نکات کلیدی در تامین امنیت پایگاه داده و دیتابیس

به مجموعه اطلاعاتی که دارای یک نظم و ساختار خاص هستند پایگاه داده گفته می شود. این اطلاعات اغلب در کامپیوتر شما به گونه ای ذخیره می شوند که برای برنامه های مختلف قابل دسترسی و خواندن باشند. در واقع یک پایگاه سازمان یافته از اطلاعات را می توان پایگاه داده نامید. سیستم هایی که شامل پایگاه داده میشوند حتی با وجود امنیت های بسیار باز هم در خطر هک شدگی هستند و باید امنیت پایگاه داده تامین گردد. هکرها امروزه با استفاده از نام های کاربری مختلف و رمزعبورهای پیش فرض اقدام به هک اینگونه داده ها می کنند. اغلب داده هایی که رمزگذاری نمی شوند یا از بین می روند و یا هک می شوند که در هر دو صورت باعث انتقال اطلاعات به سیستمی ناامن می شود.

یک لحظه غفلت، یک عمر پشیمانی! مثلاً فرض کنید به‌خاطر یک سهل‌انگاری کوچک، هکرها موفق شوند پایگاه داده‌تان را هک کنند و تمام اطلاعات موجود روی آن را از بین ببرند. چقدر تلخ! مخصوصاً وقتی یادتان می‌آید چقدر نسبت‌به تأمین امنیت دیتابیس یا پایگاه داده بی‌اهمیت بودید!

باید هرچه بلدید برای نگهداری از دارایی‌های‌تان انجام دهید. همان‌طور در منزل‌تان را قفل می‌کنید تا دزد نتواند وارد شود، باید برای تأمین امنیت دیتابیس هم برنامه‌هایی داشته باشید.  ددر این مقاله سپاهان سرور چندین نکته کلیدی در تامین امنیت پایگاه داده و دیتابیس را به شما خواهیم گفت.

 

 

۱- تامین امنیت فیزیکی دیتابیس و پایگاه داده

معمولاً دیتابیس‌ها در مراکز مخصوصی نگهداری می‌شوند. به این مراکز اصطلاحاً دیتاسنتر (Datacenter) می‌گویند. دیتاسنتر هم می‌تواند در محل خود مجموعه باشد و هم می‌تواند یک فضای جداگانه باشد که مخصوص چنین کاری طراحی شده است.

یکی از خطراتی که همواره دیتابیس‌ها را تهدید می‌کند، امکان حمله فیزیکی به آن‌ها است. فرض کنید چند نفر با چوب و چماق به سروری که از آن برای نگهداری داده‌های‌تان استفاده می‌کنید حمله کنند. شما می‌مانید و اطلاعاتی که از دست رفته‌اند؛ بنابراین، تامین امنیت فیزیکی دیتابیس یکی از اولیه‌ترین اقداماتی است که باید برای حفظ امنیت آن انجام داد. جدا از مقوله تخریب دیتابیس با ضربه، مجرمان سایبری وقتی به دیتابیس به‌صورت فیزیکی دسترسی داشته باشند، می‌توانند کلی خسارت دیگر هم به بار آورند. مثلاً با آپلود کردن یک بدافزار، برای خود دسترسی ریموت ایجاد کنند تا بعداً سر فرصت زهرشان را بریزند.

 

۲- از همه داده‌ها روی یک سرور نگهداری نکنید

شنیده‌اید می‌گویند همه تخم‌مرغ‌ها را در یک سبد نگذارید؟! اینجا هم همین‌طور است. نباید همه داده‌ها را روی یک سرور (به‌عنوان دیتابیس) نگه دارید.

به این خاطر که اگر احیاناً مشکلی در دیتابیس به وجود آمد، همه داده‌ها در خطر نباشند. سعی کنید داده‌ها را از نظر میزان اهمیت دسته‌بندی کنید. آن‌هایی که اهمیت بیشتری دارند را در سروری ایمن‌تر ذخیره کنید تا از خطر دورتر باشند.

مثلاً اگر یک فروشگاه اینترنتی دارید، نگهداری داده‌های حساس روی همان سروری که از سایت میزبانی می‌کند کار معقولی نیست؛ چراکه مورد هجوم گرفتن یک سایت اتفاق عجیبی نیست. مسلماً نمی‌خواهید آن داده‌های حساس هم قربانی حملات به سایت شوند! بنابراین، آن‌ها را به سروری دیگر منتقل می‌کنید که ایمنی بیشتری دارد.

اجازه دهید مورد دوم را در یک جمله خلاصه کنیم:  از سروری به‌عنوان دیتابیس استفاده کنید که هیچ استفاده دیگری از آن نمی‌کنید! 

البته چنانچه از  هاست NVMe مجموعه سپاهان سرور استفاده میکنید خیالتان راحت ما روزانه در 3 سرور جدا بک آپ گیری میکنیم.

