基於MariaDB打造資料庫安全的五項基本實踐

2021-09-20 00:17:59 字數 1305 閱讀 9148

資料洩露的代價是昂貴的。包括對商業的影響、客戶信心的喪失、法律成本、罰金及所有因攻擊帶來的直接損失,可能會達數百萬。最好的防禦也是最好的進攻,所以採取以下五項基本實踐,可以讓資料更安全:防護、公升級、管理、公升級和加密。

資料庫**或者閘道器**介於應用和資料之間,接收來自應用的連線,然後代表應用去連線資料庫。設計良好的資料庫**會提供過濾功能和安全模組,幫助系統獲得更好的安全性、可靠性、可擴充套件性和效能。

maxscale database firewall filter會解析通過過濾的請求,可以阻止那些不符合白名單的查詢型別,而讓我們正常的查詢可以順利通過。例如,你可以設定某一特定的連線只能做更新和插入,另外乙個連線則必須滿足特定的正則要求等。

像maxscale這樣的**也可以保護資料庫免受ddos攻擊:當很多直接連線到資料庫服務時,資料庫會發生過載,甚至被壓垮。但**層吸收掉部分負載,從而起到限制此類攻擊影響的效果。

審計與日誌相互關聯、密不可分,但審計日誌比常規但日誌要複雜很多。審計日誌能提供管理員調查可疑活動的資訊,協助針對異常時間進行根本原因分析。除此之外,審計日誌還有助於確保與gdpr、pci、hippa、sox的一致性。

mariadb的審計外掛程式可以記錄大量資訊,包括所有接入的連線,所有查詢的執行,對每個表的訪問事件等。管理員可以看到誰,在什麼時間,訪問了某張表,誰插入了資料,誰又刪除了資料。審計外掛程式可以將日誌記錄到檔案或系統日誌(syslog)中,如果你已經將業務分析流程建立在syslog中,就可以基於次分析審計資訊了。

我們都知道為什麼要保持軟體的更新,但現實中仍然會有各種原因導致會有很多老應用必須泡在舊的os上,而且使用的是非常舊的資料庫服務。它們可以作為一種提醒,保持系統更新是保護資料免受最新攻擊的唯一途徑。

這不僅限於伺服器軟體,也包括os。勒索軟體wannacry就是利用乙個windows的安全漏洞。

我們統計記錄了最新的一些實踐經驗。很多企業不太看中加密,但它卻很有價值。畢竟,它能降低黑客攻擊的動力,尤其是當破解需要花費的成本大於收益時。

第一階段加密發生在應用層,即在資料庫傳入資料庫之前。如果應用中的資料已經加密,黑客即使突破了資料庫,也看不到資料。

下一階段資料加密是在傳輸過程中,即資料經過加密後,再在客戶端和資料庫服務之間,以網路方式傳輸。這個類似於瀏覽器使用https協議傳輸資料。顯然伺服器可以看到資訊,因為它需要讀取你提供的資訊;你也可以讀取這些資訊,因為是你填寫的這些表單,但除了你和伺服器之外,其他人不能讀到。

除了以上談到的5點基本內容外,可以基於不同資料的加密技術來保證資料安全。像mariadb可以將表空間、重做日誌、二進位制日誌等進行加密。

參考mariadb的《5-essential-practices-database-security》

centos7之mariadb資料庫的安裝

yum y install mariadb mariadb server rpm qa grep mariadb 檢視安裝的mariadb資料庫軟體包 mysql secure installation 執行之後會有以下幾個設定 初次執行直接回車 a 為root使用者設定密碼 b 刪除匿名賬號 c ...

Centos7中mariadb資料庫的安裝

1.安裝mariadb資料庫 yum y install mariadb mariadb server 2.啟動mariadb資料庫 systemctl start mariadb 3.設定開機啟動 systemctl enable mariadb 4.mariadb的建立過程 mysql secu...

你好!MariaDB資料庫

我們最熟知的資料庫莫過於mysql,開源給了他親民的一面,但是它被甲骨文收購以後呢,mysql的能否繼續開源下去成了大家茶前飯後所顧慮的問題,同樣,mysql的創始人widenius 麥可 維德紐斯 先生也在擔心這個問題,他覺得依靠sun oracle來發展mysql,實在很不靠譜,於是決定另開分支...