Lapsos na proteção de bancos de dados são comuns e os invasores sabem disso. Aqui estão os principais erros na segurança do banco de dados que podem ser explorados por agentes mal intencionados.
Na maioria das pilhas corporativas de hoje, o banco de dados é onde todos os nossos segredos ficam armazenados. Portanto, defendê-lo contra todas as incursões é uma das tarefas mais importantes para os administradores de banco de dados, programadores e equipes de DevOps que dependem dele.
No entanto, infelizmente, o trabalho não é fácil. Afinal, embora os criadores nos fornecem todas as ferramentas e incorporam boas medidas de segurança, além de documentá-las. Contudo, dezenas de erros, omissões e erros potenciais estúpidos e compreensíveis tornam o desafio de manter a segurança do banco de dados uma tarefa sem fim.
Então, para ajudar a manter o controle e ficar alerta, aqui está uma lista de diferentes erros que comprometem a segurança do banco de dados.
1. Gestão de acesso inadequada
Muitos bancos de dados vivem em suas próprias máquinas. Portanto, essa máquina deve ser o mais bloqueada possível. Ou seja, apenas os usuários essenciais devem ser capazes de efetuar login como um administrador de banco de dados. Não obstante, os logins devem ser limitados a uma faixa estreita de redes e outras máquinas.
Os firewalls podem bloquear endereços IP. Contudo, as mesmas regras também devem ser aplicadas à camada do sistema operacional e, se estiver em execução em uma máquina virtual, ao hipervisor ou à administração da nuvem. Essas restrições retardarão o trabalho de atualização de software e correção de problemas, no entanto, vale a pena restringir os caminhos que os invasores podem seguir.
2. Fácil acesso físico
Não há como dizer o que um invasor inteligente pode fazer dentro da sala do servidor. Empresas de nuvem e instalações de co-localização oferecem gaiolas trancadas dentro de edifícios fortemente protegidos com acesso limitado. No entanto, se seus dados estiverem armazenados localmente em seu próprio data center, siga as mesmas regras. Afinal, assim você garante que apenas alguns poucos confiáveis tenham acesso à sala que contém as unidades de disco físico.
3. Backups desprotegidos
Não é incomum para uma equipe fazer um ótimo trabalho protegendo um servidor de banco de dados. Contudo, também é bem comum que elas esqueçam de fazer os backups. Isso é um erro do ponto de vista de segurança do data center porque eles possuem as mesmas informações e, portanto, precisam dos mesmos cuidados.
Portanto, fitas, unidades e outras mídias estáticas devem ser bloqueadas em um cofre, de preferência em outro local onde não sejam danificados pelo mesmo incêndio ou inundação que pode destruir os originais.
4. Dados em repouso não criptografados
Os algoritmos para embaralhar dados geralmente são confiáveis. Afinal, eles foram amplamente testados e os padrões atuais não têm fraquezas publicamente conhecidas. Inclusive, adicionar boa criptografia ao banco de dados e aos backups agora é fácil de fazer para todos os dados em repouso. Portanto, mesmo que os algoritmos e as implementações sejam seguros, as chaves também devem ser protegidas com cuidado.
Felizmente, provedores de nuvem e desenvolvedores de servidores estão criando hardware confiável que fica separado do fluxo de trabalho médio para que as chaves fiquem mais seguras. Afinal, mesmo que os sistemas não sejam perfeitos, eles são melhores do que nada. Quando os dados permanecem criptografados em repouso por algum tempo, alguns preferem um local físico diferente para as chaves, de preferência offline. Alguns até imprimem as chaves e colocam o papel em um cofre.
5. Não usar algoritmos de proteção de privacidade
A criptografia é uma boa ferramenta para proteger cópias físicas e mitigar erros na segurança do banco de dados. No entanto, isso só é verdade desde que você possa proteger a chave. Além disso, uma grande variedade de bons algoritmos também embaralha os dados permanentemente. Eles não podem resolver todos os problemas, contudo, podem ser surpreendentemente eficazes quando não há necessidade de manter todos os dados confidenciais disponíveis.
Na verdade, o mais simples pode ser apenas substituir nomes por pseudônimos aleatórios. Dezenas de outras abordagens usam a quantidade certa de matemática para proteger os dados pessoais, ao mesmo tempo que deixam o suficiente em segredo para cumprir as metas do banco de dados.
6. Falta de controles de proliferação
Quando os dados estão sendo usados, eles serão copiados para caches e servidores em execução. Portanto, o objetivo dos arquitetos de armazenamento de dados é minimizar o número de cópias e garantir que sejam destruídas assim que os dados deixem de ser usados.
