DBA经验谈:3个最严重的数据库安全问题
邹铮 发表于:12年04月23日 00:24 [转载] IT168
数据库的安全问题一直以来就是DBA的噩梦,那些不安全的Web应用程序、没有有效的认证管理以及管理配置不当的分段都可能让数据库处于危险之中。当然,如果你的数据库系统没有部署流量监控或加密技术,数据库安全也可以说是不完整的。但是大多数安全从业人员都知道往往数据库安全的有效性在数据库环境外部和内部差不多。
而实际上在数据的存储过程中通常因为IT基础架构层的安全性较差而导致了更多的数据泄漏。因而产生了三个严重的安全问题:
1、不安全的Web应用程序
尽管OWASP等组织在过去几年中积极传播最佳的安全编程方法,但事实是互联网中仍然存在数百万存在漏洞的Web应用程序,这些应用程序将用户引导到哪里?当然是到后端数据库。Accuvant LABS首席安全架构师,同时也是著名数据库安全研究人员David Litchfield表示,缩小漏洞差距的进展非常缓慢。
Litchfield表示:“这相当令人沮丧,尤其是看到几年前开始使用的相同工具包到现在仍然能够很好地用于渗透测试时。最糟糕的部分就是开发人员仍然开发出存在以前相同错误的新应用程序,例如,无法验证输入。”他表示,高等教育机构仍然没有教授学生多年前开发出来的安全编程原则,你以为这些从大学毕业的开发人员会知道这些基本知识,但是其实他们并没有学过。
2、泛滥的数据库系统特权账户
即使是在整个IT基础设施部署了高效身份和访问管理工具和程序的企业,数据库往往都处于无人看管的状况。“企业经常忘记将数据库用户的身份生命周期管理绑定到他们的IAM核心中,尤其是共享账户和服务账户,”Identropy首席架构师Nishant Kaushik表示,“数据库访问必须与配置、强大的身份验证和特权账户管理工具配合工作。”
但事实上,IT部门往往允许开发人员和其他IT系统管理员通过几乎无限制权限的系统账户来进入数据库。这些账户经常在访问控制或监控系统的控制之外被使用,并且很容易被内部人员滥用或者被外部攻击人员用于发动数据库攻击。
3、错误配置的网络分段
安全最佳做法和法规都大肆吹捧网络分段是控制风险范围以保护高价值数据库资产的重要方式。但是如果配置不当的话,尤其是在防火墙的规则集中,这些网络分段的安全漏洞都可能让数据库泄露。安全咨询公司Principle Logic公司的创始人Kevin Beaver花了大部分时间在为客户执行网络安全和web应用程序安全评估的工作上。他的评估结果经常显示企业在分段网络时糟糕的工作情况。
“我会看看企业的防火墙规则集,找到各种漏洞和错误配置情况,并且有些网络分段还无法互相通信,端口开放等问题。我经常看到数据库服务器位于公共互联网中,很容易受到攻击,”他表示,“在不久以前我还看到过这样一个案例,因为业务合作伙伴的要求,一家公司将其SQL服务器数据库放在互联网上,而后又忘记了这件事,直到出现数据泄露事故他们才意识到问题所在。”