی از آنها شامل عملکرد، دسترسی، محرمانگی، حفاظت و … می باشند. عموما نگهداری همه سرور ها از جمله سرور نرم افزار، وب سرور و سرور پایگاه داده در یک مکان، باعث بهبود کارایی می شود اما کسب و کارهای امروزی می خواهند از داده های کاربران خود محافظت کنند. در نتیجه سرور پایگاه داده را جدا از سایر سرورها نگهداری نموده و دسترسی سرور پایگاه داده را از DMZ (مخفف Demilitarized Zone بوده و شامل خدماتی می باشد که در دسترس عموم قرار دارد. این مورد معمولا یک نقطه ناامن در اینترنت عمومی است) قطع می نمایند. در این معماری، سرور پایگاه داده مستقیماً برای کاربر در دسترس نمی باشد.
وظیفه سرور پایگاه داده چیست؟
اطلاعات در سرور پایگاه داده ذخیره می شود و در پاسخ به کوئری های کاربر، بازیابی می شود. کاربران با کمک سرور نرم افزار اصلی، درخواست ها را به سرور پایگاه داده ارسال می کنند. برای انجام این کار، باید سرور نرم افزار را به سرور پایگاه داده متصل نمایید و دسترسی لازم برای بروز رسانی، درج یا حذف داده ها را در اختیار آن قرار دهید.
تصویر (2)
به عنوان مثال، طبق تصویر (2) کاربر برای فراخوانی اطلاعاتی مانند مشخصات پروفایل، یک کوئری را به سمت سرور ارسال می کند. سرور درخواست را دریافت نموده و از آنجایی که اطلاعات در پایگاه داده ذخیره می شود، درخواستی را به سرور پایگاه داده ارسال می نماید و همان اطلاعات را فراخوانی می نماید. اگر پایگاه داده اطلاعات را داشته باشد، آنها را به سرور ارسال نموده و سرور به کاربر پاسخ می دهد. سرورهای پایگاه داده مستقیماً توسط کاربر قابل دسترسی نیستند. سازمان ها به راحتی می توانند با جداسازی سرورهای پایگاه داده و نرم افزار، هر قانون یا سیاستی را که می خواهند روی سرور پایگاه داده اعمال کنند.
مزایا:
- اگر نرم افزار نقص امنیتی داشته باشد، مهاجم نمی تواند در مرحله اول، کنترل پایگاه داده را به دست گیرد.
- از آنجایی که پایگاه داده در یک سرور متفاوت قرار دارد، پردازش داده ها بسیار موثرتر انجام می شود.
2. مدیریت دسترسی به هویت یا IAM
اجرای سیاست های مدیریت دسترسی کاربران به اطلاعات، بر عهده IAM است. IAM مخفف Identity Access Management می باشد که امکان دسترسی کاربران به اطلاعات را در شرایط ایمن، فراهم می کند.
برای افزایش امنیت پایگاه داده، سازمانها دائماً باید تعداد کاربرانی که میتوانند به پایگاه داده دسترسی داشته باشند، کاهش دهند.
نحوه پیاده سازی IAM
اصل اساسی IAM این است که برای هر کاربر به اندازه سطح مورد نیاز، دسترسی به داده ها در نظر گرفته شود. لذا باید تعداد افرادی که نیاز به دسترسی اولیه دادهها دارند و تعداد افرادی که به دسترسی های بالاتر اداری نیازمند هستند را تعیین کنید.
حداقل دو نفر باید دارای دسترسی مدیریت باشند و هر تغییری که توسط یکی انجام شود باید توسط دیگری تایید گردد تا کسی نتواند از حق دسترسی آنها سوء استفاده کند. همچنین وظایف باید تفکیک شوند.
مزایا :
- تا حد امکان باید به هر کاربر دسترسی کمتری به پایگاه داده ارائه می شود.
- مدیریت مجوزهای کاربران با توجه به میزان نیاز آنها جهت دسترسی به بخش های مختلف پایگاه داده، می تواند خطر ایجاد نقض داده ها را کاهش دهد.
3. رمزگذاری داده ها
رمزگذاری داده ها می تواند در دو حالت صورت گیرد:
- Transit encryption: در این حالت رمزگذاری را می توانید با پیاده سازی پورت 443 و با استفاده از گواهی SSL انجام دهید.
- Encryption at rest: رمزگذاری، فرآیند تبدیل داده ها به یک کد محرمانه است که فقط افراد تعیین شده می توانند آن را بخوانند. این کار با استفاده از یک جفت کلید عمومی و خصوصی امکان پذیر است. بنابراین، قبل از ذخیره داده ها، آنها را با یک کلید عمومی رمزگذاری نموده تا تنها کاربر دارای کلید خصوصی متناظر بتواند آن را بخواند.
مزایا :
- رمزگذاری همواره یکپارچگی داده ها را حفظ می کند.
- رمزگذاری از حریم خصوصی کاربر محافظت می کند. زیرا تمام اطلاعات شناسایی شخصی، مانند شماره کارت اعتباری و رمزهای عبور، پس از رمزگذاری، در پایگاه داده ذخیره می شوند.
4. پوشش داده ها
یکی از راه های افزایش امنیت پایگاه داده حفظ محرمانگی اطلاعات می باشد. این یعنی هنگام نمایش اطلاعات به بازدیدکنندگان یا کاربرانی که نیازی به مشاهده آن داده ها ندارند، باید از "پوشش داده" استفاده شود. فرض کنید اطلاعات کارت بانکی کاربران را دارید، به جای اینکه هر بار اطلاعات کامل را به کاربر نشان دهید، می توانید صرفا چهار رقم آخر کارت بانکی را درج نمایید. پوشاندن دادهها باید قبل از نمایش دادههای حساس در دامنه عمومی یا کاربران داخلی، روی هر قطعه از دادههای حساس اعمال شود.