 

3- از HTTPS به‌عنوان پراکسی استفاده کنید

ساده بگوییم، HTTPS پروتکلی است که حملات مرد میانی یا Man in the Middle Attack را خنثی می‌کند. شکلی از حملات که برای دستبرد زدن به اطلاعات بسیار رایج هستند.

در واقع HTTPS مشخص می‌کند که فرد خواهان دسترسی مجاز به اینکار هست یا نه! اگر پاسخ منفی بود، اجازه دسترسی هم داده نخواهد شد. البته ناگفته نماند، هنوز هم بسیاری از پراکسی‌ها از پروتکل قدیمی‌تر HTTP استفاده می‌کنند؛ اما اگر با اطلاعات حساسی مثل کلمات عبور، اطلاعات پرداختی یا شخصی سروکار دارید، حتماً سراغ نسخه کامل‌تر، یعنی HTTPS بروید. به این ترتیب، داده‌هایی که در پراکسی جابه‌جا می‌شوند رمزنگاری می‌شوند و ایمنی بیش‌ از پیش تامین می‌شود.

 

۴- از پورت‌های پیش‌فرض شبکه استفاده نکنید

TCP و UDP دو پروتکلی هستند که برای انتقال داده‌ها میان سرورها مورد استفاده قرار می‌گیرند. وقتی می‌خواهید از این پروتکل‌ها استفاده کنید، آن‌ها به‌صورت خودکار از پورت‌های پیش‌فرض شبکه استفاده می‌کنند. پورت‌های پیش‌فرض طعمه اصلی در حملات بروت فورس هستند؛ اما اگر از پورت‌های پیش‌فرض استفاده نکنید، هکر بدذات باید پورت‌های مختلف را برای اجرایی کردن نقشه شومش امتحان کند. تعداد زیاد پورت‌ها باعث می‌شود این عملیات بارها با خطا مواجه شود. شاید اگر کمی هم خوش‌شانس باشید، کلاً از هک کردن داده‌های‌تان منصرف شود؛ چراکه زمانی بیش از آنچه انتظار داشته را از او گرفته است.

 

۵- دیتابیس را به‌صورت لحظه‌ای رصد کنید

ریز فعالیت دیتابیس‌تان را برای پیدا کردن رخنه‌های احتمالی رصد کنید! اینکار کمک می‌کند قبل از وقوع مشکل، از آن پیشگیری کنید. ابزارهای زیادی برای ثبت تمام اتفاقات رخ داده در دیتابیس وجود دارند. می‌توانید این ابزارها را طوری تنظیم کنید که اگر مورد خاصی رخ داد با آلارم دادن شما را آگاه کنند. با اعمال تنظیمات تکمیلی، داده‌های حساس‌تان از همیشه ایمن‌تر خواهند بود.

حتما بخوانید :  اموزش نصب DirectAdmin روی Centos6

مسئله دیگری که باید در نظر داشته باشید، بررسی مداوم ایمنی دیتابیس و سطح دسترسی‌ها است. دائماً تست‌هایی را برای بررسی سلامت سایبری دیتابیس اجرا کنید تا خیال‌تان از همه‌چیز راحت باشد. اصلاً فکر نکنید انجام چنین کارهایی زیاده‌روی است. به این فکر کنید که همین زیاده‌روی‌ها خیال‌تان را از بابت هرگونه خطر احتمالی راحت می‌کنند.

 

۶- از فایروال‌ها استفاده کنید

می‌توان گفت فایروال‌ها نیروی خط مقدم هستند. خط مقدم مبارزه با دسترسی‌های غیرمجاز! یکی از مهم‌ترین اقدامات برای حفظ امنیت هر دیتابیسی، نصب فایروال برای حفاظت از آن در برابر انواع مختلف حملات است.

انواع مختلفی از فایروال‌ها وجود دارد؛ اما بیشتر از ۳ فایروال زیر برای ایمن کردن یک شبکه استفاده می‌شود:

  • Packet Filter Firewall
  • Stateful Packet Inspection (SPI)
  • Proxy Server Firewall

یادتان باشد که فایروال باید طوری تنظیم شود تا تمام مشکلات احتمالی را پوشش دهد. همچنین آپدیت کردن و به‌روز نگه داشتن فایروال هم از اهمیت بسیار زیادی برخوردار است؛ موضوعی که برای مقابله با جدیدترین متدهای هکرها بسیار لازم است.

 

۷- از پروتکل‌های رمزنگاری داده استفاده کنید

رمزنگاری داده‌ها هنگامی که قصد جابه‌جایی یا حتی نگهداری از اطلاعات مهم را دارید بسیار ضروری است. با استفاده از پروتکل‌های رمزنگاری، احتمال رخنه اطلاعات را تا حد زیادی کاهش خواهید داد.