Muitos bancos de dados oferecem opções de espelhamento ou backup rotineiro como um recurso de defesa contra falhas de máquina. Embora isso possa ser essencial para fornecer um serviço estável, vale a pena pensar cuidadosamente sobre a proliferação durante o design. Inclusive, em alguns casos, pode ser possível limitar o número excessivo de cópias sem comprometer muito o serviço. Contudo, às vezes, pode ser melhor escolher opções mais lentas e menos redundantes se elas limitarem o número de locais onde um invasor pode invadir.
7. Falta de controles de banco de dados
Os melhores bancos de dados são o produto de décadas de evolução, impulsionados por testes intermináveis e pesquisas de segurança. Então, escolha um bom. Além disso, os criadores do banco de dados adicionaram boas ferramentas para gerenciar e limitar o acesso. Portanto, você deve usá-los.
No entanto, certifique-se de que apenas os aplicativos certos podem ver as tabelas certas. Além disso, não reutilize a mesma senha para todos os aplicativos e, certamente, não use a padrão. Não esqueça de limitar acesso aos processos locais ou à rede local, quando viável.
8. Bancos de dados secundários vulneráveis
Muitas pilhas usam caches na memória rápidos, como o Redis, para acelerar as respostas. Esses bancos de dados secundários e redes de distribuição de conteúdo geralmente têm cópias das mesmas informações no banco de dados. Portanto, gaste todo o tempo necessário configurando-os corretamente da forma como você faz com os bancos de dados principais.
9. Aplicativos vulneráveis com acesso a dados
Toda a segurança cuidadosa do banco de dados não vale muito quando um aplicativo confiável se comporta mal. Especialmente quando o aplicativo confiável tem acesso a todos os dados. Um problema comum é a injeção de SQL, um ataque que engana um aplicativo mal codificado para passar SQL malicioso para o banco de dados. Outro é apenas a falta de segurança para o próprio aplicativo. Em muitas arquiteturas, o aplicativo vê tudo. Então, se não conseguir bloquear os usuários certos, todos esses dados podem sair pela porta da frente.
10. Exposição arriscada na internet
Os bancos de dados são candidatos ideais para viver em uma parte da rede sem acesso público. Embora alguns desenvolvedores queiram simplificar sua vida abrindo o banco de dados para a internet em geral, qualquer pessoa que esteja protegendo informações não triviais deve pensar de forma diferente. Afinal, se o seu banco de dados vai se comunicar apenas com os servidores front-end, ele pode viver feliz em uma parte da rede onde apenas esses servidores front-end podem alcançá-lo.
11. Falta de gestão de integridade
Os bancos de dados modernos oferecem uma ampla variedade de recursos que evitarão a entrada de erros e inconsistências no conjunto de dados. Entretanto, especificar um esquema para os dados garante que os elementos de dados individuais estejam em conformidade com um conjunto de regras. O uso de transações e bloqueio evita que erros sejam introduzidos quando uma tabela ou linha é atualizada e outra não. Portanto, a implantação dessas opções de gerenciamento de integridade adiciona sobrecarga computacional. Contudo, usar o máximo possível reduz os efeitos de erros aleatórios e também pode impedir que os usuários insiram dados inconsistentes ou incorretos capazes de gerar erros do ponto de vista da segurança do banco de dados.
12. Retenção de dados desnecessários
Às vezes, a solução mais segura é destruir o banco de dados. Por isso as equipes de desenvolvimento geralmente pensam como packrats, armazenando informações para um futuro que pode nunca chegar. Às vezes, a maneira mais simples de se proteger contra violações de dados é apagá-los. Portanto, se você não precisa dos bits para fornecer algum serviço futuro e os clientes nunca vão pedir para ver, você pode zerar as informações e ficar livre de protegê-las. no entanto, se você não tem certeza de que os dados não serão usados novamente, você pode apagar as cópias online e mantê-las apenas desligadas
Felizmente, você pode contar com o auxílio de uma empresa de TI especializada em mitigar erros na segurança de banco de dados.
Sobre a Infonova
A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.
A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.
Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.
Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI. Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.
Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.
Perfil Infonova
A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:
- Atendimento por demanda;
- Disponibilização de equipes com 1 técnico local e retaguarda especializada;
- Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores
O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança.
Soluções
Como a empresa de TI completa que é, a Infonova tem soluções voltadas para PMEs, Governo e Corporate. Todas compreendem modelos flexíveis com início rápido e transição sem dor.
Confira a seguir:
Para saber mais sobre os serviços da Infonova, entre em contato pelo (11) 2246-2875 ou clique aqui.Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.