مزایا :
1) شما می توانید داده های حساس را در حالی که نیازی به مشاهده آنها وجود ندارد، حفظ کنید.
2) داده های سازمان از نفوذ، حذف یا تغییر و تهدیدات داخلی محافظت می شوند.
5. مدیریت ورود به سیستم و نظارت بر ترافیک
مدیریت گزارشهای هر نرم افزار یا پایگاه داده حیاتی است. مشاهده الگوهای گزارش می تواند اطلاعاتی مانند موارد زیر را در اختیار شما قرار دهد:
- از چه مکان هایی داده های سرور بازدید می شود؟
- کدام آدرس IP برای دسترسی به سرور شما استفاده می گردد؟
- کدام کشور بیشترین ترافیک را روی سرور دارد؟
بر اساس الگوهای لاگ، می توانید بررسی های لازم را به صورت دوره ای انجام داده و چنانچه اشتباهی تشخیص داده شود باید سریعا اخطاری را صادر نمایید. در نتیجه، میتوانید توسط قوانین و سیاستهایی که در شبکه تنظیم می شود، دسترسی سرور پایگاه داده را از مهاجمان، دور نگه دارید.
بنابراین برای افزایش امنیت پایگاه داده نظارت دوره ای بر سرورهای سازمان، ضروری است.
مزایا :
1) مدیریت گزارش نرم افزار، این امکان را به شما می دهد تا فعالیت های کاربران خود را پیگیری نموده و مزاحمان را شناسایی نمایید.
2) هدف لاگ این است که به عنوان یک علامت هشدار در هنگام وقوع اتفاق بد عمل کند.
6. استفاده از فایروال
تصویر(3)
تصویر (3) عملکرد یک فایروال را نشان می دهد. داده ها از اینترنت وارد می شوند و قبل از رسیدن به مودم، از طریق فایروال فیلتر خواهند شد. ترافیک ناشناخته، به سطل زباله فرستاده می شود. ترافیک مجاز، تفکیک شده و سپس از مودم به یک شبکه محلی امن خصوصی و سایر دستگاه های متصل ارسال می گردد.
سازمان ها می توانند از فایروال ها برای محافظت و افزایش امنیت پایگاه داده در برابر شبکه های خارجی استفاده کنند. در ادامه، دو نوع از این فایروال ها آورده شده است.
- فایروال شبکه: لایه های امنیتی هستند که برای ارسال و دریافت اطلاعات تنظیم می شوند. به این صورت که اگر مدیر فایروال بخواهد اجازه دسترسی را به کاربر بدهد، میتواند پورتهای فایروال را باز کند. همچنین لیست سفید مبتنی بر IP باید اعمال شود تا فقط IP های خاصی بتوانند به پایگاه داده دسترسی داشته باشند.
- فایروال نرم افزار تحت وب (WAF): این نوع فایروال، روی لایه نرم افزار کار می کند و می تواند ترافیک داخلی را فیلتر کند. در این فایروال می توانید یک نشانه برای شناسایی حملاتی مانند SQLi ،XSS و LFI ایجاد کنید. این نوع فایروال اجازه می دهد تا از سرور پایگاه داده در دو لایه محافظت شود.
مزایا :
- حملات SQLi و XSS را می توان با استفاده از فایروال تشخیص داد و از آن جلوگیری کرد.
- فایروال می تواند برای جلوگیری از تلاش های مکرر برای اسکن شبکه، جهت یافتن پورت های باز استفاده شود.
7. استفاده از 2FA
2FA به معنای "احراز هویت دو مرحله ای" است. پس از اعتبارسنجی و احراز هویت، کاربر باید کدی را برای دسترسی به صفحه اصلی نرم افزار یا سرور وارد کند که یک لایه محافظ اضافه خواهد کرد.
برای افزایش امنیت پایگاه داده استفاده از رمز عبور قوی، همواره توصیه می شود. یک رمز عبور قوی از دادههای شما محافظت میکند اما امروزه شرکتها میخواهند از عملکرد 2FA برای محافظت از اطلاعات حساس در زمانی که رمز عبور به خطر افتاده است، استفاده کنند.
2FA یک فرآیند احراز هویت است که کاربر را به صورت کامل احراز هویت کرده و دسترسی به داده ها را محدود می کند اما از داده ها محافظت نخواهد کرد.
مزایا :
1) اجرای احراز هویت دو مرحله ای، به کارمندان اجازه می دهد تا کاملا ایمن به سیستم های شرکتی از هر دستگاه یا مکانی دسترسی داشته باشند. بدون اینکه داده های حساس را به خطر بیندازند.
2) یک لایه امنیتی اضافی توسط احراز هویت اضافه می شود و از دسترسی غیرمجاز به حساب شما در صورتی که نام کاربری و رمز عبور شما به خطر افتاده باشد، جلوگیری می کند.
جمع بندی
داده ها، دارایی بسیار مهمی برای هر شرکتی هستند. هر روز شرکتها در سراسر جهان دادههای زیادی را در مورد عملیات روزانه و مشتریان خود جمعآوری میکنند. اطلاعات در پایگاه داده هایی ذخیره می شوند که برای مدیریت داده ها و خودکارسازی عملکردهای مختلف در داخل و خارج شرکت ها، مورد استفاده قرار می گیرند. با توجه به اهمیت فوق العاده بالای آنها، حفاظت از داده ها جزء حیاتی هر کسب و کار می باشد.