ukupna bezbednost baza - konferencija.coming.rs · bezbednost nema alternativu 17.05.2018. crowne...
TRANSCRIPT
Bezbednost nema alternativu17.05.2018. Crowne Plaza
Ukupna bezbednost baza podataka
Aleksandar PavlovićVodeći sistem inženjer za informacione sisteme
Sigurnost baza podataka• Ogleda se kroz:
– Dostupnost
– Integritet
– Autentičnost, verodostojnost
– Poverljivost
Činjenice• 84% kompanija smatra da su baze podataka ispravno
zaštićene
• 73% kompanija smatra da će se intenzitet napada povećavati iz dana u dan
• 48% napadača su autorizovani korisnici
• 48% korisnika zloupotrebljava privilegije
Dostupnost• Infrastrukturni mehanizmi zaštite:
– Visoka dostupnost na nivou serverske infrastrukture
– DRS, prediktivni mehanizmi zaštite
– Asinhrona storage replikacija
– Stretched cluster, HCI rešenja
– MetroCluster rešenja
• Ugrađeni mehanizmi zaštite na nivou OS-a i DBMS-a– Failover cluster – Microsoft AlwaysOn FCI
– Database mirroring – Microsoft AlwaysOn AG
– Limiti edicija – potreba za Enterprise
Dostupnost• Infrastrukturni mehanizmi zaštite:
– Visoka dostupnost na nivou serverske infrastrukture
– Asinhrona storage replikacija
– Stretched cluster, HCI rešenja
– MetroCluster rešenja
Dostupnost• Infrastrukturni mehanizmi zaštite:
– Visoka dostupnost na nivou serverske infrastrukture
– Asinhrona storage replikacija
– Stretched cluster, HCI rešenja
– MetroCluster rešenja
Dostupnost• Infrastrukturni mehanizmi zaštite:
– Visoka dostupnost na nivou serverske infrastrukture
– Asinhrona storage replikacija
– Stretched cluster, HCI rešenja
– MetroCluster rešenja
Dostupnost• Infrastrukturni mehanizmi zaštite:
– Visoka dostupnost na nivou serverske infrastrukture
– Asinhrona storage replikacija
– Stretched cluster, HCI rešenja
– MetroCluster rešenja
Dostupnost• Ugrađeni mehanizmi zaštite na nivou OS-a i DBMS-a
– Failover cluster – Microsoft AlwaysOn FCI
– Database mirroring – Microsoft AlwaysOn AG
– Limiti edicija – potreba za Enterprise edicijama
Integritet i zaštita podataka• RPO & RTO parametri – posledica detaljne Business
Impact Analize
• Infrastrukturna rešenja za zaštitu podataka:
– Backup:
• Na nivou OS-VM
• Na nivou DBMS – SSMS backup, RMAN backup
• Pravilo 3-2-1-1-0
Integritet i zaštita podataka• Infrastrukturna rešenja za zaštitu podataka:
– Replikacija na DR lokaciju:
• Replikacija na nivou hipervizora
• Storage based replikacija
• Replikacija na nivou backup softvera
– Verifikacija backup-a i replika
• SureBackup & SureReplica
DB hardening 1/4• Fizička sigurnost
– Sigurnosne mere na nivou DC
• Firewall, IPS– Definisanje pravila – Sistem, Security inženjer i DBA
– Korišćenje naprednih uređaja sa ugrađenim funkcijama IPS, detekcije lateralnog malicioznog saobraćaja
• Operativni sistem i DB software– Redovna primena sigurnosnih zakrpa
– Antivirus – security agenti
DB hardening 2/4• App & Web serveri
– Izmešteni u odnosu na DB server
– Uredna primena sigurnosnih zakrpa
– Kod otporan na SQL injection napade
• Klijenti
• Administratorski nalozi, permisije– NDA za administratore
– Personalni administratorski nalozi
– Kompleksne šifre za administratorske naloge
DB hardening 3/4• Audit
– Beleženje logova – uspešni i neuspešni pokušaji
– Monitoring logova
– Čuvanje logova
– Alarmi za zaključane naloge
• Upravljanje change management-om
DB hardening 4/4• Backup & Recovery
– Redovne backup procedure – na nivou OS-a i DBMS-a
– Verifikacija backup-a
– RTO & RPO parametri definisani u skladu sa BIA
• DB enkripcija i upravljanje ključevima– Problem čuvanja backup-a
Rešenja za unapređenje DB sigurnosti
• Rešenja za detekciju baza i klasifikaciju sadržaja unutar njih
• Inteligentna rešenja za monitoring aktivnosti nad bazom – Activity Monitoring
• Agentska rešenja za prevazilaženje sigurnosnih propusta
Zaključak• Unapređenje sigurnosti baza podataka - kompleksan
zadatak
• Primena rešenja i procedura na svim elementima DB stack-a