بگذارید این‌طور بگوییم. وقتی داده‌های‌تان با پروتکل‌های حرفه‌ای رمزنگاری شوند، حتی اگر مجرمان سایبری به آن‌ها دست پیدا کنند، برای رمزگشایی آن‌ها به مشکل می‌خورند و اطلاعات‌تان ایمن می‌ماند.

۸- به‌طور منظم از دیتابیس‌تان بک‌آپ بگیرید

تا‌به‌حال بارها و در مقالات مختلف از اهمیت بالای بک‌‌آپ گرفتن صحبت کرده‌ایم. نمی‌توان راجع‌به اصول امنیتی پایگاه داده یا دیتابیس صحبت کرد و درمورد این مسئله مهم صحبت نکرد!

اگر دائماً از اطلاعات‌تان بک‌آپ بگیرید، حتی در صورتی که هکرها بتوانند آن‌ها را بربایند یا از بین ببرند، باز هم به آن‌ها دسترسی دارید و می‌توانید ازشان استفاده کنید. بعد از گرفتن بک‌آپ، مطمئن شوید که اطلاعات به‌صورت رمزنگاری شده در سروری مجزا نگهداری می‌شوند. به این ترتیب، اطلاعات‌تان در جایی امن قرار دارند و در مواقع بحران می‌توانید از آن‌ها استفاده کنید.

 

۹- نرم‌افزارها را آپدیت کنید

بسیاری از افرادی که قربانی حملات سایبری می‌شوند، نسبت‌به آپدیت کردن و به‌روز نگه داشتن نرم‌افزارهای‌شان بی‌توجه بوده‌اند؛ چراکه با گذشت زمان و کشف آسیب‌پذیری‌ها، اگر اقدام به آپدیت صورت نگیرد، سوژه بسیار جذابی برای هکرها ساخته خواهد شد. به همین خاطر است که آپدیت کردن نرم‌افزارهای نصب‌شده روی پایگاه داده کاری بسیار مهم است.

علاوه‌بر آپدیت بودن، معتبر بودن نرم‌افزار مورداستفاده هم اهمیت دارد؛ ممکن است از یک اپلیکیشن ناشناخته استفاده کنید که خودش باعث آسیب خواهد شد. به‌طورکلی، ۲ نکته را راجع‌به نرم‌افزارهایی که از آن‌ها استفاده می‌کنید رعایت کنید:

  1. از نسخه‌های معتبر استفاده کنید.
  2. همیشه نرم‌افزار را به آخرین نسخه ارتقاء دهید.

 

۱۰- از فرایندهای احراز هویت سخت‌گیرانه استفاده کنید

نتایج برخی تحقیقات، نشان می‌دهد  80 درصد از نشت اطلاعات به‌خاطر لو رفتن کلمه عبور یا Password رخ داده است؛ یعنی کلمات عبور به‌تنهایی ضامن امنیت نخواهند بود. 

برای غلبه بر این مشکل و اضافه کردن یک لایه امنیتی مطمئن، باید سراغ فرایند احراز هویت چند مرحله‌ای بروید. همچنین برای موضوعی مثل دسترسی به پایگاه داده، می‌توانید فقط برای برخی آیپی‌های مشخص اجازه دسترسی صادر کنید. البته که هکرها راه‌حل‌های دور زدن این لایه‌های امنیتی را هم بلدند، اما مسئله زمان زیادی است که از آن‌ها گرفته می‌شود. معمولاً از خیر دیتابیس می‌گذرند و سراغ طعمه بعدی می‌روند.

 

 

11- نقش ها و گروه های مختلف را بررسی کنید

در هنگام بررسی اطلاعات، لیست های مجوز یک کاربر و نقش ها و عضویت آنها را بررسی کنید. پیش از هرچیز دقت کنید که آیا کاربران مجوز کافی برای انجام کارهای خود را دارند یا خیر. ممکن است که تعداد کاربران پایگاه شما به حدی زیاد باشد که این امکان برای شما وجود نداشته باشد و یا وقت گیر باشد. حتی با وجود اینکه امروزه سیستم های اتوماسیون بسیاری از این کارها را انجام می دهد اما باز هم ممکن است که نیاز به بازبینی دستی داشته باشید اما این کار راحت و جالب نخواهد بود بلکه احتیاج است شما زمانی معادل با یک روز و یا حتی بیشتر برای این کار صرف کنید. خبر خوب برای شما این است که می توانید با یک بار تنظیم، می توانید تغییرهای ناخواسته را تشخیص دهید.

 

 

در کنار این موارد، توجه به برخی نکات هم امنیت را بیش‌از‌پیش تامین می‌کند. مثلاً اینکه اگر مطمئن هستید اکانتی دیگر فعال نخواهد بود، آن را قفل کنید و دسترسی‌اش را بگیرید! یا اینکه ماژول‌ها و سرویس‌های اضافی را که از آن‌ها استفاده نمی‌کنید حذف کنید.

 

 

 

 



دیدگاه شما